Wäre es nicht großartig, wenn alle böswilligen Akteure eine Art Genfer Konvention zur Cyber-Kriegsführung unterzeichnen würden, die die Regeln des Krieges festlegt und vorschreibt, dass Angriffe nur gegen eine einzige Geschäftseinheit eines Unternehmens durchgeführt werden dürfen?
Wenn wir schon dabei sind, könnten wir noch ein paar Regeln hinzufügen:
- Vor jeder Aktion muss eine Warnung ausgesprochen werden - eine Erklärung zur Cyberkriegsführung, wenn Sie so wollen.
- Der Angreifer muss den Ort des Angriffs mindestens 24 Stunden im Voraus ankündigen.
- Der Verteidiger kann bestimmte wichtige Infrastrukturen als unzugänglich markieren, die nicht angegriffen werden dürfen.
Das würde das Leben für blaue Teams viel einfacher machen!
Das bedeutet, dass Sicherheitsteams einen Einblick in die Interaktion der Benutzer mit ihrer IT-Infrastruktur über alle Medien hinweg benötigen.
Wachsam bleiben während des gesamten Angriffszyklus
Wenn Sie einen böswilligen Akteur entdecken, der versucht, wichtige Daten aus Ihrer Produktionsdatenbank zu exfiltrieren, können Sie das nicht einfach abschalten, die Finger von der Sache lassen und sich der nächsten Aufgabe zuwenden. Sie müssen herausfinden, wie und wo die Angreifer eingedrungen sind, und ihnen den Zugang verwehren. Das ist nicht möglich, wenn Sie keine Verbindung zwischen Ihrer cloud und Ihrer Netzwerkinfrastruktur herstellen können.
Aus diesem Grund haben die Sicherheitsingenieure von Vectra eine bahnbrechende Lösung entwickelt, die eine einheitliche Ansicht der Konten in Ihrem Netzwerk und auf cloud bietet.
Wenn ein Benutzer in Office 365 mit gestohlenen Anmeldeinformationen auf kritische Infrastrukturen zugreift, zeigen wir diese Informationen in einem zusammengefassten Konto mit dem vollständigen Kontext an, was der Benutzer wann getan hat und warum Sie sich Sorgen machen sollten.
Wenn jemand fragwürdige Exchange-Operationen auf Office 365 durchführt, können wir schnell zeigen, welche Hosts dieses Konto im Netzwerk gesehen hat, so dass Sie sehen können, ob es verdächtige Aktivitäten auf diesen Hosts gegeben hat.
Ein Blick auf einige der jüngsten Angriffe macht deutlich, dass die Angreifer das Netz cloud nicht als das geringste Hindernis für den Verlauf ihres Angriffs ansehen.
Ausnutzung legitimer Tools für böswillige Aktionen
Betrachten Sie das Vorgehen von APT 33: Die Angreifer begannen ihren Angriff mit dem Erzwingen schwacher Anmeldedaten und nutzten dann E-Mail-Regeln, um auf die Website endpoint zu gelangen. Auf der Website endpoint wurden die Anmeldedaten desselben Benutzers genutzt, um sich seitlich zu bewegen und den Angriff auszuweiten. Wenn Ihre Netzwerk- und cloud -Erkennungsportfolios nicht miteinander verknüpft sind, kann das Ausmaß des Angriffs völlig übersehen werden.
Die Angriffsfläche von Office 365 ist nicht nur auf den ersten Zugriff beschränkt. Angreifer mit Office 365-Zugang können SharePoint missbrauchen, um freigegebene Ordner zu beschädigen und sich mithilfe von DLL-Hijacking-Techniken oder durch Hochladen von Malware seitlich auf Endpunkte auszubreiten. Dieselbe SharePoint-Funktionalität, die für die Synchronisierung normaler Benutzerdateien verwendet wird, kann auf jedem endpoint ausgeführt werden, um eine einzelne Freigabe zu synchronisieren und so die standardmäßigen Netzwerksammlungstechniken zu umgehen. Mit ein paar Klicks kann ein Angreifer dann dauerhafte Exfiltrationskanäle über Power Automate-Flows einrichten, die täglich Daten von jedem infizierten endpoint hochladen können. Die Möglichkeiten, die sich hier bieten, sind enorm und wachsen weiter.
Auf cloud sehen Sie vielleicht ein Problem, bei dem die Anmeldedaten eines Kontos mit roher Gewalt erzwungen wurden, gefolgt von der Erstellung neuer E-Mail-Regeln, was zwar schlecht, aber nicht schlimm ist. Das ist schlimm, aber nicht weiter schlimm, denn Sie haben auch einige seitliche Bewegungen in Ihrem Netzwerk festgestellt, die viel besorgniserregender sind, da Sie keine Ahnung haben, wie die Hacker in das Netzwerk gelangt sind. In Cognito bedeutet die Verknüpfung dieser Ansichten, dass Analysten einen frühen und vollständigen Überblick haben, der es ihnen ermöglicht, den Angriff zu stoppen, bevor Daten verschoben werden oder Schaden entsteht.
Um herauszufinden, wie Angreifer Office 365 ausnutzen, lesen Sie unseren neuesten Spotlight-Bericht und erfahren Sie, wie Sie mit der Cognito-Plattform von Vectra Transparenz schaffen können, um Angreifer in Ihren Netzwerken und Office 365-Implementierungen zu erkennen und auf sie zu reagieren.