Nella nostra ultima release, abbiamo incluso una nuova funzionalità di rilevamento chiamata Azure AD Privilege Operation Anomaly, per bloccare le acquisizioni di account in Azure AD. Questo algoritmo di intelligenza artificiale è stato progettato specificamente per identificare quando gli aggressori si spostano all'interno del tenant di Azure AD per acquisire persistenza, espandere la propria portata o intraprendere azioni per eludere il rilevamento.
Ultimamente abbiamo assistito a un aumento degli aggressori che hanno migliorato la loro capacità di bypassare l 'autenticazione a più fattori (MFA) per infiltrarsi negli account utente legittimi. Gli aggressori sfruttano le loro capacità e prendono di mira Azure AD per ottenere l'accesso ad applicazioni SaaS mission-critical che vanno dalla gestione delle relazioni con i clienti (CRM) all'archiviazione dei dati cloud , fino alle funzionalità complete di Office 365. Una volta compromesso un account, gli aggressori agiranno all'interno dell'ambiente per rubare i dati e chiedere un riscatto. E poiché l'attacco sfrutta un account fidato, tutte queste azioni sembrano essere pienamente conformi secondo il software CASB ( cloud Access Security Broker).
Questo dimostra perché il rilevamento e la risposta avanzati in Azure AD e Office 365 sono così importanti: consentono ai team di essere avvisati non appena inizia un attacco, già dotati di una conoscenza completa delle azioni dell'attaccante, in modo da poterlo fermare prima che raggiunga i suoi obiettivi.
Il nuovo Vectra Cognito Azure AD Privilege Anomaly rappresenta un radicale passo avanti nel rilevamento di eventi di acquisizione di account. Soprattutto, è in grado di rilevare quando un account è stato compromesso e inizia ad abusare dei suoi privilegi per consentire agli aggressori un maggiore accesso. L'allarme copre l'intera gamma di azioni di Azure AD eseguite dagli aggressori, tra cui l'elevazione dei privilegi degli utenti, le modifiche delle autorizzazioni delle applicazioni e le modifiche ai controlli di accesso dei tenant.
Abbiamo ottenuto questa copertura completa applicando l'intelligenza artificiale per andare oltre le semplici firme o regole. Vectra apprende passivamente l'esatto livello minimo di autorizzazioni che gli account utilizzano quotidianamente in Azure AD. Questo "privilegio osservato" fornisce una rappresentazione più accurata delle autorizzazioni operative degli account rispetto a quelle dettate da Azure AD.
Il "privilegio osservato" appreso è unico per ogni tenant e viene identificato per ogni account e per tutte le oltre 100 operazioni diverse di Azure AD. Vectra applica questo "privilegio osservato" per verificare ogni azione eseguita in Azure AD e identificare quando un account è compromesso e sta abusando del suo privilegio.
Vectra è in grado di identificare e bloccare gli aggressori che operano nell'ambiente Microsoft Office 365 e in qualsiasi applicazione SaaS federata che utilizza Azure AD. Sappiamo che gli aggressori non operano in silos, ed è per questo che Vectra tiene traccia dei segnali di comportamento degli aggressori in tutta l'azienda, l'ibrido, il data center, l'IaaS e il SaaS, il tutto da un unico punto di controllo.
Per saperne di più su Vectra, non esitate a contattarci!