Nella nostra versione più recente abbiamo incluso una nuova funzionalità di rilevamento denominata Azure AD Privilege Operation Anomaly, che consente di impedire l'appropriazione indebita degli account in Azure AD. Questo algoritmo di intelligenza artificiale è stato progettato specificamente per identificare i momenti in cui gli aggressori si muovono nel tenant Azure AD per ottenere persistenza, espandere la loro portata o intraprendere azioni volte a eludere il rilevamento.
Ultimamente abbiamo assistito a un aumento degli attacchi da parte di hacker che hanno migliorato la loro capacità di aggirare l'autenticazione a più fattori (MFA) per infiltrarsi negli account degli utenti legittimi. Gli hacker stanno utilizzando le loro competenze e prendendo di mira Azure AD per ottenere l'accesso ad applicazioni SaaS mission-critical che vanno dalla gestione delle relazioni con i clienti (CRM) all'archiviazione cloud , fino alla piena funzionalità di Office 365. Una volta compromesso un account, gli hacker agiscono all'interno dell'ambiente per rubare e chiedere un riscatto per i dati. E poiché l'attacco sfrutta un account affidabile, tutte queste azioni sembrano essere pienamente conformi secondo il software CASB ( cloud Security Broker).
Questo dimostra perché il rilevamento e la risposta avanzati in Azure AD e Office 365 sono così importanti: consentono ai team di essere avvisati non appena inizia un attacco, già muniti di una conoscenza completa delle azioni dell'aggressore, in modo da poterlo fermare prima che raggiunga i suoi obiettivi.
Il nuovo Vectra Cognito Azure AD Privilege Anomaly rappresenta un passo avanti radicale nel rilevamento degli eventi di appropriazione indebita degli account. Soprattutto, è in grado di rilevare quando un account è stato compromesso e inizia ad abusare dei propri privilegi per consentire agli aggressori un accesso maggiore. L'avviso fornisce una copertura completa di tutte le azioni Azure AD eseguite dagli aggressori, tra cui l'elevazione dei privilegi degli utenti, le modifiche alle autorizzazioni delle applicazioni e le modifiche ai controlli di accesso dei tenant.
Abbiamo ottenuto questa copertura completa applicando l'intelligenza artificiale per andare oltre le semplici firme o regole. Vectra apprende passivamente il livello minimo esatto di autorizzazioni che gli account utilizzano quotidianamente all'interno di Azure AD. Questo "privilegio osservato"fornisce una rappresentazione più accurata delle autorizzazioni operative degli account rispetto a quanto dettato da Azure AD.
Il "privilegio osservato" appreso è unico per ogni tenant ed è identificato per ogni account e per tutte le oltre 100 diverse operazioni di Azure AD. Vectra applica questa lente del "privilegio osservato" per controllare ogni azione eseguita in Azure AD e identificare quando un account è compromesso e abusa del proprio privilegio.
Vectra è in grado di identificare e bloccare gli aggressori che operano nel vostro ambiente Microsoft Office 365 e in qualsiasi applicazione SaaS federata che utilizza Azure AD. Sappiamo che gli aggressori non operano in silos, motivo per cui Vectra traccia i segni del comportamento degli aggressori in ambito aziendale, ibrido, data center, IaaS e SaaS, il tutto da un unico punto di controllo.
Per ulteriori informazioni su Vectra, non esitate a contattarci!