Di recente ho raggiunto il CMO di Vectra, Jennifer Geisler, per dare un'occhiata all'interno del recente rapporto Spotlight: Visione e visibilità: Top 10 Threat Detections for Microsoft Azure AD and Office 365". Abbiamo voluto svelare alcuni strati del report e approfondire il vero significato di rilevamento delle minacce, gli aspetti che lo rendono così impegnativo e il modo in cui le organizzazioni possono creare una visione e una visibilità che aiutino a misurare se il loro approccio alla sicurezza ha successo o meno. Se non siete riusciti a partecipare al webinar, non preoccupatevi: potete scaricare il report.
Il report descrive in dettaglio i rilevamenti di minacce più frequenti che i clienti di Vectra vedono e utilizzano per ratificare gli attacchi su Microsoft Azure AD e Office 365. Non tutti i rilevamenti sono dannosi, ma tutti sono stati ricevuti dai clienti a causa di comportamenti poco frequenti che sono stati giudicati anomali o non sicuri su queste piattaforme cloud . Verrà mostrato come i rilevamenti si misurano in base alle dimensioni dell'azienda, cosa potrebbe significare ciascuno di essi in termini di attività di attacco potenziale e come i rilevamenti potrebbero essere ricondotti a un attacco alla supply chain nella vita reale.
Se da un lato il rapporto offre dati e ricerche approfondite, dall'altro può essere una risorsa utile per i team di sicurezza che stanno definendo visione e visibilità:durante il webinar siamo riusciti a fare un ulteriore passo avanti in tutte queste aree. Una delle domande che sono state poste è stata: "Cosa rende il rilevamento delle minacce così impegnativo?".
Vorrei che ci fosse una risposta semplice e univoca, ma questa domanda deve essere ricondotta all'azionabilità. Bisogna innanzitutto definire cosa si intende effettivamente per minaccia. Si tratta di un exploit, di una compromissione o di un'attività insolita? Poi, se volete catturare le minacce, dovreste essere in grado di identificare qualcosa che non sia ovvio, perché oggi gli avversari sono sempre più astuti e molto meno evidenti nelle loro azioni. Come si vedrà nel report in evidenza, gli avversari intraprendono azioni per raggiungere i loro obiettivi che sembrano molto simili alle attività degli utenti autorizzati: non solo bisogna essere in grado di rilevarle, ma anche di applicare le necessarie misure correttive e di risposta.
Potrebbe essere superfluo dirlo, ma il fatto che ora siano disponibili i dati di rilevamento delle minacce Top 10 per questi popolari servizi Microsoft è una testimonianza del numero di organizzazioni che utilizzano queste piattaforme. Microsoft ha oltre 250 milioni di posti a pagamento per Office 365 e c'è sicuramente una buona ragione per questo: lo strumento è incredibilmente prezioso, soprattutto per mantenere la forza lavoro remota connessa e produttiva. Si dà il caso che i criminali informatici si stiano accorgendo di questo grande pubblico, il che rende il rilevamento del loro comportamento più importante che mai.
I 3 principali rilevamenti di minacce
1. Operazione di scambio rischiosa con O365
Sono state rilevate operazioni di Exchange anomale che potrebbero indicare che un aggressore sta manipolando Exchange per ottenere l'accesso a dati specifici o per proseguire l'attacco.
2. Azure AD Operazione sospetta
Sono state rilevate operazioni anomale su Azure AD che potrebbero indicare che gli aggressori stanno aumentando i privilegi ed eseguendo operazioni di livello amministratore dopo l'acquisizione regolare dell'account.
3. Attività di download sospette di O365
Un account è stato visto scaricare un numero insolito di oggetti, il che potrebbe indicare che un aggressore sta utilizzando le funzioni di download di SharePoint o OneDrive per esfiltrare i dati.
È come quando al noto rapinatore di banche Willie Sutton fu chiesto perché continuasse a rapinare banche. Lui rispose: "È lì che si trovano i soldi".
Ci occupiamo del motivo per cui il comportamento degli aggressori si sta dirigendo verso il cloud e di quali sono i rilevamenti delle minacce che comportano il maggior potenziale di attacco, come ad esempio il rilevamento di un'operazione di scambio rischiosa in O365, che potrebbe significare che un avversario sta disabilitando le protezioni ed esfiltra i dati. Vi mostreremo perché l'idea di poter fermare un malintenzionato non funziona più e come potete pensare di misurare il successo sapendo effettivamente cosa sta succedendo nel vostro ambiente.
Ci auguriamo che la discussione sia piacevole e che troviate utile anche il Rapporto Spotlight.