Se pensiamo a tutti i diversi tipi di attività che gli utenti svolgono all'interno di Microsoft Azure AD e Office 365, quantopossiamo essere certi che tutto ciò che accade sia opera di un dipendente e non di un attore che sta lavorando per impossessarsi di un account? In effetti, Vectra ha recentemente intervistato oltre 1.000 professionisti della sicurezza e un sorprendente 71% ha rivelato di aver subito una media di 7 appropriazioni di account di utenti autorizzati negli ultimi 12 mesi.
Probabilmente non dovremmo sorprenderci del fatto che vengano tentati degli attacchi, soprattutto considerando la popolarità di Office 365 e delle sue centinaia di milioni di utenti. Si tratta di un potente strumento di produttività che continua a fornire molti vantaggi di connettività e collaborazione a team vicini e lontani. Se da un lato Microsoft ha creato una piattaforma incredibile di cui molte aziende non possono fare a meno, dall'altro i criminali informatici considerano questo grande bacino di utenti come un'opportunità per cercare di entrare in azione e appropriarsi degli account.
Quindi, come possiamo individuare le attività dannose e inviare gli avvisi giusti ai team di sicurezza, in modo che non spendano cicli preziosi a caccia di attività benigne? Fortunatamente, la raccolta dei dati giusti e l'utilizzo di un'intelligenza artificiale (AI) significativa possono aiutare le organizzazioni ad avere una visione dell'uso autorizzato dei servizi cloud adottati.
I rilevamenti delle minacce fanno chiarezza
Nel caso dei clienti di Vectra, i rilevamenti delle minacce vengono attivati quando si verifica qualcosa di anomalo nei loro ambienti Azure AD o Office 365. Di recente abbiamo analizzato in modo approfondito i 10 principali rilevamenti di minacce della nostra base di clienti nel nostro ultimo Spotlight Report: Visione e visibilità: Top 10 Threat Detections for Microsoft Azure AD and Office 365.
Molti dei rilevamenti di minacce per l'ambiente Microsoft rappresentano attività che offrono facilità d'uso o collaborazione con parti esterne, il che è ovviamente comodo per l'utente, ma può anche fornire accesso a un aggressore. Assicuratevi di scaricare il report per avere tutti i dettagli, ma ecco un paio di scenari di rilevamento che si sono registrati nella top 10.
Accesso ai team esterni di O365
Come indica il nome, questo rilevamento si attiva se un account esterno viene aggiunto a un team in O365. Questo tipo di attività potrebbe indicare che un avversario ha aggiunto un account sotto il suo controllo e il team di sicurezza deve esserne a conoscenza nel caso in cui ciò avvenga.
Attività di condivisione sospetta di O365
Questo rilevamento viene notificato se un account viene visto condividere file e/o cartelle con un volume superiore al normale, il che potrebbe indicare che un aggressore sta utilizzando SharePoint per esfiltrare dati o mantenere l'accesso dopo che l'accesso iniziale è stato risolto.
Funzionamento sospetto di Azure AD
Questo rilevamento informerebbe il team se sono state rilevate operazioni anomale su Azure AD , il che potrebbe indicare che gli aggressori stanno scalando i privilegi ed eseguendo operazioni di livello amministratore dopo l'acquisizione regolare dell'account.
Considerando questi esempi di rilevamento, si può notare che ogni attività rilevata non è necessariamente dannosa, ed è per questo che è così importante avere i dati giusti da sfruttare. Si tratta di essere in grado di identificare e distinguere tra ciò che è considerato un'attività normale per il vostro ambiente e ciò che potrebbe essere un potenziale problema da affrontare.
L'utilizzo di uno strumento di collaborazione come Microsoft Teams è certamente comodo per gli utenti legittimi, ma potrebbe anche essere un mezzo conveniente per gli aggressori per trovare informazioni utili o ottenere documenti e informazioni. Indipendentemente dal fatto che si tratti di un accesso esterno a Teams, di un'attività di download sospetta o di qualsiasi altra operazione rischiosa che avviene nel vostro ambiente, il vostro team di sicurezza deve saperlo.
In quest'ultimo rapporto ci occupiamo di queste attività e di altre ancora. Vedrete come l'intelligenza artificiale può fornire la giusta visione e visibilità per il vostro ambiente e persino come può aiutarvi a evitare un costoso attacco informatico.
Vedere come:
- Un'intelligenza artificiale significativa può fornire un'analisi costante delle modalità di accesso, utilizzo e configurazione delle app cloud da parte degli utenti e può fare la differenza nel rilevare e bloccare minacce come l'acquisizione di account negli ambienti Microsoft Azure e Office 365.
- I Top 10 Threat Detections (Rilevamenti delle 10 minacce), visualizzati in Microsoft Azure AD e Office 365, consentono ai team di sicurezza di rilevare comportamenti non frequenti, anomali o non sicuri nei loro ambienti.
- Indipendentemente dalle dimensioni dell'azienda, il rilevamento di Office 365 Risky Exchange Operation è stato al primo posto o quasi nell'elenco dei rilevamenti effettuati dai clienti Vectra.
- Le azioni comuni degli attori nell'ambiente Azure AD durante un recente attacco alla catena di approvvigionamento sono state ricondotte ai rilevamenti definiti da Vectra e hanno avvisato il team di sicurezza della minaccia.
Richiedete oggi stesso la vostra copia del rapporto! E per ascoltare una valutazione dettagliata da parte del Direttore Tecnico di Vectra, Tim Wade, e del nostro CMO, Jennifer Geisler, non perdete il nostro webinar di martedì 8 giugno alle 8:00 PT | 11:00 ET | 4:00 pm BST | 5:00 pm CET.