Microsoft ha sviluppato PowerShell per automatizzare le attività e le configurazioni banali di Windows. Ha avuto un enorme successo sia per gli amministratori che per gli hacker. Le sue capacità uniche hanno reso PowerShell il manifesto degli attacchi live-off-the-land (LotL).
Come PowerShell, anche Power Automate è stato creato per automatizzare attività banali, questa volta per gli utenti di Office 365 (O365), ad esempio.
- Salvare gli allegati delle e-mail in OneDrive for Business
- Registrare le risposte dei moduli in SharePoint
- Creare attività da svolgere per le e-mail di Office 365 contrassegnate.
Piuttosto forte, eh?
Power Automate è attivo per impostazione predefinita in tutti i tenant di O365 e viene fornito di serie con circa 150 connettori. È inoltre disponibile un numero uguale, se non superiore, di connettori premium da acquistare, che offrono innumerevoli possibilità.
Pensate a Power Automate come a un sistema interconnesso di lego: potete collegare una o più azioni per creare una varietà illimitata di flussi in base alle vostre esigenze. Scommetto che state già immaginando le cose che potete fare...
Vivere di rendita in Office 365
Quando i ricercatori di sicurezza di Vectra hanno iniziato a esaminare la sicurezza di Office 365, Power Automate ha subito attirato la loro attenzione. Più facevano ricerche, più si stupivano di ciò che era possibile fare una volta ottenuto l'accesso di base e non privilegiato a Office 365. L'uso di Power Automate per le tecniche di live off the land è venuto alla ribalta di recente, quando una ricerca di Microsoft ha scoperto che gli attori delle minacce avanzate di una grande organizzazione multinazionale lo utilizzavano per automatizzare l'esfiltrazione dei dati, che è rimasta inosservata per 213 giorni.
Vediamo come si può ottenere questo risultato. Il flusso inizia con un trigger che monitora una cartella OneDrive. Quando viene aggiunto un nuovo file (può essere fatto anche per gli aggiornamenti), il flusso si connette a una cartella Dropbox personale e copia il contenuto del file. Il proprietario della cartella OneDrive non riceve alcuna notifica di questa operazione. Il trasferimento avviene da cloud a cloud, quindi non tocca mai una rete o un controllo di sicurezza endpoint .
Inoltre, a differenza di PowerShell, Power Automate dispone di un'interfaccia utente (UI) intuitiva che rende la sua configurazione un gioco da ragazzi. Facile, semplice e incredibilmente potente.
Volete esportare anche le e-mail sensibili oltre ai file? Basta aggiungere un altro flusso di Power Automate.
Power Automate è ottimo per gli utenti: è ovvio il motivo per cui Microsoft lo ha creato. Ma per i professionisti della sicurezza è terrificante. Considerate:
- È attivo per impostazione predefinita
- Ogni utente può creare i propri flussi
- I flussi possono aggirare i criteri di sicurezza, compresa la prevenzione della perdita di dati (DLP).
- Non c'è modo di disattivare i singoli connettori: o tutto o niente.
- Gli aggressori possono iscriversi a prove gratuite per ottenere l'accesso a connettori premium che fanno ancora di più
Abbiamo solo scalfito la superficie. Nel prossimo blog sulla sicurezza di Office 365, tratteremo i modi più avanzati in cui Power Automate può essere usato per vivere in nero in Office 365 e come i team di sicurezza di Office 365 possono stare al passo con questa minaccia. Restate sintonizzati!
Vectra Detect for Office 365 funziona analizzando e correlando eventi come accessi sospetti, installazioni di app dannose, regole di inoltro delle e-mail e abuso di strumenti nativi di Office 365 come Power Automate.