2020 a été une année inhabituelle pour tout le monde : le changement nous a frappés de manière inattendue et rapide. Les modes de travail, d'accès au travail et de communication ont également changé, avec la transition vers le travail à distance et l'utilisation de services basés sur le site cloud, tels que Microsoft Office 365.
Par exemple, une enquête en ligne (menée par YouGov pour le compte de Vectra) auprès de 1 097 adultes travaillant au Royaume-Uni entre le 8 et le 9 octobre 2020 a révélé que 70 % de ceux qui peuvent travailler à domicile et utilisent Office 365/Microsoft 365 s'attendent à ce que leur travail à domicile reste le même ou augmente après la conférence COVID-19. On peut raisonnablement s'attendre à des résultats similaires dans d'autres pays développés.
Ces changements vont évidemment modifier la surface d'attaque que les organisations protègent. Lorsque nous avons lancé Detect for Office 365 il y a quelques mois, nous sommes devenus bien placés pour aider à répondre à ce que ces changements ressemblent à l'intérieur de l'application SaaS la plus utilisée au monde. De juin à août, nous avons collecté des données sur 4 millions de comptes, ce qui nous a permis de commencer à comprendre la nature des comportements suspects et des attaques qui se produisent dans l'écosystème Office 365.
Nous avons publié nos conclusions dans le rapport 2020 Spotlight Report on Office 365, dans lequel nous avons identifié la manière dont les attaquants tirent parti des outils et services intégrés d'Office 365 pour exécuter leurs attaques. Dans le cadre de notre analyse, nous avons également mis en évidence des exemples de la manière dont les attaquants opèrent au sein d'Office 365.
Tentative de fraude financière
L'attaquant de ce fabricant de taille moyenne s'est concentré sur le département financier, utilisant probablement LinkedIn pour identifier les cibles. Une attaque par balayage brut faible et lente a été menée contre les protocoles existants - en trouvant l'endroit où l'authentification multifactorielle (MFA) ne pouvait pas être activée - afin d'obtenir l'accès à Office 365.
Une fois à l'intérieur, l'attaquant a mis en place des règles pour transférer tous les courriels liés à DocuSign ou à des factures, ce qui rend le motif de la fraude financière évident. Astucieusement, l'attaquant a également mis en place des règles pour effacer les preuves de la menace et éviter toute découverte en supprimant automatiquement tous les courriels relatifs aux mots de passe et à la sécurité.
En temps réel, Vectra a détecté plusieurs étapes de l'attaque et a permis à l'équipe de sécurité de supprimer les règles de transfert et de modifier les mots de passe avant que les courriels ne soient envoyés à l'extérieur de l'organisation.
Dans l'ensemble, Vectra a identifié la force brute, l'ouverture de session suspecte, l'opération d'échange risquée et la transmission suspecte de courriels comme les principales étapes et les principaux indicateurs de l'attaque.
Vol dans la recherche médicale
Une unité de recherche médicale d'une université a été la cible d'un hameçonnage qui faisait la promotion d'une application gratuite d'optimisation de calendrier et de gestion du temps.
Une personne a mordu à l'hameçon et a installé l'application OAuth malveillante, contournant le MFA et fournissant sans le savoir un accès complet à Office 365. En utilisant cet accès, les attaquants ont ensuite envoyé des courriels de phishing internes, profitant d'identités et de communications de confiance pour se propager au sein de l'université. Grâce à un courriel d'hameçonnage, les attaquants se sont infiltrés et ont effectué un mouvement latéral au sein du réseau.
Vectra a détecté l'installation de l'application suspecte et, dans le cadre de l'enquête, a noté que la détection interne du spear-phishing s'était également déclenchée. L'équipe de sécurité a pu évincer l'attaquant en supprimant l'application malveillante.
Cas (études) concrets
L'abus d'identifiants est la principale méthode de cyberattaque utilisée contre Office 365, qui compte plus de 200 millions d'utilisateurs mensuels. Les attaquants intelligents exploiteront le comportement humain pour détourner les mots de passe, prendre le contrôle des comptes et voler des données commerciales critiques. Inversement, les équipes de sécurité intelligentes disposeront d'informations et d'attentes solides sur les plateformes SaaS afin de pouvoir identifier et atténuer les comportements malveillants et les abus de privilèges.
Ces deux exemples de clients montrent comment les services Office 365 ont été manipulés et exploités par les attaquants. Une fois à l'intérieur des réseaux de ces organisations, les attaquants ont utilisé les outils existants pour vivre de la terre et essayer d'éviter d'être détectés.
Heureusement, ces attaques ont pu être stoppées grâce à Detect for Office 365 qui a détecté et alerté chaque organisation sur les comportements suspects. Les algorithmes d'apprentissage automatique dérivés de l'IA de Vectra ont fourni à ces équipes de sécurité les informations nécessaires pour mettre fin aux attaques, évitant ainsi les dommages et les vols.
En détectant automatiquement et en priorisant les comportements des attaquants, en accélérant les investigations et en permettant une chasse aux menaces proactive, Vectra Cognito Detect for Office 365 vous redonne le contrôle de la sécurité de Microsoft Office 365 et vous protège contre les pirates insidieux d'Office 365.
Lisez l'intégralité du rapport Spotlight sur Office 365 et consultez d'autres études de cas pour voir la plateformeVectra en action.