Dans notre dernière version, nous avons inclus une nouvelle capacité de détection que nous appelons Azure AD Privilege Operation Anomaly, pour arrêter les prises de contrôle de comptes dans Azure AD. Cet algorithme d'intelligence artificielle a été spécialement conçu pour identifier le moment où les attaquants se déplacent dans le locataire Azure AD afin de gagner en persistance, d'étendre leur portée ou de prendre des mesures pour échapper à la détection.
Dernièrement, nous avons constaté une augmentation du nombre d'attaquants qui ont amélioré leur capacité à contourner l'authentification multifactorielle (MFA) pour infiltrer des comptes d'utilisateurs légitimes. Les attaquants utilisent leurs compétences et ciblent Azure AD pour accéder à des applications SaaS critiques allant de la gestion de la relation client (CRM) au stockage de données cloud en passant par l'ensemble des fonctionnalités d'Office 365. Une fois qu'un compte est compromis, les attaquants agissent dans l'environnement pour voler des données et demander une rançon. Et comme l'attaque s'appuie sur un compte de confiance, toutes ces actions semblent être en parfaite conformité avec le logiciel CASB ( cloud access security broker).
Cela montre pourquoi la détection et la réponse avancées dans Azure AD et Office 365 sont si importantes : elles permettent aux équipes d'être alertées dès le début d'une attaque, déjà armées d'une connaissance complète des actions de l'attaquant, de sorte que les attaquants peuvent être arrêtés avant qu'ils n'atteignent leurs objectifs.
La nouvelle solution Vectra Cognito Azure AD Privilege Anomaly constitue une avancée radicale dans la détection d'événements. Usurpation de compte événements. Plus important encore, elle permet de détecter lorsqu'un compte a été compromis et commence à abuser de ses privilèges pour donner aux attaquants un accès plus large. L'alerte couvre l'ensemble des actions Azure AD effectuées par les attaquants, y compris l'élévation des privilèges de l'utilisateur, les modifications des autorisations d'application et les changements des contrôles d'accès des locataires.
Nous avons obtenu cette couverture complète en appliquant l'IA pour aller au-delà des simples signatures ou règles. Vectra apprend passivement le niveau minimum exact des autorisations que les comptes utilisent dans Azure AD au jour le jour. Ce "privilège observé" fournit une représentation plus précise des autorisations opérationnelles des comptes que ce qui est dicté dans Azure AD.
Le "privilège observé" est unique pour chaque locataire et est identifié pour chaque compte et plus de 100 opérations Azure AD différentes. Vectra applique cette lentille de "privilège observé" pour auditer chaque action effectuée dans Azure AD et identifier quand un compte est compromis et abuse de son privilège.
Vectra peut identifier et arrêter les attaquants opérant dans votre environnement Microsoft Office 365 ainsi que dans toute application SaaS fédérée utilisant Azure AD. Nous savons que les attaquants n'opèrent pas en silos, c'est pourquoi Vectra suit les signes de comportement des attaquants à travers l'entreprise, l'hybride, le centre de données, IaaS et SaaS, le tout à partir d'un point de contrôle unique.
Pour en savoir plus sur Vectra, n'hésitez pas à nous contacter!