J'ai récemment rejoint Jennifer Geisler, CMO de Vectra, pour un aperçu du récent rapport Spotlight : Vision et visibilité : Top 10 des détections de menaces pour Microsoft Azure AD et Office 365. Nous avons voulu décortiquer certaines couches du rapport et nous pencher sur ce que signifie réellement la détection des menaces, sur ce qui rend la détection des menaces si difficile et sur la façon dont les organisations peuvent créer une vision et une visibilité pour aider à mesurer si leur approche de la sécurité est fructueuse ou non. Si vous n'avez pas assisté au webinaire, ne vous inquiétez pas, vous pouvez télécharger le rapport.
Le rapport détaille les détections de menaces les plus fréquentes que les clients de Vectra voient et utilisent pour ratifier des attaques sur Microsoft Azure AD et Office 365. Toutes les détections ne sont pas malveillantes, mais elles sont toutes reçues par les clients en raison d'un comportement peu fréquent jugé anormal ou dangereux sur ces plateformes cloud . Vous verrez comment les détections se mesurent en fonction de la taille de l'entreprise, ce que chacune pourrait signifier en termes d'activité d'attaque potentielle et comment les détections pourraient correspondre à une attaque de la chaîne d'approvisionnement dans la vie réelle.
Si le rapport fournit des données et des recherches intéressantes, il peut également être une ressource utile pour les équipes de sécurité qui établissent une vision et une visibilité - nousavons pu approfondir tous ces domaines au cours du webinaire. L'une des questions posées était la suivante : "Qu'est-ce qui rend la détection des menaces si difficile ?"
J'aimerais qu'il y ait une réponse simple et directe à cette question, mais elle renvoie à la capacité d'action. Il faut d'abord définir ce qui est réellement considéré comme une menace. S'agit-il d'un exploit, d'une compromission ou d'une activité inhabituelle ? Ensuite, si vous voulez capturer les menaces, vous devez être en mesure d'identifier quelque chose qui n'est pas évident, car les adversaires d'aujourd'hui sont de plus en plus rusés et de moins en moins évidents dans leurs mouvements. Comme vous le verrez dans le rapport, les adversaires prennent des mesures pour atteindre leurs objectifs qui ressemblent beaucoup à l'activité d'un utilisateur autorisé - vous devez non seulement être en mesure de détecter cela, mais aussi d'appliquer les mesures correctives et la réponse nécessaires.
Cela va sans dire, mais le fait que nous disposions désormais de données de détection des menaces du Top 10 pour ces services Microsoft populaires témoigne du nombre d'organisations qui utilisent ces plates-formes. Microsoft compte plus de 250 millions de postes payants pour Office 365, et il y a certainement une bonne raison à cela : cet outil est incroyablement précieux, en particulier pour maintenir la connexion et la productivité d'une main-d'œuvre à distance. Il se trouve que les cybercriminels s'intéressent à ce large public, ce qui rend la détection de leur comportement plus importante que jamais.
Les 3 principales détections de menaces
1. Opération d'échange risquée avec O365
Des opérations anormales sur Exchange ont été détectées et peuvent indiquer qu'un pirate manipule Exchange pour accéder à des données spécifiques ou poursuivre la progression de l'attaque.
2. Opération suspecte Azure AD
Des opérations anormales d'Azure AD ont été détectées, ce qui peut indiquer que des attaquants escaladent les privilèges et effectuent des opérations de niveau administrateur après une visite régulière surUsurpation de compte.
3. Activité de téléchargement suspecte d'O365
Un compte a été vu en train de télécharger un nombre inhabituel d'objets, ce qui peut indiquer qu'un pirate utilise les fonctions de téléchargement de SharePoint ou OneDrive pour exfiltrer des données.
C'est comme lorsqu'on a demandé à Willie Sutton, le célèbre braqueur de banques, pourquoi il continuait à braquer des banques. Il a répondu : "c'est là que se trouve l'argent".
Nous expliquons pourquoi le comportement des attaquants se dirige vers le site cloud et quelles sont les détections de menaces qui présentent le plus grand potentiel pour un comportement d'attaque. Par exemple, une détection d'opération d'échange risquée sur O365 pourrait signifier qu'un adversaire désactive les protections et exfiltre les données. Nous vous montrerons pourquoi l'idée que vous pouvez arrêter un mauvais acteur ne fonctionne plus, et comment vous pouvez envisager de mesurer le succès en sachant réellement ce qui se passe dans votre environnement.
Nous espérons que vous apprécierez la discussion et que le rapport Spotlight vous sera utile.