Microsoft Incident Response kann Bedrohungsakteure erkennen, indem es sie mit Scheinkonten austrickst

Mittlerweile ist bekannt, dass Bedrohungsakteure jede verfügbare Technologie, einschließlich KI, nutzen, um alle möglichen Bedrohungen zu verbreiten, von Ransomware bis hin zu Phishing, Malware und mehr.

Am stärksten betroffen sind davon Microsoft-Plattformen wie Outlook oder Microsoft 365: So wurden allein im Jahr 2022 mehr als 80 % der Microsoft 365-Konten irgendwann gehackt.

Microsoft sagt jedoch, dass sein Microsoft Incident Response-System eine Vielzahl von Cybersicherheitstools einsetzen kann, von Microsoft Defender for Identity bis Microsoft Defender for Endpoint, um solche Bedrohungen innerhalb von Minuten auszumerzen. Darüber hinaus kann Incident Response zusammen mit dem neuen Copilot for Security jede Art von Cybersicherheitsproblemen schnell lösen, ohne befürchten zu müssen, dass das System kompromittiert ist.

Der in Redmond ansässige Technologieriese präsentierte ein Beispiel, bei dem eine Organisation von der modularen Schadsoftware Qakbot angegriffen wurde, die sich nach dem Zugriff über eine E-Mail auf die Server verbreitete.

Qakbot greift die Infrastruktur auf unterschiedliche Weise an und wird zum Stehlen von Anmeldeinformationen verwendet, unter anderem Finanzdaten, lokal gespeicherte E-Mails, Systemkennwörter oder Kennwort-Hashes, Website-Kennwörter und Cookies aus dem Cache von Webbrowsern.

Microsoft griff ein und konnte das Problem mithilfe des Incident Response-Systems in einem plattformübergreifenden Ansatz lösen, wie es heißt:

Einer der interessantesten Aspekte von Microsoft Incident Response ist die Möglichkeit, Honeytokens zu verwenden. Dabei handelt es sich um eine Sicherheitsmethode, bei der Scheinkonten eingesetzt werden, um Bedrohungsakteure auszutricksen und ihnen vorzugaukeln, dass sie es auf echte Konten abgesehen haben.

Der Tech-Riese mit Sitz in Redmond rät seinen Kunden, sich an Microsoft zu wenden, damit das Incident-Response-System bei der Bewältigung von Cyberbedrohungen oder Cyberangriffen richtig implementiert werden kann.

Den gesamten Blogbeitrag können Sie hier lesen .

Die Lockkonten werden Honeytoken genannt und bieten Sicherheitsteams die einzigartige Möglichkeit, versuchte Identitätsangriffe zu erkennen, abzuwehren oder zu untersuchen. Die besten Honeytoken sind bestehende Konten mit Historien, die helfen können, ihre wahre Natur zu verbergen. Honeytoken können auch eine hervorragende Möglichkeit sein, laufende Angriffe zu überwachen und herauszufinden, woher die Angreifer kommen und wo sie sich im Netzwerk befinden.

Microsoft

Microsoft Incident Response griff ein und setzte Microsoft Defender for Identity ein – eine cloudbasierte Sicherheitslösung, die hilft, identitätsbezogene Bedrohungen zu erkennen und darauf zu reagieren. Durch die frühzeitige Einbeziehung der Identitätsüberwachung in die Incident Response konnte ein überfordertes Sicherheitsteam die Kontrolle zurückgewinnen. Dieser erste Schritt half dabei, den Umfang des Vorfalls und die betroffenen Konten zu identifizieren, Maßnahmen zum Schutz kritischer Infrastrukturen zu ergreifen und an der Vertreibung des Bedrohungsakteurs zu arbeiten. Durch die Nutzung von Microsoft Defender for Endpoint zusammen mit Defender for Identity konnte Microsoft Incident Response dann die Bewegungen des Bedrohungsakteurs verfolgen und seine Versuche unterbinden, über kompromittierte Konten wieder in die Umgebung einzudringen. Und nachdem die taktische Eindämmung abgeschlossen und die vollständige administrative Kontrolle über die Umgebung wiederhergestellt war, arbeitete Microsoft Incident Response mit dem Kunden zusammen, um eine bessere Widerstandsfähigkeit aufzubauen und zukünftige Cyberangriffe zu verhindern.

Microsoft