Microsoft Incident Response puede detectar actores de amenazas engañándolos con cuentas señuelo

Ahora se sabe que los actores de amenazas utilizarán todas las tecnologías disponibles, incluida la inteligencia artificial, para lanzar todo tipo de amenazas, desde ransomware hasta phishing, malware y más.

Las plataformas de Microsoft, como Outlook o Microsoft 365, son algunas de las más afectadas: por ejemplo, solo en 2022, más del 80% de las cuentas de Microsoft 365 fueron pirateadas en algún momento.

Sin embargo, Microsoft dice que su sistema Microsoft Incident Response puede emplear una variedad de herramientas de ciberseguridad, desde Microsoft Defender for Identity hasta Microsoft Defender for Endpoint para erradicar este tipo de amenazas en cuestión de minutos. Además, junto con el nuevo Copilot for Security , Incident Response puede abordar rápidamente cualquier tipo de problema de ciberseguridad sin preocuparse de que el sistema se vea comprometido.

El gigante tecnológico con sede en Redmond mostró un ejemplo en el que una organización fue atacada por el malware modular Qakbot, que se propagó a los servidores después de acceder a él en un correo electrónico.

Qakbot ataca la infraestructura a través de una variedad de medios y se utiliza para robar credenciales que incluyen, entre otros, datos financieros, correos electrónicos almacenados localmente, contraseñas del sistema o hashes de contraseñas, contraseñas de sitios web y cookies de las cachés del navegador web.

Microsoft intervino y, con el sistema de respuesta a incidentes, pudo abordar el problema con un enfoque multiplataforma, como afirma:

Uno de los aspectos más interesantes de Microsoft Incident Response es su capacidad de utilizar Honeytokens, un método de seguridad que emplea cuentas señuelo para engañar y atraer a los actores de amenazas haciéndoles creer que están apuntando a cuentas reales.

El gigante tecnológico con sede en Redmond aconseja a sus clientes que se pongan en contacto con Microsoft para que el sistema de respuesta a incidentes pueda implementarse correctamente cuando se trate de ciberamenazas o ataques cibernéticos.

Puedes leer la publicación completa del blog aquí .

Las cuentas señuelo se denominan tokens de miel y pueden brindar a los equipos de seguridad una oportunidad única para detectar, desviar o estudiar intentos de ataques de identidad. Los mejores tokens de miel son cuentas existentes con historiales que pueden ayudar a ocultar su verdadera naturaleza. Los Honeytokens también pueden ser una excelente manera de monitorear los ataques en progreso, ayudando a descubrir de dónde provienen los atacantes y dónde pueden estar ubicados en la red.

microsoft

Microsoft Incident Response intervino e implementó Microsoft Defender for Identity , una solución de seguridad basada en la nube que ayuda a detectar y responder a amenazas relacionadas con la identidad. Incorporar el monitoreo de identidad a la respuesta a incidentes de manera temprana ayudó a que un equipo de operaciones de seguridad abrumado recuperara el control. Este primer paso ayudó a identificar el alcance del incidente y las cuentas afectadas, tomar medidas para proteger la infraestructura crítica y trabajar para desalojar al actor de la amenaza. Luego, al aprovechar Microsoft Defender for Endpoint junto con Defender for Identity, Microsoft Incident Response pudo rastrear los movimientos del actor de amenazas e interrumpir sus intentos de utilizar cuentas comprometidas para volver a ingresar al entorno. Y una vez que se completó la contención táctica y se restableció el control administrativo total sobre el entorno, Microsoft Incident Response trabajó con el cliente para avanzar y desarrollar una mejor resiliencia para ayudar a prevenir futuros ataques cibernéticos.

microsoft