Microsoft Incident Response peut détecter les auteurs de menaces en les trompant avec des comptes leurres

Il est désormais connu que les auteurs de menaces utiliseront toutes les technologies disponibles, y compris l’IA, pour diffuser toutes sortes de menaces, des ransomwares au phishing, en passant par les logiciels malveillants, etc.

Les plateformes Microsoft, comme Outlook ou Microsoft 365, sont parmi les plus touchées : par exemple, rien qu’en 2022, plus de 80 % des comptes Microsoft 365 ont été piratés, à un moment donné.

Cependant, Microsoft affirme que son système Microsoft Incident Response peut utiliser une variété d’outils de cybersécurité, de Microsoft Defender for Identity à Microsoft Defender for Endpoint, pour éradiquer ces menaces en quelques minutes. De plus, avec le nouveau Copilot for Security , Incident Response peut traiter rapidement tout type de problème de cybersécurité sans craindre que le système ne soit compromis.

Le géant de la technologie basé à Redmond a présenté un exemple dans lequel une organisation a été ciblée par le malware modulaire Qakbot, qui s’est propagé aux serveurs après avoir été consulté par courrier électronique.

Le Qakbot attaque l’infrastructure par divers moyens et est utilisé pour voler des informations d’identification, notamment des données financières, des e-mails stockés localement, des mots de passe système ou des hachages de mots de passe, des mots de passe de sites Web et des cookies des caches des navigateurs Web.

Microsoft est intervenu et, grâce au système de réponse aux incidents, il a pu résoudre le problème selon une approche multiplateforme, comme indiqué :

L’un des aspects les plus intéressants de Microsoft Incident Response est sa capacité à utiliser des honeytokens, une méthode de sécurité qui utilise des comptes leurres pour tromper et inciter les acteurs malveillants à croire qu’ils ciblent de vrais comptes.

Le géant technologique basé à Redmond conseille à ses clients de contacter Microsoft afin que le système de réponse aux incidents puisse être correctement mis en œuvre en cas de cybermenaces ou de cyberattaques.

Vous pouvez lire l’article de blog complet ici .

Les comptes leurres sont appelés honeytokens et peuvent offrir aux équipes de sécurité une opportunité unique de détecter, de détourner ou d’étudier les tentatives d’attaque d’identité. Les meilleurs honeytokens sont des comptes existants avec des historiques qui peuvent aider à cacher leur vraie nature. Les Honeytokens peuvent également être un excellent moyen de surveiller les attaques en cours, aidant ainsi à découvrir d’où viennent les attaquants et où ils peuvent être positionnés dans le réseau.

Microsoft

Microsoft Incident Response est intervenu et a déployé Microsoft Defender for Identity , une solution de sécurité basée sur le cloud qui permet de détecter et de répondre aux menaces liées à l’identité. L’intégration précoce de la surveillance des identités dans la réponse aux incidents a permis à une équipe des opérations de sécurité débordée de reprendre le contrôle. Cette première étape a permis d’identifier l’ampleur de l’incident et les comptes concernés, de prendre des mesures pour protéger les infrastructures critiques et de travailler à l’expulsion de l’auteur de la menace. Ensuite, en exploitant Microsoft Defender for Endpoint et Defender for Identity, Microsoft Incident Response a pu retracer les mouvements des acteurs malveillants et interrompre leurs tentatives d’utilisation de comptes compromis pour réintégrer l’environnement. Et une fois le confinement tactique terminé et le contrôle administratif complet sur l’environnement rétabli, Microsoft Incident Response a travaillé avec le client pour aller de l’avant et renforcer la résilience afin d’aider à prévenir de futures cyberattaques.

Microsoft