Microsoft Incident Response è in grado di rilevare gli autori delle minacce ingannandoli con account esca

È ormai noto che gli autori delle minacce utilizzeranno ogni tecnologia disponibile, inclusa l’intelligenza artificiale, per rilasciare tutti i tipi di minacce, dal ransomware al phishing, al malware e altro ancora.

Le piattaforme Microsoft, come Outlook o Microsoft 365, sono tra le più colpite: ad esempio, solo nel 2022, più dell’80% degli account Microsoft 365 sono stati violati, ad un certo punto.

Tuttavia, Microsoft afferma che il suo sistema Microsoft Incident Response può utilizzare una varietà di strumenti di sicurezza informatica, da Microsoft Defender for Identity a Microsoft Defender for Endpoint per sradicare tali minacce in pochi minuti. Inoltre, insieme al nuovo Copilot for Security , Incident Response può affrontare rapidamente qualsiasi tipo di problema di sicurezza informatica senza preoccuparsi che il sistema sia compromesso.

Il colosso tecnologico con sede a Redmond ha mostrato un esempio in cui un’organizzazione è stata presa di mira dal malware modulare Qakbot, che si è diffuso sui server dopo essere stato consultato tramite e-mail.

Il Qakbot attacca l’infrastruttura attraverso una varietà di mezzi e viene utilizzato per rubare credenziali inclusi, ma non limitati a, dati finanziari, e-mail archiviate localmente, password di sistema o hash di password, password di siti Web e cookie dalle cache del browser Web.

Microsoft è intervenuta e, con il sistema Incident Response, è stata in grado di affrontare il problema con un approccio multipiattaforma, come afferma:

Uno degli aspetti più interessanti di Microsoft Incident Response è la sua capacità di utilizzare honeytoken, un metodo di sicurezza che impiega account esca per ingannare e indurre gli autori delle minacce a credere che stiano prendendo di mira account reali.

Il colosso tecnologico con sede a Redmond consiglia ai clienti di mettersi in contatto con Microsoft in modo che il sistema di Incident Response possa essere implementato correttamente quando si affrontano minacce o attacchi informatici.

Puoi leggere il post completo del blog qui .

Gli account esca sono chiamati honeytoken e possono fornire ai team di sicurezza un’opportunità unica per rilevare, deviare o studiare tentativi di attacchi all’identità. I migliori honeytoken sono account esistenti con storie che possono aiutare a nascondere la loro vera natura. Gli honeytoken possono anche essere un ottimo modo per monitorare gli attacchi in corso, aiutando a scoprire da dove provengono gli aggressori e dove potrebbero essere posizionati nella rete.

Microsoft

Microsoft Incident Response è intervenuta e ha distribuito Microsoft Defender for Identity , una soluzione di sicurezza basata su cloud che aiuta a rilevare e rispondere alle minacce legate all’identità. L’introduzione tempestiva del monitoraggio dell’identità nella risposta agli incidenti ha aiutato un team operativo di sicurezza sopraffatto a riprendere il controllo. Questo primo passo ha aiutato a identificare la portata dell’incidente e gli account interessati, ad agire per proteggere le infrastrutture critiche e a lavorare per eliminare l’autore della minaccia. Quindi, sfruttando Microsoft Defender for Endpoint insieme a Defender for Identity, Microsoft Incident Response è stata in grado di tracciare i movimenti dell’autore della minaccia e interrompere i suoi tentativi di utilizzare account compromessi per rientrare nell’ambiente. E una volta completato il contenimento tattico e ripristinato il pieno controllo amministrativo sull’ambiente, Microsoft Incident Response ha collaborato con il cliente per andare avanti e creare una migliore resilienza per aiutare a prevenire futuri attacchi informatici.

Microsoft