Microsoft Incident Response는 미끼 계정으로 속여 위협 행위자를 탐지할 수 있습니다.

이제 위협 행위자는 랜섬웨어부터 피싱, 맬웨어 등에 이르기까지 모든 종류의 위협을 공개하기 위해 AI를 포함하여 사용 가능한 모든 기술을 사용하는 것으로 알려져 있습니다.

Outlook 또는 Microsoft 365와 같은 Microsoft 플랫폼은 가장 큰 영향을 받습니다. 예를 들어 2022년에만 Microsoft 365 계정의 80% 이상이 특정 시점에 해킹당했습니다.

그러나 Microsoft는 자사의 Microsoft 사고 대응 시스템이 Microsoft Defender for Identity부터 Microsoft Defender for Endpoint에 이르기까지 다양한 사이버 보안 도구를 사용하여 몇 분 만에 이러한 위협을 근절할 수 있다고 밝혔습니다. 또한 새로운 보안용 Copilot 과 함께 사고 대응은 시스템 손상에 대한 걱정 없이 모든 종류의 사이버 보안 문제를 신속하게 처리할 수 있습니다.

레드먼드에 본사를 둔 이 거대 기술 기업은 이메일을 통해 액세스한 후 서버로 확산되는 Qakbot 모듈식 악성 코드의 표적이 된 조직의 예를 보여주었습니다.

Qakbot은 다양한 수단을 통해 인프라를 공격하며 금융 데이터, 로컬에 저장된 이메일, 시스템 비밀번호 또는 비밀번호 해시, 웹사이트 비밀번호, 웹 브라우저 캐시의 쿠키를 포함하되 이에 국한되지 않는 자격 증명을 훔치는 데 사용됩니다.

Microsoft가 개입하여 사고 대응 시스템을 통해 다음과 같이 다중 플랫폼 접근 방식으로 문제를 처리할 수 있었습니다.

Microsoft 사고 대응의 가장 흥미로운 측면 중 하나는 미끼 계정을 사용하여 위협 행위자가 실제 계정을 표적으로 삼고 있다고 믿도록 속이고 유인하는 보안 방법인 허니토큰을 사용하는 기능입니다.

레드몬드에 본사를 둔 이 기술 대기업은 사이버 위협이나 사이버 공격을 처리할 때 사고 대응 시스템이 적절하게 구현될 수 있도록 고객에게 Microsoft에 문의하라고 조언합니다.

여기에서 전체 블로그 게시물을 읽을 수 있습니다 .

미끼 계정을 허니토큰이라고 하며 보안 팀에 ID 공격 시도를 탐지, 편향 또는 연구할 수 있는 고유한 기회를 제공할 수 있습니다. 최고의 허니토큰은 자신의 진정한 성격을 숨기는 데 도움이 될 수 있는 기록이 있는 기존 계정입니다. 허니토큰은 또한 진행 중인 공격을 모니터링하여 공격자가 어디에서 오고 네트워크에서 어디에 위치하는지 알아내는 데 도움이 되는 좋은 방법이 될 수 있습니다.

마이크로소프트

Microsoft Incident Response가 개입하여 ID 관련 위협을 감지하고 대응하는 데 도움이 되는 클라우드 기반 보안 솔루션인 Microsoft Defender for Identity 를 배포했습니다. ID 모니터링을 사건 대응에 조기에 도입함으로써 압도된 보안 운영 팀이 통제력을 회복하는 데 도움이 되었습니다. 이 첫 번째 단계는 사건의 범위와 영향을 받은 계정을 식별하고, 중요한 인프라를 보호하기 위한 조치를 취하고, 위협 행위자를 제거하는 데 도움이 되었습니다. 그런 다음 Microsoft Incident Response에서는 Defender for Identity와 함께 Microsoft Defender for Endpoint를 활용하여 위협 행위자의 움직임을 추적하고 손상된 계정을 사용하여 환경에 다시 진입하려는 시도를 중단할 수 있었습니다. 그리고 전술적 격리가 완료되고 환경에 대한 전체 관리 제어가 복원되면 Microsoft Incident Response는 고객과 협력하여 향후 사이버 공격을 방지하는 데 도움이 되는 더 나은 복원력을 구축하기 위해 노력했습니다.

마이크로소프트