Microsoft Incident Response kan bedreigingsactoren detecteren door ze te misleiden met lokaccounts

Het is nu bekend dat bedreigingsactoren elke beschikbare technologie, inclusief AI, zullen gebruiken om allerlei soorten bedreigingen vrij te geven, van ransomware tot phishing, malware en meer.

Microsoft-platforms, zoals Outlook of Microsoft 365, worden er het meest door getroffen: alleen al in 2022 werd op een gegeven moment meer dan 80% van de Microsoft 365-accounts gehackt.

Microsoft zegt echter dat zijn Microsoft Incident Response-systeem een ​​verscheidenheid aan cyberbeveiligingstools kan gebruiken, van Microsoft Defender for Identity tot Microsoft Defender for Endpoint, om dergelijke bedreigingen binnen enkele minuten uit te roeien. Bovendien kan Incident Response, samen met de nieuwe Copilot for Security , snel elk soort cyberbeveiligingsprobleem aanpakken zonder dat u zich zorgen hoeft te maken dat het systeem in gevaar komt.

De in Redmond gevestigde technologiegigant toonde een voorbeeld waarbij een organisatie het doelwit was van de modulaire malware Qakbot, die zich naar de servers verspreidde nadat deze via een e-mail was benaderd.

De Qakbot valt de infrastructuur op verschillende manieren aan en wordt gebruikt om inloggegevens te stelen, inclusief maar niet beperkt tot financiële gegevens, lokaal opgeslagen e-mails, systeemwachtwoorden of wachtwoord-hashes, websitewachtwoorden en cookies uit de caches van webbrowsers.

Microsoft kwam tussenbeide en met het Incident Response-systeem kon het het probleem aanpakken via een multi-platformbenadering, zoals het zegt:

Een van de meest interessante aspecten van de Microsoft Incident Response is de mogelijkheid om honeytokens te gebruiken, een beveiligingsmethode die lokaccounts gebruikt om bedreigingsactoren te misleiden en te laten geloven dat ze zich op echte accounts richten.

De uit Redmond afkomstige techgigant adviseert klanten contact op te nemen met Microsoft, zodat het Incident Response-systeem goed kan worden geïmplementeerd bij het omgaan met cyberdreigingen of cyberaanvallen.

De volledige blogpost kun je hier lezen .

De lokaccounts worden honeytokens genoemd en kunnen beveiligingsteams een unieke kans bieden om pogingen tot identiteitsaanvallen te detecteren, af te weren of te bestuderen. De beste honingtokens zijn bestaande accounts met geschiedenis die kunnen helpen hun ware aard te verbergen. Honeytokens kunnen ook een uitstekende manier zijn om lopende aanvallen te monitoren en te helpen ontdekken waar aanvallers vandaan komen en waar ze zich mogelijk in het netwerk bevinden.

Microsoft

Microsoft Incident Response kwam tussenbeide en implementeerde Microsoft Defender for Identity , een cloudgebaseerde beveiligingsoplossing die helpt bij het detecteren en reageren op identiteitsgerelateerde bedreigingen. Door identiteitsmonitoring vroegtijdig in de respons op incidenten te integreren, kon een overweldigd beveiligingsteam de controle terugkrijgen. Deze eerste stap heeft geholpen om de omvang van het incident en de getroffen accounts in kaart te brengen, actie te ondernemen om kritieke infrastructuur te beschermen en te werken aan het uitzetten van de bedreigingsacteur. Door gebruik te maken van Microsoft Defender for Endpoint en Defender for Identity kon Microsoft Incident Response vervolgens de bewegingen van de bedreigingsacteur traceren en hun pogingen verstoren om gecompromitteerde accounts te gebruiken om de omgeving opnieuw binnen te komen. En toen de tactische inperking eenmaal was voltooid en de volledige administratieve controle over de omgeving was hersteld, werkte Microsoft Incident Response samen met de klant om vooruitgang te boeken en een betere veerkracht op te bouwen om toekomstige cyberaanvallen te helpen voorkomen.

Microsoft