Rozwiązanie Microsoft Incident Response może wykryć podmioty zagrażające, oszukując ich za pomocą kont-wabików

Obecnie wiadomo, że ugrupowania zagrażające będą wykorzystywać każdą dostępną technologię, w tym sztuczną inteligencję, do uwalniania wszelkiego rodzaju zagrożeń, od oprogramowania ransomware po phishing, złośliwe oprogramowanie i nie tylko.

Platformy Microsoft, takie jak Outlook czy Microsoft 365, są jednymi z najbardziej dotkniętych tą sytuacją: na przykład w samym 2022 r. w pewnym momencie ponad 80% kont Microsoft 365 zostało zhakowanych.

Microsoft twierdzi jednak, że jego system reagowania na incydenty firmy Microsoft może wykorzystywać różnorodne narzędzia cyberbezpieczeństwa, od Microsoft Defender for Identity po Microsoft Defender for Endpoint, aby wyeliminować takie zagrożenia w ciągu kilku minut. Ponadto, wraz z nowym rozwiązaniem Copilot for Security , rozwiązanie Incident Response może szybko uporać się z wszelkiego rodzaju problemami związanymi z cyberbezpieczeństwem bez obawy, że system zostanie naruszony.

Gigant technologiczny z Redmond przedstawił przykład, w którym organizacja stała się celem modułowego szkodliwego oprogramowania Qakbot, które rozprzestrzeniało się na serwery po uzyskaniu dostępu za pośrednictwem wiadomości e-mail.

Qakbot atakuje infrastrukturę na różne sposoby i służy do kradzieży danych uwierzytelniających, w tym między innymi danych finansowych, przechowywanych lokalnie wiadomości e-mail, haseł systemowych lub skrótów haseł, haseł do witryn internetowych i plików cookie z pamięci podręcznej przeglądarki internetowej.

Wkroczył Microsoft i dzięki systemowi reagowania na incydenty był w stanie uporać się z problemem w podejściu wieloplatformowym, jak stwierdza:

Jednym z najciekawszych aspektów rozwiązania Microsoft Incident Response jest możliwość korzystania z Honeytokenów — metody zabezpieczeń wykorzystującej konta-wabiki w celu oszukiwania i wabienia cyberprzestępców w przekonaniu, że ich celem są prawdziwe konta.

Gigant technologiczny z Redmond radzi klientom skontaktowanie się z firmą Microsoft w celu prawidłowego wdrożenia systemu reagowania na incydenty w przypadku cyberzagrożeń lub cyberataków.

Pełny wpis na blogu możesz przeczytać tutaj .

Konta-wabiki nazywane są Honeytokenami i mogą zapewnić zespołom ds. bezpieczeństwa wyjątkową możliwość wykrywania, odpierania lub badania prób ataków tożsamości. Najlepsze Honeytokeny to istniejące konta z historią, która może pomóc ukryć ich prawdziwą naturę. Honeytokeny mogą być także świetnym sposobem monitorowania trwających ataków, pomagając odkryć, skąd pochodzą napastnicy i gdzie mogą się znajdować w sieci.

Microsoftu

Wkroczyła firma Microsoft Incident Response i wdrożyła usługę Microsoft Defender for Identity — oparte na chmurze rozwiązanie zabezpieczające, które pomaga wykrywać zagrożenia związane z tożsamością i reagować na nie. Wczesne włączenie monitorowania tożsamości do reagowania na incydenty pomogło przeciążonemu zespołowi ds. bezpieczeństwa odzyskać kontrolę. Ten pierwszy krok pomógł zidentyfikować zakres incydentu i konta, na które miał on wpływ, podjąć działania mające na celu ochronę infrastruktury krytycznej i pracować nad eksmisją ugrupowania zagrażającego. Następnie, wykorzystując usługę Microsoft Defender for Endpoint wraz z usługą Defender for Identity, usługa Microsoft Incident Response była w stanie prześledzić ruchy ugrupowania zagrażającego i udaremnić jego próby wykorzystania zhakowanych kont w celu ponownego przedostania się do środowiska. Po zakończeniu taktycznego zabezpieczenia i przywróceniu pełnej kontroli administracyjnej nad środowiskiem dział Microsoft Incident Response współpracował z klientem w celu zapewnienia lepszej odporności i zapobiegania przyszłym cyberatakom.

Microsoftu