Microsoft 事件回應可以透過使用誘餌帳戶欺騙威脅行為者來偵測威脅行為者

Microsoft 事件回應可以透過使用誘餌帳戶欺騙威脅行為者來偵測威脅行為者

現在眾所周知,威脅行為者將使用包括人工智慧在內的所有可用技術來釋放各種威脅,從勒索軟體到網路釣魚、惡意軟體等。

Outlook 或 Microsoft 365 等 Microsoft 平台受其影響最嚴重:例如,光是 2022 年,就有超過80% 的 Microsoft 365 帳戶在某個時刻遭到駭客攻擊。

然而,微軟表示,其微軟事件回應系統可採用多種網路安全工具,從 Microsoft Defender for Identity 到 Microsoft Defender for Endpoint,在幾分鐘內消除此類威脅。此外,與新的Copilot for Security一起,事件回應可以快速處理任何類型的網路安全問題,而不必擔心系統受到損害。

這家總部位於雷德蒙的科技巨頭展示了一個範例,其中一個組織成為 Qakbot 模組化惡意軟體的目標,該惡意軟體在透過電子郵件存取後傳播到伺服器。

Qakbot 透過多種方式攻擊基礎設施,用於竊取憑證,包括但不限於財務資料、本機儲存的電子郵件、系統密碼或密碼雜湊、網站密碼以及 Web 瀏覽器快取中的 cookie。

微軟介入,透過事件回應系統,它能夠以多平台方法處理該問題,如下所示:

Microsoft 事件回應最有趣的方面之一是它使用蜜幣的能力,這是一種安全方法,利用誘餌帳戶來欺騙和引誘威脅行為者相信他們的目標是真實帳戶。

這家總部位於雷德蒙的科技巨頭建議客戶與微軟聯繫,以便在處理網路威脅或網路攻擊時能夠正確實施事件回應系統。

您可以在此處閱讀完整的部落格文章。

誘餌帳戶稱為蜜幣,它們可以為安全團隊提供獨特的機會來偵測、轉移或研究企圖進行的身份攻擊。最好的蜜幣是具有歷史記錄的現有帳戶,可以幫助隱藏其真實本質。蜜幣也是監控正在進行的攻擊的好方法,有助於發現攻擊者來自何處以及他們可能位於網路中的位置。

微軟

Microsoft 事件回應介入並部署了Microsoft Defender for Identity,這是一個基於雲端的安全解決方案,可協助偵測和回應與身分相關的威脅。儘早將身分監控納入事件回應有助於不堪負荷的安全營運團隊重新獲得控制權。第一步有助於確定事件的範圍和受影響的帳戶,採取行動保護關鍵基礎設施,並致力於驅逐威脅行為者。然後,透過利用Microsoft Defender for Endpoint和 Defender for Identity,Microsoft 事件回應能夠追蹤威脅參與者的活動並阻止他們使用受損帳戶重新進入環境的嘗試。一旦戰術遏止完成並恢復對環境的全面管理控制,Microsoft 事件回應將與客戶合作,繼續建立更好的彈性,以幫助防止未來的網路攻擊。

微軟

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *