Seguridad

La investigación revela 10 amenazas comunes que afectan a los clientes de la nube

Una nueva investigación de las empresas de detección y respuesta de amenazas muestra que las amenazas más comunes a las redes corporativas son consistentes en todas las empresas, independientemente del tamaño.

inteligencia artificial weida El informe Spotlight del segundo trimestre de 2021, «Visión y visibilidad: las 10 principales detecciones de amenazas para Microsoft Azure AD y Office 365», se publicó el miércoles. Estas principales detecciones de amenazas que se encuentran en Microsoft Azure AD y Office 365 permiten a los equipos de seguridad detectar comportamientos poco comunes o inseguros en sus entornos.

Los investigadores calcularon la frecuencia relativa de las detecciones de amenazas desencadenadas durante un período de tres meses en función del tamaño del cliente (pequeño, mediano y grande). Los resultados detallan las 10 principales detecciones de amenazas recibidas por los clientes por frecuencia relativa.

Independientemente del tamaño de la empresa, las detecciones de Office 365 Risk Exchange Operations están en la parte superior o cerca de la parte superior de la lista de detecciones que ven todos los clientes de Vectra. Los usuarios de Vectra Cloud Security reciben alertas sobre comportamientos inusuales en su entorno de nube para ayudar a aprobar ataques.

«La implementación de una inteligencia artificial (IA) significativa como pilar central cuando se extraen datos informativos de redes internas y externas es fundamental para obtener una ventaja frente a los adversarios maliciosos”, dijo Matt Pieklik, analista consultor sénior de Vectra. «Equipos de seguridad Se requiere una visibilidad integral para detectar actividad potencialmente peligrosa en aplicaciones desde el punto final hasta la red y la nube en tiempo real”.

Debido a la gran audiencia de la plataforma, Microsoft Office 365 también ha despertado el interés de los ciberdelincuentes. De hecho, en una encuesta global reciente de 1112 profesionales de seguridad, Vectra descubrió cómo los delincuentes eluden rutinariamente los controles de seguridad, incluida la autenticación multifactor (MFA), lo que demuestra que los atacantes determinados aún pueden obtener acceso.

detalles del informe

El informe de Vectra asigna estos comportamientos a los ataques recientes a la cadena de suministro para demostrar cómo los actores están evadiendo los controles preventivos, como los entornos limitados de red, los puntos finales y la autenticación multifactor (MFA). Esta información es crítica para asegurar el almacenamiento de datos en la nube.

La nube continúa cambiando todo lo relacionado con la seguridad, dejando obsoletos los métodos tradicionales de protección de activos. Pero recopilar los datos correctos y tener una IA significativa puede ayudar a identificar los entresijos de un ataque.

Este conocimiento permite que los equipos de seguridad se concentren en las amenazas que realmente requieren atención. Según Vectra, esta es una mejor respuesta que gastar preciosos ciclos en alertas benignas.

La detección de amenazas y la respuesta son más fáciles cuando un adversario realiza una acción claramente maliciosa. Pero la realidad actual es que los adversarios encuentran cada vez más innecesaria esta acción abierta cuando los servicios y accesos existentes que se usan en toda la organización pueden simplemente seleccionarse, usarse indebidamente y abusarse.

El informe señala que es fundamental que los ciberdefensores modernos aborden dos cuestiones en el proceso de detección y defensa contra estos ataques. Primero, deben comprender las posibles intersecciones entre los tipos de acciones que un adversario debe realizar para lograr sus objetivos. En segundo lugar, deben identificar el comportamiento habitual de los usuarios autorizados en toda la empresa.

Cuando estos comportamientos se cruzan, los factores clave que distinguen las amenazas internas y del adversario de los usuarios benignos son la intención, el contexto y la autorización. Se puede entregar una IA significativa mediante el análisis continuo de cómo los usuarios acceden, usan y configuran sus aplicaciones en la nube.

Saber cómo se accede a sus hosts, cuentas y cargas de trabajo puede marcar la diferencia.

Tim Bach, vicepresidente de ingeniería, señaló que para proteger por completo los datos de la nube y SaaS, los equipos de seguridad deben comprender continuamente a los usuarios internos y externos que tienen acceso a los datos, incluidas las aplicaciones de terceros que se conectan a su nube y SaaS. entornos. AppOmni.

«En resumen, las organizaciones deberían mejorar su Cloud Access Security Broker (CASB) con herramientas o procesos que puedan descubrir y monitorear el acceso a datos fuera de la red», dijo a TechNewsWorld.

Los resultados diferían de las campañas de prueba anteriores

Según Tim Wade, director técnico del equipo de CTO, el hallazgo más importante del estudio de este año es la probabilidad de que un atacante tenga que entrar o salir de Office 365 para lograr su objetivo final. inteligencia artificial weidaOffice 365 podría ser una cabeza de puente para pasar a los activos en línea tradicionales o para depositar datos valiosos para el robo.

«A medida que más organizaciones pasan cada vez más del Active Directory local tradicional a Azure AD, el comportamiento sospechoso en Azure AD se vuelve cada vez más importante para que los profesionales de la seguridad mantengan la visibilidad», dijo a TechNewsWorld.

La intrusión fue noticia este año. Parte de esto se debe a una mayor conciencia pública. Parte de esto es el efecto de infracciones exitosas, y parte es un subproducto de que los atacantes encuentran cada vez más nuevas formas de monetizar sus ataques, agregó.

Las 10 principales amenazas de detección

1. Riesgo de operaciones cambiarias. Estas acciones pueden indicar que un atacante está manipulando Exchange para obtener acceso a datos específicos o para seguir avanzando en el ataque.

2. Operación sospechosa de Azure AD. Estas acciones podrían indicar que un atacante está aumentando los privilegios y realizando acciones de nivel de administrador después de una toma de control de cuenta regular.

3. Actividad de descarga sospechosa. Se descubrió que una cuenta estaba descargando una cantidad inusual de objetos, lo que puede indicar que un atacante está usando la función de descarga de SharePoint o OneDrive para robar datos.

4. Actividad de intercambio sospechosa. Se encuentra que las cuentas tienen volúmenes de archivos y/o carpetas compartidos más altos de lo normal, lo que puede indicar que un atacante está usando SharePoint para robar datos o mantener el acceso después de que se haya corregido el acceso inicial.

5. Creación de acceso redundante de Azure AD. Se han asignado derechos administrativos a una entidad, lo que puede indicar que un atacante está creando un acceso redundante para evitar la reparación.

6. Acceso de equipo externo. Se ha agregado una cuenta externa a un equipo en Teams, lo que puede indicar que un adversario ha agregado una cuenta bajo su control.

7. Suspicious Power crea procesos automáticamente. Se observó una creación anormal de Power Automate Flow, lo que puede indicar que un atacante está configurando un mecanismo de persistencia.

8. Reenvío de correo sospechoso. Reenvío de correo, que se puede utilizar como canal de recogida o exfiltración sin persistencia.

9. Búsquedas inusuales de eDiscovery. Un usuario está creando o actualizando una búsqueda de exhibición de documentos electrónicos, lo que puede indicar que un atacante obtuvo acceso a la funcionalidad de exhibición de documentos electrónicos y está realizando un reconocimiento.

10. Operaciones sospechosas de SharePoint. Administrar excepcionalmente las operaciones de SharePoint que puedan estar relacionadas con actividad maliciosa.

mitigación

Abordar los desafíos que las organizaciones continúan viendo de los ciberdelincuentes implica comprender los comportamientos que los atacantes están motivados a tomar. Eso significa poder recopilar y agregar datos que descubran estos comportamientos de manera que el personal de seguridad pueda actuar, anotó Pietlik.

Vectra dice que su Cognito Detect para Office 365 y Azure AD detecta y responde automáticamente al comportamiento oculto de los atacantes cibernéticos. La solución acelera la investigación de incidentes y permite la búsqueda proactiva de amenazas. La aplicación proporciona visibilidad de Power Automate, Teams, eDiscovery, búsqueda de cumplimiento, backend de Azure AD, Exchange, SharePoint y proveedores de SaaS de terceros.

Cloud Security Posture Management (CSPM) es un elemento de acción importante, sugiere el cofundador y CTO Vishal Jain ValticusUna vez que las empresas son conscientes de sus vulnerabilidades de seguridad, deben establecer automáticamente puntos de control y políticas de seguridad para mejorar aún más su postura de seguridad en la nube.

«Sería muy deseable automatizar este proceso de dos pasos en un flujo de trabajo», dijo a TechNewsWorld.

LEER  Llegamos tarde al cerrar la puerta del granero en Pegasus

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba