As 10 principais detecções de ameaças observadas no Microsoft Azure AD e Office 365

As 10 principais detecções de ameaças observadas no Microsoft Azure AD e Office 365. A detecção de operações arriscadas do Office 365 estava no topo ou próximo ao topo da lista de detecções vistas por clientes da empresa de segurança cibernética Vectra.

Um novo relatório da empresa de segurança cibernética Vectra destaca as 10 principais ameaças que os clientes enfrentam ao usar o Microsoft Azure AD e o Office 365. 

A lista no ” 2021 Q2 Spotlight Report: Top 10 Threat Detections for Microsoft Azure AD e Office 365 ” é encabeçada por operações de troca arriscadas do O365, operações suspeitas do Azure AD e atividades de download suspeitas do O365. 

A nuvem continua mudando tudo o que sabemos sobre segurança, deixando a abordagem legada de proteção de ativos obsoleta. No entanto, coletar os dados certos e ter inteligência artificial (IA) significativa pode ajudar a identificar os meandros dos ataques para que as equipes de segurança possam se concentrar nas ameaças que realmente requerem atenção, em vez de gastar ciclos valiosos em alertas benignos. Neste relatório, o Vectra discute as 10 principais detecções de ameaças vistas na base de clientes do Vectra que ajudam a ratificar ataques no Microsoft Azure AD e Office 365. 

Entre janeiro e março, a Vectra viu um aumento surpreendente nas detecções centradas em invasores que tentavam manipular o Exchange para obter acesso a dados específicos ou avançar na progressão do ataque. Mais de 70% dos clientes da Vectra acionaram essa detecção por semana, de acordo com seus dados. 

Mais de 60% dos clientes do Vectra também acionaram detecções semanais de operações anormais do Azure AD, o que significa que os ciberataques podem estar escalando privilégios e executando operações de nível de administrador após o controle regular da conta. As contas do O365 baixando um número incomum de objetos também estavam no topo da lista de detecções detectadas semanalmente, seguido por outros problemas com o O365 relacionados a atividades de compartilhamento suspeitas e acesso de equipe externa. 

Outras detecções comumente vistas pelo Vectra incluem privilégios administrativos sendo atribuídos a contas redundantes ou encaminhamento de e-mail suspeito.

O estudo observa que muitas das funções visadas são usadas para compartilhar arquivos e acessá-los com outros usuários de uma empresa, dificultando a defesa, já que mais pessoas trabalham em casa e não têm escolha a não ser compartilhar arquivos digitalmente. 

Havia algumas diferenças com o tipo de tendências de detecção observadas em empresas de pequeno, médio e grande porte. Enquanto organizações menores lidavam com operações de troca mais arriscadas do O365, operações suspeitas do Azure AD e atividades de download suspeitas do O365, entidades maiores tiveram que enfrentar mais poder suspeito do O365 para automatizar detecções de criação de fluxo, bem como mais encaminhamento de emails suspeitos e atividade de equipe externa no O365. 

No geral, as empresas maiores geralmente acionam menos detecções, e os pesquisadores da Vectra presumiram que os usuários e administradores de empresas maiores podem “executar atividades do Office 365 e do Azure AD de forma mais consistente em comparação com organizações menores”.

Mas as empresas maiores também tiveram que enfrentar mais sequestros de DLL do Office 365, ataques incomuns ao mecanismo de script do Office 365 e exfils de descoberta eletrônica suspeitos do Office 365, observa o relatório. 

O estudo também inclui uma análise detalhada de como a backdoor do Solarwinds estava sendo aproveitada pelos invasores. 

Os especialistas em segurança cibernética atribuíram grande parte das descobertas do relatório à grande mudança para o trabalho remoto que ocorreu em 2020 devido à pandemia. Existem mais de 250 milhões de usuários ativos do Microsoft Office 365, e o CEO da AppOmni, Brendan O’Connor, disse que a pandemia expôs o quão insuficiente as equipes são quando se trata de segurança cibernética.

Quando as empresas mudaram para uma força de trabalho virtual e remota, as organizações tiveram que mudar rapidamente os aplicativos e dados de negócios para a nuvem. A equipe de TI não pode mais obter o pequeno benefício que tinham com a segmentação de rede proporcionada pelas redes tradicionais de escritório”, disse ele. 

Com as medidas de segurança tradicionais completamente removidas da equação, a equipe de TI se esforçou para implementar as medidas necessárias para garantir a segurança dos dados na nuvem. A rápida adoção de SaaS expôs não apenas a falta de conhecimento geral em segurança cibernética, mas também a falta de conhecimento em SaaS para alavancar as medidas de segurança integradas de forma eficaz.

Fonte: ZDNet & Vectra

Veja também:

 

 

 

Sobre mindsecblog 1759 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Por que sua postura de segurança cibernética deve ser de confiança zero
  2. Cibersegurança agora é uma das principais prioridades corporativas

Deixe sua opinião!