10 основных обнаружений угроз в Microsoft Azure AD и Office 365

В новом отчете компании по кибербезопасности Vectra выделены 10 основных угроз, с которыми сталкиваются клиенты при использовании Microsoft Azure AD и Office 365.

Список в "Обзорный отчет за второй квартал 2021 г.: 10 основных обнаружений угроз для Microsoft Azure AD и Office 365" возглавляют рискованные операции обмена O365, подозрительные операции Azure AD и подозрительную активность загрузки O365.

В период с января по март в Vectra наблюдался поразительный рост количества обнаружений, направленных на злоумышленников, пытающихся манипулировать Exchange с целью получить доступ к определенным данным или дальнейшего развития атаки. По их данным, более 70% клиентов Vectra еженедельно сталкивались с этим обнаружением.

Более 60% клиентов Vectra также еженедельно обнаруживали аномальные операции Azure AD, т.е. Киберзлоумышленники могут повышать привилегии и выполнять операции на уровне администратора после обычной учетной записи. перенимать. Учетные записи O365, загружающие необычное количество объектов, также оказались в числе обнаруженных еженедельно, за которыми следовали другие проблемы с O365, связанные с подозрительной активностью обмена информацией и внешней командой доступ.

Другие часто встречающиеся обнаружения со стороны Vectra включают назначение административных привилегий дублирующим учетным записям или подозрительную пересылку почты.

В исследовании отмечается, что многие из целевых функций используются для обмена файлами и доступа к ним другим пользователям внутри компанию, что усложняет защиту, поскольку все больше людей работают из дома и не имеют другого выбора, кроме как обмениваться файлами. в цифровом виде.

ВИДЕТЬ: Новый стек для малого и среднего бизнеса (Специальный материал ZDNet/TechRepublic) | Загрузите бесплатную PDF-версию (Техреспублик)

Были некоторые различия в тенденциях обнаружения, замеченных в малых, средних и крупных компаниях. В то время как более мелкие организации имели дело с большим количеством рискованных операций обмена O365, подозрительными операциями Azure AD и подозрительной активностью загрузки O365, более крупные организациям приходилось сталкиваться с большим количеством подозрительных обнаружений создания потоков автоматизации O365, а также с более подозрительной пересылкой почты и деятельностью внешних команд в О365.

В целом, более крупные компании обычно вызывают меньшее количество обнаружений, и исследователи Vectra предположили, что пользователи и администраторы крупных компаний могут «выполнять действия Office 365 и Azure AD более последовательно по сравнению с меньшими компаниями». организации».

Но более крупным компаниям также приходилось сталкиваться с увеличением количества перехватов библиотек Office 365, необычных атак на скриптовый движок Office 365 и подозрительных файлов eDiscovery Office 365, отмечается в отчете.

Исследование также включает подробный анализ того, как злоумышленники использовали бэкдор Solarwinds.

Эксперты по кибербезопасности связывают большую часть выводов отчета с массовым переходом на удаленную работу, который произошел в 2020 году из-за пандемии. Насчитывается более 250 миллионов активных пользователей Microsoft Office 365, и генеральный директор AppOmni Брендан О'Коннор заявил, что пандемия показала, насколько серьезно не хватает персонала в командах, когда дело касается кибербезопасности.

«Когда предприятия перешли на виртуальную и удаленную рабочую силу, организациям пришлось быстро переносить бизнес-приложения и данные в облако. ИТ-персонал больше не сможет получить ту небольшую выгоду, которую он получил от сегментации сети, которую дают традиционные офисные сети», — сказал он.

«Поскольку традиционные меры безопасности были полностью исключены из уравнения, ИТ-персонал изо всех сил пытался реализовать необходимые меры для обеспечения безопасности данных в облаке. Быстрое внедрение SaaS выявило не только отсутствие общего опыта в области кибербезопасности, но и отсутствие опыта в SaaS для эффективного использования встроенных мер безопасности».