En nuestra versión más reciente, hemos incluido una nueva capacidad de detección que llamamos Azure AD Privilege Operation Anomaly, para detener las apropiaciones de cuentas en Azure AD. Este algoritmo de IA se diseñó específicamente para identificar cuándo los atacantes se mueven en el inquilino de Azure AD para ganar persistencia, ampliar su alcance o realizar acciones para evadir la detección.
Últimamente, hemos visto un aumento de los atacantes que han mejorado su capacidad para eludir la autenticación multifactor (MFA ) para infiltrarse en cuentas de usuario legítimas. Los atacantes están utilizando sus habilidades y apuntando a Azure AD para obtener acceso a aplicaciones SaaS de misión crítica que van desde la gestión de relaciones con los clientes (CRM) hasta el almacenamiento de datos cloud y la funcionalidad completa de Office 365. Una vez comprometida una cuenta, los atacantes actuarán dentro del entorno para robar y pedir rescate por los datos. Y puesto que el ataque aprovecha una cuenta de confianza, todas estas acciones parecen estar en pleno cumplimiento según el software cloud access security broker (CASB).
Esto demuestra por qué la detección y respuesta avanzadas en Azure AD y Office 365 son tan importantes: permiten alertar a los equipos en cuanto comienza un ataque, ya armados con un conocimiento completo de las acciones del atacante para poder detener a los atacantes antes de que alcancen sus objetivos.
El nuevo Vectra Cognito Azure AD Privilege Anomaly es un avance radical en la detección de eventos de toma de control de cuentas. Y lo que es más importante, puede detectar cuándo una cuenta se ha visto comprometida y comienza a abusar de sus privilegios para dar a los atacantes un mayor acceso. La alerta proporciona cobertura en toda la gama de acciones de Azure AD que realizan los atacantes, incluida la elevación de privilegios de usuario, las modificaciones de los permisos de las aplicaciones y los cambios en los controles de acceso de los inquilinos.
Conseguimos esta amplia cobertura aplicando la IA para ir más allá de las simples firmas o reglas. Vectra aprende pasivamente el nivel mínimo exacto de permisos que las cuentas utilizan en Azure AD en el día a día. Este "privilegio observado" proporciona una representación más precisa de los permisos operativos de las cuentas que lo que dicta Azure AD.
El "privilegio observado" aprendido es único para cada inquilino y se identifica para cada cuenta y todas las más de 100 operaciones diferentes de Azure AD. Vectra aplica esta lente de "privilegio observado" para auditar cada acción realizada en Azure AD e identificar cuándo una cuenta está comprometida y abusa de su privilegio.
Vectra puede identificar y detener a los atacantes que operan en su entorno de Microsoft Office 365, así como en cualquier aplicación SaaS federada que utilice Azure AD. Sabemos que los atacantes no operan en silos, por lo que Vectra rastrea los signos de comportamiento de los atacantes en toda la empresa, híbrido, centro de datos, IaaS y SaaS, todo desde un único punto de control.
Si desea más información sobre Vectra, no dude en ponerse en contacto con nosotros.