Hace poco me reuní con Jennifer Geisler, Directora de Marketing de Vectra, para conocer de cerca el reciente informe: Visión y Visibilidad: Las 10 principales detecciones de amenazas para Microsoft Azure AD y Office 365. Queríamos pelar algunas de las capas del informe y realmente entrar en lo que realmente significa una detección de amenazas, lo que hace que la detección de amenazas sea tan difícil y cómo las organizaciones pueden crear una visión y visibilidad para ayudar a medir si su enfoque de seguridad es exitoso o no. Si no pudo asistir al seminario web, no se preocupe: puede descargar el informe.
El informe detalla las detecciones de amenazas más frecuentes que los clientes de Vectra ven y utilizan para ayudar a ratificar los ataques a través de Microsoft Azure AD y Office 365. No todas las detecciones son maliciosas, pero los clientes las reciben debido a comportamientos poco frecuentes que se consideran anómalos o inseguros en estas plataformas cloud . Verás cómo se comparan las detecciones en función del tamaño de la empresa, qué podría significar cada una en términos de actividad de ataque potencial y cómo se relacionarían las detecciones con un ataque a la cadena de suministro en la vida real.
Aunque el informe ofrece datos e investigaciones reveladores, también puede ser un recurso útil para los equipos de seguridad que están estableciendo una visión y una visibilidad;durante el seminario web pudimos profundizar en todas esas áreas. Una de las preguntas que surgieron fue: "¿qué hace que la detección de amenazas sea tan difícil?".
Ojalá hubiera una respuesta sencilla en una sola línea para esto, pero la cuestión tiene que volver a la accionabilidad. Primero hay que definir qué se considera realmente una amenaza. ¿Es un exploit, un compromiso o una actividad inusual? Luego, si vas a capturar amenazas, debes tener la capacidad de identificar algo que no sea obvio, porque los adversarios de hoy en día son cada vez más astutos y mucho menos obvios con sus movimientos. Como verá en el informe, los adversarios llevan a cabo acciones que se parecen mucho a la actividad de un usuario autorizado, por lo que no sólo debe ser capaz de detectarlas, sino también de aplicarles las medidas correctivas y de respuesta necesarias.
Puede que no haga falta decirlo, pero el hecho de que ahora dispongamos de datos de detección de las 10 principales amenazas para estos populares servicios de Microsoft es un testimonio de cuántas organizaciones utilizan estas plataformas. Microsoft tiene más de 250 millones de puestos de pago de Office 365, y sin duda hay una buena razón para ello: la herramienta es increíblemente valiosa, especialmente para mantener a los trabajadores remotos conectados y productivos. Sucede que los ciberdelincuentes se están dando cuenta de la gran audiencia, lo que hace que detectar su comportamiento sea más importante que nunca.
Las 3 principales detecciones de amenazas
1. Operación de intercambio arriesgada de O365
Se han detectado operaciones anómalas en Exchange que pueden indicar que un atacante está manipulando Exchange para obtener acceso a datos específicos o seguir avanzando en el ataque.
2. Operación sospechosa de Azure AD
Se han detectado operaciones anómalas en Azure AD que pueden indicar que los atacantes están escalando privilegios y realizando operaciones a nivel de administrador después de la toma de control regular de la cuenta.
3. Actividad de descarga sospechosa de O365
Se observó que una cuenta descargaba un número inusual de objetos, lo que puede indicar que un atacante está utilizando las funciones de descarga de SharePoint o OneDrive para filtrar datos.
Es como cuando al famoso ladrón de bancos Willie Sutton le preguntaron por qué seguía robando bancos. Dijo, "ahí es donde está el dinero".
Explicaremos por qué el comportamiento de los agresores se dirige hacia la cloud y qué detecciones de amenazas conllevan el mayor potencial de comportamiento de ataque, como por ejemplo por qué una detección de operación de intercambio arriesgada en O365 podría significar que un adversario está desactivando las protecciones y filtrando datos. Le mostraremos por qué la idea de que puede detener a un mal actor ya no funciona, y cómo puede pensar en medir el éxito, sabiendo realmente lo que está pasando en su entorno.
Esperamos que disfrute del debate y que el Informe Spotlight también le resulte útil.