Biztonsági intézkedések és Cognito Detect for O365

A Vectra AI-val működő Cognito Detect for Office 365 minden felületen lehetővé teszi az IT biztonsági kontrollok növelését, valamint a tényleges felügyeletet: mindent átvizsgál, elemez, majd priorizálja a feladatokat és szükség esetén riasztást küld a megfelelő szervezeti egységnek. Az incidenskezelés leegyszerűsítése, optimalizálása erőforrás-megtakarítással és a biztonsági auditokon való egyszerűbb megfelelés elérhetőbbé válik a Vectra AI-val.

Megkerülhető az MFA? – Cognito Detect for O365-tel előzd meg a bajt!

Van még olyan felhasználó, aki legalább egy magán vagy céges alkalmazásnál ne használna multi-faktoros hitelesítést (MFA)? Ma már szinte elvárt a tudatos magatartás a vállalati felhasználóknál, és a magán szférában egyaránt, számos fronton megkövetelik tőlünk, hogy többféle módon igazoljuk személyazonosságunkat fiókjainkhoz való hozzáférésünk érdekében (felhasználónév és jelszó megadása mellett más vektorral is beazonosítsuk magunkat belépéskor).

Céges szinten, az MFA -t általában a vállalatok felhőalapú fiókjai biztonságának megőrzésére és a bruteforce hackerek általi támadások megelőzésére használják. Létfontosságú biztonsági “eszköz”. Mivel a kibertámadások azonban egyre kifinomultabbak, lépten-nyomon bizonyítást nyer, hogy a többfaktoros hitelesítés nem feltétlenül elegendő a behatolások megelőzésére, hisz a támadók egyre ügyesebben kerülik meg azt, hogy hozzáférjenek érzékeny pénzügyi információkhoz, számlákhoz, fiókadatokhoz, ügyfélrekordokhoz. Kulcsfontosságú, hogy tudomásulvegyük: az MFA sokszor megkerülhető, nem feltétlenül elegendő önmagában biztonsági megoldásként. Kell, hogy legyen az eszközrendszerünkben egy olyan másik extra, ami képes figyelmeztetést küldeni mielőtt bármilyen kár keletkezne.

Az egyik legnépszerűbb MFA megkerülési technika a rosszindulatú Azure/O365 OAuth-alkalmazások telepítése. Erre hívja fel figyelmünket egy, az ausztrál miniszterelnök által megerősített incidens sorozat is, amit a helyi kormány és vállalkozások ellen követtek el. A támadásokért felelős szereplők a kompromittáláshoz az OAuth-ot használták, ami egy standard megoldás az olyan felhőalapú fiók hozzáférések menedzselésére, mint például a Microsoft Office 365 is.

A későbbi jelentésekből az derült ki, hogy a támadók létrehoztak egy rosszindulatú Office 365 alkalmazást, amelyet egy adathalász link részeként küldtek el a kiválasztott felhasználóknak. Az ilyen esetekben az app mindig teljesen szabályosnak, hitelesnek tűnik, jelen esetben is úgy álcázták, hogy egy, az ausztrál kormányban széles körben jól ismert e-mail szűrési megoldáshoz hasonlóan nevezték el. Amikor a felhasználók “kézhez” kapják a csalit, a rosszindulatú alkalmazások nem keltenek gyanút az áldozatokban, akik így teljes hozzáférést biztosítanak a felhasználói fiókjaikban lévő olyan adatokhoz, tevékenységekhez, mint offline hozzáférés, felhasználói profiladatok, e-mailek olvasásának, áthelyezésének és törlésének lehetősége.

Ha a jogosultságszerzés sikeresen megy végbe, a támadónak közvetlen hozzáférése lesz egy belső Office 365 –fiókhoz, ami tökéletes platformot biztosít számára az egyéb belső adathalászathoz vagy rosszindulatú műveletek elvégzéséhez az Office 365 -ön belül, a SharePoint, a OneDrive, az Exchange és a Teamshez kapcsán is.

Az ilyen típusú támadások esetében nincs rosszindulatú kód a végponton, tehát nincs mit érzékelnie a végpont-biztonsági szoftvereknek sem. Az ilyen típusú, rosszindulatú Office 365-alkalmazások ráadásul folyamatos hozzáférést biztosítanak a támadóknak a komprommitált felhasználói fiókhoz, függetlenül attól, hogy a célfelhasználó megváltoztatja-e a jelszavát vagy kihasználja-e az MFA-t. Mivel a legtöbb user egyáltalán nem leltározza rendszeresen az Office 365 alkalmazásait, így valószínű, hogy a behatolás sokáig (vagy akár örökre) észrevétlen maradhat.

A Vectra AI-val persze mindez elkerülhető lenne, hiszen a Cognito Detect for O365 erre a védelemre lett kifejlesztve. Képes fogadni az O365, Azure AD, SharePoint/OneDrive, Teams és Exchange esemény logokat. A Vectra Cognito AI mélyen átlátja az O365 alkalmazások összefüggéseit és használja a felügyelt/nem-felügyelt gépi tanulási modelleket. Ezek alapján analizálja az eseményeket, mint például a bejelentkezéseket, file létrehozási és módosítási eseményeket, DLP beállításokat és a postafiókok routing konfigurációjának és automatizációjának változásait. Ezzel az IT security felelősök munkája többé nem csak a tűzoltás. A Vectra AI által megjelölt találatok nem anomália alapú riasztások, hanem pontosan meghatározott és behatárolt támadási akciók konkrét jelentései, melyek a kritikus eseményekre, végpontokra és felhasználókra fókuszálnak.

MFA előnyök és hátrányok – a Vectra AI egy magasabb biztonsági szintet biztosít

Az MFA egyértelmű előnye az a plusz vektoros igazolási lépés, amellyel korábban egyértelműen kiküszöbölhetőnek véltük az adott felhasználói fiók hozzáférésének megszerzését. Tehát úgymond egy alap biztonsági intézkedéssé vált, főként a felhős alkalmazások használatakor.

Napjainkban, viszont, már nem véd a felhasználói vagy adminisztrátori fiókok átvétele ellen. Megkerülhető? Igen. Számos módja van: a végrehajtási hibákon keresztül, vagy a felhasználók hiányos IT biztonsági ismereteit kihasználva, beépülve a többlépcsős hitelesítési folyamatba...

A Vectra Cognito Detect for O365 viszont az észlelésen alapuló megoldást alkalmazza. Nincs több gyanús bejelentkezés, rosszindulatú alkalmazástelepítés, Office 365 eszközökkel való visszaélés – van viszont biztonsági csapat részére küldött figyelmeztetés még a kár bekövetkezése előtt.

Ha többet szeretnél megtudni arról, hogy a Vectra AI milyen további IT biztonsági előnyöket nyújt a felhasználói számára, akkor olvass bele a korábbi tartalmainkba is. Ha kipróbálnád, demo-znál egyet a gyártó termékével, akkor az alábbi gombra kattintva vedd fel velünk a kapcsolatot.