ウクライナとロシアの緊張が沸騰して紛争に発展する中、サイバー戦争兵器が初めて運動兵器と一緒に配備された。そして重要なことは、これまで日和見的な犯罪者から狙われるだけだと感じていた組織が、やる気のある国家主導のアクターに直面する可能性があるということだ。
Vectra 私たちの組織の使命は、世界をより安全で公平な場所にすることです。そして私たちは、国家主導のアクターから組織を保護する経験を持っています。この紛争が原因で、あなたの組織が攻撃を受けている場合、私たちは無料で支援します。
その誓いの頭金として、私たちが学んだことを少しお話ししたいと思います。
国家主導のアクターからAzure ADとMicrosoft 365サービスを保護する2年間の教訓
2020年12月、国家安全保障局は過去10年間で最も重要なサイバーセキュリティ勧告のひとつを発表した。その中で、国家安全保障局(NSA)は、機密情報への特権的なアクセスを得るためにフェデレートされたIDを悪用し、標準的なユーザーIDを自分たちの利益のために操作する方法を発見したことを説明した。今月、米国土安全保障省は、世界的な活動を支援する米国の防衛請負業者の業務を妨害するために、アイデンティティの侵害が利用されていることを世界に警告した。
M365 SaaSインフラストラクチャでアイデンティティ、メッセージング、コラボレーションのためにMicrosoftのクラウドサービスに依存している組織内のセキュリティチームのために、ここでは高度な攻撃から組織を保護するためのいくつかの簡単なヒントを紹介します。
- M365テナント内のサービスプリンシパルアカウントの整合性を監視する - 多くの組織は、オンプレミスシステムとMicrosoft Cloudの間で動作するハイブリッドコンピューティングワークロードのためのサービスプリンシパルアカウントに依存しています。これらのアカウントが悪用される可能性を減らすために、これらのアカウントを強化し、また、これらのアカウントに関連するすべてのアクティビティの監査とロギングを最適化するために、補償制御を使用することが重要です。
- 多要素認証の完全性を監視する 多要素認証一般に、条件付きアクセス・ポリシーは、Microsoft Cloud 内の 特権ID の使用を制御するために導入される。残念ながら、攻撃者は設定オプションを操作して MFA の有効性を低下させることができる。例えば、PowerShell のレガシー認証プロトコルを許可する特権アカウントが有効になっている場合、MFA は実質的にバイパスされます。
- Authenticator 認証に使用されるモバイル・デバイスの整合性を監視する - セキュリティ体制が優れていると自認している組織の最近の評価では、Microsoft Authenticator に関連付けられた iPhone の 60%以上が、攻撃者によるリモート搾取やMicrosoft Authenticator のクローン化に脆弱であった。第 2 認証要素にモバイル・デバイスを使用する場合、モバイル・デバイスの衛生管理は非常に重要である。
Microsoft Cloud攻撃に関する主な要点
効果的なパスワード・ポリシー、流出した認証情報リストに対するユーザーの検証、サードパーティ製アプリに同意するユーザーの能力に関連するリスクの管理はすべて、組織が被ばくを抑えるために取るべき貴重なステップです。
しかし、これら3つの攻撃経路は、洗練されたサイバー攻撃者も日和見的なサイバー攻撃者も、ID、機密データ、システムへの不正アクセスを試みる主要な幹線道路となる。これらを管理・監視することで、ネットワーク防御者は攻撃の難易度を高める機会を得るだけでなく、攻撃が進行していることを示す指標を発見することもできる。
もし、あなたの組織がこのような問題に直面しているのであれば、私たちにご相談ください。私たちのSiriuxチームは、M365テナントの脅威ハンティングで豊富な経験を持っており、私たちのハードニングガイダンスは、世界で最も攻撃されているテナントのいくつかをスキャンしたことに基づいて開発されています。
3月3日(木)16:00 GMT、Vectra ウェビナーでアーロンにご参加ください:高度な脅威から Microsoft 365 を守る。