先日、VectraCMOのジェニファー・ガイスラーと共に、最近のスポットライト・レポートについて内部を取材した:ビジョンと可視性:Vision and Visibility: Top 10 Threat Detections for Microsoft Azure AD and Office 365」です。私たちは、レポートのレイヤーの一部を剥がし、脅威の検出が真に意味するもの、脅威の検出をこれほど困難にしているもの、そして、組織がセキュリティ・アプローチが成功しているかどうかを測定するのに役立つビジョンと可視性をどのように作成できるのかに迫りたいと思いました。ウェビナーをご覧になれなかった方も、レポートをダウンロードできますのでご安心ください。
本レポートでは、MicrosoftAzure ADおよびOffice 365において、Vectra 、顧客が最も頻繁に目にし、攻撃の批准に役立てている脅威の検知について詳述しています。すべての検知が悪意を持っているわけではありませんが、これらの検知はすべて、クラウドプラットフォーム全体で異常または安全でないと判断される動作の頻度が低いために、顧客が受信したものです。企業規模に基づく検知値の測定方法、潜在的な攻撃活動の観点から見た各検知値の意味、および検知値が実際のサプライチェーン攻撃にどのようにマッピングされるかをご覧いただけます。
このレポートは、洞察に満ちたデータと調査を提供する一方で、 ビジョンと可視性を確立しつつあるセキュリティチームにとっても有用なリソースとなる。その中で、「何が脅威の検知をこれほど困難にしているのか」という質問が出た。
これに対する単純な一行の答えがあればいいのだが、この質問は実行可能性に立ち戻らなければならない。まず、何が実際に脅威と見なされるのかを定義する必要がある。エクスプロイトなのか、侵害なのか、異常な活動なのか。そして、脅威を捕捉するのであれば、明白ではない何かを特定する能力を持つべきである。なぜなら、今日の敵は狡猾になってきており、その動きがかなり目立たなくなってきているからだ。スポットライト・レポートにあるように、敵対者は正規ユーザーの活動と非常によく似た行動を目標に向かって取っています。検知 、それに対して必要な修復やレスポンス 。
言うまでもないことかもしれないが、これらの人気の高いマイクロソフトのサービスでトップ10の脅威検知データが利用可能になったという事実は、これらのプラットフォームを利用している組織がいかに多いかを物語っている。マイクロソフトのOffice 365の有料シート数は2億5,000万を超えるが、これには十分な理由がある。サイバー犯罪者は、このような多くの利用者に注目しており、彼らの行動を検知することがこれまで以上に重要になっている。
脅威検知トップ3
1.O365 リスキーな為替操作
攻撃者が特定のデータへのアクセスやさらなる攻撃の進行を得るために Exchange を操作していることを示す可能性のある異常な Exchange 操作が検知された。
2.Azure AD の疑わしい操作
攻撃者が通常のアカウント乗っ取り後に特権を昇格させ、管理者レベルの操作を実行していることを示す可能性のある、Azure ADの異常な操作が検知されました。
3.O365 不審なダウンロード活動
攻撃者がSharePointまたはOneDriveのダウンロード機能を使用してデータを流出していることを示す可能性のある、異常な数のオブジェクトをダウンロードしているアカウントが確認されました。
悪名高い銀行強盗のウィリー・サットンが、なぜ銀行強盗を続けるのかと聞かれたときのようなものだ。彼は「そこに金があるからだ」と言った。
攻撃者の行動がクラウドに向かっている理由や、O365 の危険な Exchange 操作が検知された場合、敵が保護を無効にしてデータを流出している可能性がある理由など、攻撃行動の可能性が最も高い脅威の検知について説明します。悪意のある攻撃者を阻止できるという考え方がもはや通用しない理由と、お客様の環境で何が起こっているかを実際に把握することで、成功の度合いを測定する方法をご紹介します。
ディスカッションを楽しんでいただき、スポットライト・レポートがお役に立てば幸いです。