Sonntag, Dezember 4, 2022

Wenn jemand versucht, Ihr Windows-Netzwerk zu überfallen, ist es jetzt etwas einfacher, in Microsoft 365 Defender zu groken

Microsoft bringt Azure Active Directory Identity Protection-Warnungen zu Microsoft 365 Defender, um der IT angeblich dabei zu helfen, Kriminelle zu vereiteln, die über kompromittierte Benutzer in Unternehmensnetzwerke eindringen.

Das bedeutet zum einen, dass Sie, wenn Sie herausfinden möchten, welche Rolle eine Azure AD-Identität bei einem Angriff gespielt hat, dies jetzt von einem Ort aus tun können, Microsoft 365 Defender, und sich die Überprüfung Ihres Azure-Portals ersparen, so Microsoftie Idan Pelleg. Identitätsschutzwarnungen können so konfiguriert werden, dass sie ausgelöst werden, wenn es scheint, dass ein oder mehrere Benutzerkonten kompromittiert wurden, basierend auf ihrem Verhalten, Standort und anderen Faktoren. Dies ist nützlich, um verdächtige oder nicht autorisierte Aktionen zu erkennen und zu blockieren.

„Identitätsschutzwarnungen werden jetzt zusammen mit Warnungen aus anderen Sicherheitsdomänen mit verwandten Vorfällen korreliert und können direkt in Microsoft 365 Defender für eine vollständige End-to-End-Angriffsansicht überprüft werden“, erklärte Pelleg am Dienstag.

Letztendlich ist all dies wichtig, da ein Angreifer, der die Kontrolle über ein legitimes Unternehmenskonto hat, damit durch Netzwerke navigieren und Systeme, Ressourcen und andere Konten kompromittieren kann.

„Mit ausreichenden Berechtigungen haben Angreifer die ‚Schlüssel zum Königreich‘, um endlich ihr Ziel zu erreichen: das gesamte Netzwerk zu verschlüsseln, E-Mails oder andere sensible Informationen oder andere böswillige Ziele herauszufiltern“, fügte Pelleg hinzu und argumentierte, dass Sicherheitsteams erforderlich seien um verdächtige identitätsbezogene Aktivitäten erkennen zu können.

Es gibt mehrere hochkarätige Angriffe, die diesen Punkt beweisen, einschließlich des Nobelium-Falls. Die vom Kreml unterstützte Crew, auch bekannt als Cosy Bear und APT29, ist eine Advanced Persistent Threat (APT), die vor allem für den hochkarätigen Angriff auf SolarWinds im vergangenen Jahr bekannt ist, der die Sicherheit der Lieferkette ins Rampenlicht rückte.

Threat-Intelligence-Firmen wie Mandiant und Kaspersky verfolgen Nobelium seit Jahren. Mandiant-Forscher beschrieben im August Nobelium – ein Name, der von Microsoft zugewiesen wurde – als eine „extrem produktive“ Spionagegruppe, die wahrscheinlich vom russischen Auslandsgeheimdienst (SVR) gesponsert wird und die das ganze Jahr 2022 über auf Organisationen abzielt, die an der Schaffung einer Außenpolitik für NATO-Staaten beteiligt sind .

„Dazu gehörten Fälle, in denen APT29 Opfer erneut aufgesucht hat, die vor Jahren oder manchmal erst Monate zuvor kompromittiert worden waren“, schrieben Mandiants Leichen. „Diese Beharrlichkeit und Aggressivität sind ein Zeichen für ein anhaltendes Interesse an diesen Informationen und eine rigorose Beauftragung durch die russische Regierung.“

Sie fügten hinzu, dass die Gruppe weiterhin „hervorragende Betriebssicherheit und fortschrittliche Taktiken gegen Microsoft 365 demonstriert“.

Nobelium und andere Angreifer kompromittieren Identitäten in lokalen Netzwerken und Cloud-Umgebungen von Unternehmen. Pelleg beschrieb einen Nobelium-Angriff, bei dem Cyberschnüffler in ein lokales Netzwerk eindrangen und Konten mit AD Federation Services-Berechtigungen kompromittierten, wodurch sie Zugriff auf Cloud-Ressourcen und -Dienste erhielten. Sie waren in der Lage, Token für den Cloud-Zugriff zu prägen und Informationen aus den E-Mail-Posteingängen der Benutzer herauszufiltern.

Anscheinend akzeptiert Azure AD Identity Protection „Billionen von Erkennungssignalen“, um kompromittierte Identitäten zu erkennen; kann unter anderem Warnungen für Konten generieren, die durchgesickerte Anmeldeinformationen, verdächtige E-Mail-Weiterleitungen und Anmeldungen von unerwarteten IP-Adressen und Standorten verwenden.

Mit diesen Warnungen können Unternehmen bestimmte Konten sperren, um einen laufenden Angriff zu stoppen und seine Auswirkungen zu begrenzen, bestätigen, dass ein Benutzer kompromittiert wurde, ihn innerhalb von Identity Protection als hohes Risiko kennzeichnen und ihn zwingen, sein Passwort zu ändern. ®

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles