Las vistas de campaña, una nueva capacidad que llega en vista previa pública para la Protección contra amenazas avanzadas (ATP) Business 365 de Microsoft, tiene como objetivo proporcionar un mayor contexto en torno a las campañas de ataque por correo electrónico para que las organizaciones puedan aprender cómo fueron atacadas y si sus defensas se mantuvieron.
Los atacantes detrás de una campaña de correo electrónico generalmente usan un patrón o plantilla diseñada para sus mensajes. Los correos electrónicos se envían en oleadas, cada una de las cuales es ligeramente variada para evitar con eficacia las defensas o engañar a las víctimas. La identificación de esta plantilla, que determine la campaña completa, puede ayudar a los equipos de seguridad a identificar las debilidades en sus defensas y prevenir ataques similares en el futuro.
El problema es que es difícil para las empresas detectar una campaña integral de ataque por correo electrónico al mirar mensajes individuales. Si un atacante irrumpe en una organización y alguien hace clic en un enlace incorrecto, las vistas de campaña ayudan a localizar usuarios vulnerables, por lo que se pueden tomar medidas correctivas para limitar la violación. La herramienta recopila y correlaciona datos específicos del atacante, como el envío de dominios, direcciones IP y URL para ayudar a los profesionales de la seguridad a adoptar un enfoque más proactivo para la defensa.
La pila de protección ATP de Office environment 365 ya tiene como objetivo bloquear los ataques de phishing y malware de día cero con un sistema de defensa en capas compuesto por herramientas para abordar la protección en el perímetro, la inteligencia del remitente, el filtrado de contenido y la protección posterior a la entrega. Estas capacidades están destinadas a ayudar a identificar amenazas durante el flujo de correo y después de la entrega del correo electrónico. Vistas de campaña da un paso atrás para proporcionar una vista más basic de un ataque en specific.
«Debido a que estos son ataques completamente nuevos y nuestro objetivo es proteger incluso al primer usuario, estas defensas operan incluso antes de que se unan las vistas de la campaña», dice Girish Chander, gerente de programas grupales con seguridad de Workplace 365. «El objetivo de las vistas de campaña es superponer estas protecciones para ayudar a los equipos de seguridad a vislumbrar toda la campaña que los golpeó».
Esta herramienta es una forma más avanzada de agrupar correos electrónicos en una campaña específica basada en la similitud de la plantilla de correo electrónico, la carga útil y otros rasgos, incluso cuando cambian factores como el envío de IP y el envío de direcciones. Su objetivo es aumentar la efectividad de los equipos de SOC que intentaban identificar campañas dentro de la organización buscando todos los correos electrónicos que contengan un atributo específico (remitente, URL, and so forth.), que Chander dice que es una técnica menos efectiva. Las vistas de campaña aprovechan la inteligencia del gráfico de seguridad de inteligencia de Microsoft para identificar mejor los ataques.
En una sola vista, los equipos de seguridad pueden obtener detalles sobre una campaña completa, incluido cuándo comenzó, el patrón de envío y la línea de tiempo, cuánto tiempo ha estado en curso y cuántas personas fueron víctimas del ataque. Los administradores pueden ver la lista de direcciones IP y remitentes involucrados en la organización del ataque y evaluar qué correos electrónicos fueron bloqueados, entregados a basura o en cuarentena, o entregados a la bandeja de entrada del empleado. Además de ver todas las URL utilizadas en el ataque, los equipos de seguridad que usan el Explorador de amenazas ATP de Place of work 365 pueden saber si algún usuario hizo clic en el enlace de phishing.
Al ver quién cayó en un ataque y cómo, los administradores pueden saber quién necesita restablecer sus credenciales y quién debería habilitar la autenticación multifactor. Además, una visión más amplia de una campaña puede informar a los administradores de configuraciones de seguridad deficientes que los atacantes están explotando para obtener acceso. Una vista de los indicadores de compromiso brinda a los administradores los datos que necesitan para investigar otros mensajes que exhiben las mismas características y tomar medidas correctivas.
«Desafortunadamente, no es raro ver configuraciones deficientes en las organizaciones, como 'los inquilinos permiten' una amplia muestra de dominios de envío o IP», dice Chander. «Estos inquilinos permiten anular cualquier captura ATP y entregar el correo electrónico a la bandeja de entrada». Debido a que muchas de estas configuraciones defectuosas han existido durante algún tiempo, la gente a menudo no las conoce.
«Sin embargo, lo que estamos descubriendo es que cuando los clientes ven la magnitud del impacto de estas configuraciones pobres, se vuelve más contextual y urgente tratar con ellos», agrega.
Al revisar una campaña de ataque, los equipos de seguridad deben priorizar el aprendizaje de quién se vio comprometido y asegurarse de que estén protegidos para evitar que el ataque se propague. En algunos casos, Safe and sound Inbound links bloqueó los clics, pero la víctima anuló el bloqueo. Microsoft señala que existe una alta probabilidad de que las víctimas hayan caído en un ataque alojado en un sitio malicioso, ya sea al entregar credenciales al sitio fraudulento o al ser golpeado con malware no autorizado.
Microsoft informa que los usuarios de vista previa temprana de las vistas de campaña han identificado múltiples fallas de configuración. Uno descubrió que un atacante explotaba una lista de permisos de dominio Como resultado, el 34% de los mensajes de phishing detectados por ATP fueron rescatados y luego entregados a las bandejas de entrada de los empleados. Los clientes también informan que la herramienta facilita la explicación de las amenazas al CISO y a los pares de negocios.
Contenido relacionado:
Kelly Sheridan es la Editora de particular de Dark Studying, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance & Technologies, donde cubrió asuntos financieros … Ver biografía completa
Más tips
