Vectores de amenazas más comunes y …


Los profesionales de la seguridad analizan las formas más habituales en que los atacantes aprovechan Microsoft 365 y comparten su orientación con los defensores.

(Imagen: phloxii a través de Adobe Stock)

(Imagen: phloxii a través de Adobe Stock)

A medida que más organizaciones se han vuelto más dependientes de Microsoft 365, Google Cloud y Amazon Internet Companies, los ciberdelincuentes han comenzado a darse cuenta de que el cambio los beneficia y, en consecuencia, están adaptando sus ataques para aprovechar las principales plataformas en la nube que utilizan las organizaciones.

Más de 59,8 millones de mensajes de Microsoft 365 se dirigieron a miles de organizaciones el año pasado, Informes de prueba, y Google envió o alojó más de 90 millones de mensajes maliciosos. En el primer trimestre de 2021, 7 millones de mensajes maliciosos provinieron de Microsoft 365 y 45 millones de la infraestructura de Google, muy por encima de los ataques trimestrales basados ​​en Google en 2020.

«Creo que se alinea con un patrón typical», dice Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad en Proofpoint, sobre un aumento en los ataques basados ​​en la nube. Si bien los expertos han visto abusados ​​de los servicios de correo electrónico en la nube en el pasado, la infraestructura de los atacantes de hoy se ve diferente.

«Ahora, si es un atacante … puede comprometer algunas cuentas de Business 365 o Google Workspace y usar eso para hacer todo, desde lanzar sus ataques hasta alojar sus cargas útiles», continúa Kalember. «Francamente, es una ventanilla única si eres un atacante. Es todo lo que necesitas desde una perspectiva de infraestructura».

En Microsoft 365 u otra plataforma en la nube importante, no importa si un atacante desea realizar una investigación para un correo electrónico comercial comprometido o hacer que alguien haga clic en un enlace malicioso en las primeras etapas de un ataque de ransomware. Una cuenta en la nube comprometida, especialmente una cuenta de correo electrónico en la nube, es útil para varios tipos diferentes de ataques. Desde la perspectiva de un atacante, es un lugar útil para extraer información porque probablemente no se bloqueará, señala Kalember.

El gran tamaño de la foundation de usuarios de Microsoft 365 lo hace aún más atractivo para los atacantes. Si bien algunas empresas pueden usar plataformas como G Suite como alternativa, Microsoft 365 es «el gorila de 800 libras en términos de ese espacio de colaboración», dice el CTO de Vectra, Oliver Tavakoli. Los atacantes conocen el valor de los datos almacenados en la plataforma de Microsoft y cómo pueden acceder a ellos de manera efectiva.

Apuntando a la nube
Está claro que una cuenta en la nube comprometida puede resultar fructífera para los delincuentes. Pero, ¿exactamente cómo están abusando de estas plataformas? ¿Y cómo suelen ser estos ataques?

Para obtener más información sobre esto, los investigadores de Vectra compilaron las principales detecciones de amenazas en Microsoft Azure Advertisement y Microsoft Office 365 que se ven con mayor frecuencia entre los clientes de la compañía.

El más común, informan, es la operación Risky Trade de Workplace 365: en estos casos, las operaciones anormales de Exchange detectadas pueden indicar que un atacante está manipulando Trade para obtener acceso a datos específicos o una mayor progresión del ataque. Más del 70% de la foundation de clientes de Vectra ha activado esta detección por semana desde principios de 2021, los investigadores descubrieron.

La segunda detección de amenazas más común involucra operaciones sospechosas en Azure Advertisement. Una operación anormal de Azure Advert podría indicar que los atacantes están aumentando los privilegios y realizando operaciones de nivel de administrador después de una toma de control frequent de la cuenta. Los atacantes están haciendo «muchos mordiscos» en Azure Advertisement, agregando y quitando personas hacia y desde grupos y elevando los privilegios.

«Si entro y tengo sus credenciales, simplemente al agregarlo a un grupo en certain, el efecto posterior de eso podría estar en Business office 365, ahora tiene acceso a un montón de SharePoints que no tenía», explica Tavakoli. . «Si he robado su cuenta, entonces darle más derechos a su cuenta y luego usar esos derechos en la aplicación es un vector de ataque muy interesante».

Un problema en Azure Ad es que no hay una separación clara entre las cosas que alguien debería poder hacer benignamente por sí mismo, como establecer una imagen de perfil en el directorio, y operaciones bastante privilegiadas que deberían limitarse a los administradores, dice. .

«Ahora tenemos que afilar el lápiz de manera efectiva y realmente descubrir cómo diferenciar las operaciones que importan (para el atacante) de las que no», dice Tavakoli.

Otras detecciones de amenazas comunes incluyen a los atacantes que descargan una cantidad inusual de objetos en Business 365 y cuentas que comparten archivos y / o carpetas en un volumen más alto de lo ordinary, los cuales podrían indicar que los atacantes están usando funciones de descarga y uso compartido para exfiltrar datos. Los investigadores de Vectra también informan sobre la creación de acceso redundante en Azure Advertisement y la adición de cuentas externas a los equipos de Office 365, ya que las organizaciones de detección de amenazas deben estar atentas.

Kalember de Proofpoint dice que los atacantes también dependen cada vez más de las aplicaciones OAuth y otras aplicaciones de terceros que conectan a las personas con las cuentas de Workplace 365 y Google Workspace. Estas aplicaciones world wide web no necesariamente suplantan las credenciales consiguen que la gente confíe en ellos. No es difícil, dice, para un atacante crear una versión falsa de SharePoint On the internet y enviar un correo electrónico de phishing. Si tiene éxito, pueden obtener un token de OAuth que representa las credenciales de una persona.

«Los atacantes aprovechan ese acceso de diferentes formas», dice. «Lo aprovecharán de manera muy handbook y leerán el contenido de esa bandeja de entrada, enviarán un correo electrónico como esa persona y realizarán más ataques de esa manera».

También pueden usar esos tokens en campañas automatizadas más grandes para capturar más credenciales y comprometer una mayor cantidad de cuentas.

Defensa de Microsoft 365: consejos y desafíos
La gran mayoría (85%) de las violaciones de datos involucran un elemento humano, informó recientemente el «Informe de investigaciones de violación de datos 2021» (DBIR) de Verizon, y el 61% involucra credenciales comprometidas.

«Así es como funcionan los atacantes ahora. No piratean, sino que inician sesión», dice Kalember, quien señala que solo el 3% de los ataques en el DBIR usaban exploits de vulnerabilidad. Los pasos que las organizaciones pueden tomar para proteger las credenciales serán cada vez más importantes a medida que los atacantes confíen en estas técnicas.

Aconseja a las organizaciones que eliminen los protocolos heredados y agreguen autenticación multifactor «a todo lo que enfrenta Online», dos pasos que señala que han sido buenos consejos durante mucho tiempo y deberían ser una prioridad para las organizaciones que aún no los han tomado. Para las organizaciones que no pueden pagar un agente de seguridad de acceso a la nube (CASB) u otra herramienta de seguridad en la nube, recomienda una mirada más cercana a Microsoft Sentinel, una herramienta que las organizaciones pueden usar para acceder a los registros de Place of work 365.

«Ser capaz de al menos volver a los registros, si no puede permitirse implementar una herramienta de seguridad CASB o en la nube que lo haga por usted, es realmente muy importante», agrega.

Microsoft 365 es complicado para los defensores, dice Tavakoli sobre los obstáculos que enfrentan los equipos de seguridad, porque muchas de sus diferentes herramientas también podrían resultar útiles para los atacantes. Considere eDiscovery, una herramienta diseñada para ayudar a sacar a la luz términos específicos, por ejemplo, «contraseña», en el correo electrónico, los equipos y otras comunicaciones. Está destinado a ayudar a los empleados a acceder a diferentes recursos, pero también podría ayudar a los atacantes que buscan información.

«Cuando tienes un sistema muy complejo que los defensores realmente no captan y lo expulsas fuera de las murallas de tu fortaleza, los atacantes tienen una ventaja inherente», explica. «Pasarán el tiempo para descubrir esa complejidad y necesitarán encontrar algunos patrones de diseño que tienden a funcionar para los ataques, y luego esos patrones de diseño tienden a ser increíblemente reutilizables».

Tavakoli enfatiza la importancia de comprender las políticas dentro de Office 365. ¿Desea que esto sea principalmente una plataforma de colaboración dentro de la organización o también desea usarla con socios externos? Si trabaja con socios externos, es importante establecer puntos de demarcación clave. Un SharePoint compartido con socios debe mantenerse de manera diferente a un SharePoint destinado a la colaboración interna, señala. ¿Qué partes del sistema y qué datos pueden estar disponibles para socios externos? ¿Están las expectativas para esto también establecidas internamente?

Determinar el número de pólizas es un equilibrio complicado de lograr. Tavakoli dice que probablemente querrá al menos de 10 a 15 pólizas, no cientos, pero tampoco tan pocas que otorguen a las personas derechos demasiado amplios. El principio de privilegio mínimo sigue siendo clave.

«Otorgue a los usuarios sólo la cantidad de privilegios que necesitan para hacer su trabajo», agrega.

Kelly Sheridan es la editora de particular de Dim Studying, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original