Klasifikace hrozeb v Microsoft Defender pro Office 365

• Platí pro:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Efektivní klasifikace hrozeb je klíčovou součástí kybernetické bezpečnosti, která organizacím umožňuje rychle identifikovat, posoudit a zmírnit potenciální rizika. Systém klasifikace hrozeb v Microsoft Defender pro Office 365 používá pokročilé technologie, jako jsou velké jazykové modely, malé jazykové modely (SLM) a modely strojového učení (ML), aby automaticky detekovaly a klasifikovaly e-mailové hrozby. Tyto modely společně poskytují komplexní, škálovatelnou a adaptivní klasifikaci hrozeb a pomáhají bezpečnostním týmům udržet si náskok před vznikajícími útoky.

Díky kategorizaci e-mailových hrozeb do konkrétních typů, jako jsou útoky phishing, malware a ohrožení obchodních e-mailů (BEC), poskytuje náš systém organizacím přehledy s akcemi, které chrání před škodlivými aktivitami.

Typy hrozeb

Typ hrozby odkazuje na primární kategorizaci hrozby na základě základních charakteristik nebo metody útoku. Historicky jsou tyto široké kategorie identifikovány v rané fázi životního cyklu útoku a pomáhají organizacím pochopit povahu útoku. Mezi běžné typy hrozeb patří:

• Phishing: Útočníci zosobní důvěryhodné entity, aby oklamali příjemce, aby odhalili citlivé informace, jako jsou přihlašovací údaje nebo finanční data.
• Malware: Škodlivý software navržený k poškození nebo zneužití systémů, sítí nebo zařízení.
• Spam: Nevyžádané, často irelevantní e-maily odeslané hromadně, obvykle pro škodlivé nebo propagační účely.

Detekce hrozeb

Detekce hrozeb se týkají technologií a metodologií, které se používají k identifikaci konkrétních ukazatelů nebo podezřelých aktivit v e-mailové zprávě nebo komunikaci. Detekce hrozeb pomáhají odhalit přítomnost hrozeb tím, že ve zprávě identifikují anomálie nebo charakteristiky. Mezi běžné detekce hrozeb patří:

• Spoof: Identifikuje, kdy je e-mailová adresa odesílatele zfalšovaná tak, aby vypadala jako důvěryhodný zdroj.
• Zosobnění: Zjistí, když e-mailová zpráva zosobní legitimní entitu, například vedoucího pracovníka nebo důvěryhodného obchodního partnera, a podvede příjemce k provedení škodlivých akcí.
• Reputace adresy URL: Vyhodnocuje reputaci adres URL obsažených v e-mailu a určí, jestli nevedou ke škodlivým webům.
• Další filtry

Klasifikace hrozeb

Klasifikace hrozeb je proces kategorizace hrozby na základě záměru a konkrétní povahy útoku. Systém klasifikace hrozeb používá LLM, modely ML a další pokročilé techniky k pochopení záměru hrozeb a k zajištění přesnější klasifikace. S vývojem systému můžete očekávat, že nové klasifikace hrozeb budou držet krok s nově vznikajícími metodami útoku.

Různé třídy hrozeb jsou popsány v následujícím seznamu:

• Podvod s poplatky předem: Obětem jsou přislíbeny velké finanční odměny, kontrakty nebo ceny výměnou za platbu předem nebo série plateb, které útočník nikdy nedoručí.

• Business Intelligence: Žádá o informace týkající se dodavatelů nebo faktur, které útočníci používají k vytvoření profilu pro další cílené útoky, často z podobné domény, která napodobuje důvěryhodný zdroj.

• Phishing zpětného volání: Útočníci používají telefonní hovory nebo jiné komunikační kanály k manipulaci jednotlivců s cílem odhalit citlivé informace nebo provádět akce, které by ohrozily zabezpečení.

• Navázání kontaktu: Email zprávy (často obecný text), abyste ověřili, jestli je doručená pošta aktivní, a zahájili konverzaci. Cílem těchto zpráv je obejít filtry zabezpečení a vytvořit důvěryhodnou pověst budoucích škodlivých zpráv.

• Phishing s přihlašovacími údaji: Útočníci se pokoušejí ukrást uživatelská jména a hesla tím, že podvedou jednotlivce k zadání svých přihlašovacích údajů na podvodném webu nebo prostřednictvím manipulativních e-mailových výzev.

• Shromažďování platebních karet: Útočníci se pokoušejí ukrást informace o platební kartě a další osobní údaje tím, že podvádí jednotlivce, aby jim poskytli své platební údaje prostřednictvím falešných e-mailových zpráv, webů nebo zpráv, které se zdají být legitimní.

• Vydírání: Útočník hrozí uvolněním citlivých informací, ohrožením systémů nebo provedením škodlivých akcí, pokud není zaplaceno výkupné. Tento typ útoku obvykle zahrnuje psychickou manipulaci, která přimějí oběť k dodržování předpisů.

• Dárkové karty: Útočníci se vydávají za důvěryhodné osoby nebo organizace a přesvědčují příjemce, aby si koupil a poslal kódy dárkových karet, často pomocí taktiky sociálního inženýrství.

• Podvod na faktuře: Faktury, které vypadají jako legitimní, buď změnou podrobností stávající faktury, nebo odesláním podvodné faktury, s cílem oklamat příjemce k platbám útočníkovi.

• Mzdové podvody: Manipulujte uživatele, aby aktualizovali podrobnosti o mzdách nebo osobním účtu, aby se finanční prostředky dostaly pod kontrolu útočníka.

• Shromažďování identifikovatelných osobních údajů: Útočníci zosobní vysoce postaveného jednotlivce, například generálního ředitele, a vyžádají si osobní údaje. Za těmito e-mailovými zprávami často následuje přechod na externí komunikační kanály, jako je WhatsApp, nebo textové zprávy, které se vyhýbají detekci.

• Útok phishing OAuth na sociálních sítích: Útočníci používají jednotné přihlašování (SSO) nebo služby OAuth k oklamání uživatelů k zadání přihlašovacích údajů a získání neoprávněného přístupu k osobním účtům.

• Podvod s úkoly: Krátké, zdánlivě bezpečné e-mailové zprávy s žádostí o pomoc s konkrétním úkolem. Tyto požadavky jsou navržené tak, aby shromažďují informace nebo indukují akce, které můžou ohrozit zabezpečení.

Kde jsou k dispozici výsledky klasifikace hrozeb

Výsledky klasifikace hrozeb jsou k dispozici v následujících prostředích v Defender pro Office 365:

• Explorer (Průzkumník hrozeb)
• Incidenty a výstrahy
• Pokročilé rozšířené proaktivní vyhledávání
• Sestava stavu ochrany před hrozbami
• Zpráva o stavu služby Mailflow