Trusselsklassificering i Microsoft Defender for Office 365
Effektiv trusselsklassificering er en vigtig komponent i cybersikkerhed, der gør det muligt for organisationer hurtigt at identificere, vurdere og afhjælpe potentielle risici. Trusselsklassificeringssystemet i Microsoft Defender for Office 365 bruger avancerede teknologier, f.eks. store sprogmodeller ( LLMs), små sprogmodeller (SMS' ) og modeller til maskinel indlæring (ML) til automatisk at registrere og klassificere mailbaserede trusler. Disse modeller arbejder sammen om at levere omfattende, skalerbar og adaptiv trusselsklassificering, der hjælper sikkerhedsteams med at holde sig foran nye angreb.
Ved at kategorisere mailtrusler i bestemte typer, f.eks. phishing, malware og kompromitterede forretningsmails, giver vores system organisationer handlingsretlig indsigt, der beskytter mod skadelige aktiviteter.
Trusselstyper
Trusselstype refererer til den primære kategorisering af en trussel baseret på grundlæggende egenskaber eller angrebsmetode. Historisk set identificeres disse brede kategorier tidligt i angrebslivscyklussen og hjælper organisationer med at forstå arten af angrebet. Almindelige trusselstyper omfatter:
- Phishing: Hackere repræsenterer enheder, der er tillid til, for at bedrage modtagere til at afsløre følsomme oplysninger, f.eks. logonlegitimationsoplysninger eller økonomiske data.
- Malware: Skadelig software, der er udviklet til at beskadige eller udnytte systemer, netværk eller enheder.
- Spam: Uopfordret, ofte irrelevant e-mail sendt samlet, typisk med henblik på ondsindede eller salgsfremmende formål.
Trusselsregistreringer
Trusselsregistreringer refererer til de teknologier og metoder, der bruges til at identificere specifikke indikatorer eller mistænkelige aktiviteter i en mail eller kommunikation. Trusselsregistreringer hjælper med at spotte tilstedeværelsen af trusler ved at identificere uregelmæssigheder eller karakteristika i meddelelsen. Almindelige trusselsregistreringer omfatter:
- Spoof: Identificerer, hvornår afsenderens mailadresse er forfalsket til at ligne en kilde, der er tillid til.
- Repræsentation: Registrerer, når en mail repræsenterer en legitim enhed, f.eks. en forretningspartner eller en forretningspartner, der er tillid til, for at narre modtagere til at udføre skadelige handlinger.
- URL-adresseomdømme: Vurderer omdømmet for URL-adresser, der er inkluderet i en mail, for at afgøre, om de fører til skadelige websteder.
- Andre filtre
Trusselsklassificering
Trusselsklassificering er processen med at kategorisere en trussel baseret på hensigt og angrebets specifikke karakter. Trusselsklassificeringssystemet bruger CHAT'er, ML-modeller og andre avancerede teknikker til at forstå hensigten med trusler og give en mere præcis klassificering. I takt med at systemet udvikler sig, kan du forvente nye trusselsklassifikationer for at holde trit med nye angrebsmetoder.
Forskellige trusselsklasser er beskrevet på følgende liste:
Svindel med forskudsgebyr: Ofre er lovet store økonomiske belønninger, kontrakter eller præmier til gengæld for forskudsbetalinger eller en række betalinger, som angriberen aldrig leverer.
Business intelligence: Anmodninger om oplysninger vedrørende leverandører eller fakturaer, som bruges af hackere til at oprette en profil til yderligere målrettede angreb, ofte fra et look-alike-domæne, der efterligner en kilde, der er tillid til.
Phishing af tilbagekald: Hackere bruger telefonopkald eller andre kommunikationskanaler til at manipulere enkeltpersoner til at afsløre følsomme oplysninger eller udføre handlinger, der kompromitterer sikkerheden.
Kontakt etablering: E-mails (ofte generisk tekst) for at kontrollere, om en indbakke er aktiv, og starte en samtale. Disse meddelelser har til formål at omgå sikkerhedsfiltre og opbygge et ry, der er tillid til, for skadelige fremtidige meddelelser.
Phishing om legitimationsoplysninger: Hackere forsøger at stjæle brugernavne og adgangskoder ved at narre enkeltpersoner til at angive deres legitimationsoplysninger på et falsk websted eller via manipulerende mailprompts.
Indsamling af kreditkort: Angribere forsøger at stjæle kreditkortoplysninger og andre personlige oplysninger ved at bedrage enkeltpersoner til at levere deres betalingsoplysninger via falske mails, websteder eller meddelelser, der vises legitime.
Afpresning: Hackeren truer med at frigive følsomme oplysninger, kompromittere systemer eller udføre skadelige handlinger, medmindre der betales en løsesum. Denne type angreb involverer typisk psykologisk manipulation for at tvinge offeret til overholdelse.
Gavekort: Personer med ondsindede hensigter repræsenterer personer eller organisationer, der er tillid til, og overbeviser modtageren om at købe og sende gavekortkoder, ofte ved hjælp af taktikker inden for social engineering.
Fakturabedrageri: Fakturaer, der ser legitime ud, enten ved at ændre detaljerne for en eksisterende faktura eller indsende en falsk faktura med det formål at narre modtagere til at foretage betalinger til angriberen.
Lønbedrageri: Manipulere brugere til at opdatere oplysninger om løn eller personlige konti for at omdirigere midler til hackerens kontrol.
Indsamling af personidentificerbare oplysninger: Personer med ondsindede hensigter repræsenterer en højtstående person, f.eks. en ceo, for at anmode om personlige oplysninger. Disse mails efterfølges ofte af et skift til eksterne kommunikationskanaler som WhatsApp eller tekstmeddelelser for at undgå registrering.
Social OAuth-phishing: Hackere bruger enkeltlogon (SSO) eller OAuth-tjenester til at bedrage brugere til at angive deres logonoplysninger og få uautoriseret adgang til personlige konti.
Opgavebedrageri: Korte, tilsyneladende sikre mails, der beder om hjælp til en bestemt opgave. Disse anmodninger er designet til at indsamle oplysninger eller fremkalde handlinger, der kan kompromittere sikkerheden.
Hvor resultaterne af trusselsklassificeringen er tilgængelige
Resultaterne af trusselsklassificering er tilgængelige i følgende oplevelser i Defender for Office 365: