Clasificación de amenazas en Microsoft Defender para Office 365

• Se aplica a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

La clasificación eficaz de amenazas es un componente crucial de la ciberseguridad que permite a las organizaciones identificar, evaluar y mitigar rápidamente los posibles riesgos. El sistema de clasificación de amenazas de Microsoft Defender para Office 365 usa tecnologías avanzadas, como modelos de lenguaje grande (LLM), modelos de lenguaje pequeño (SLM) y modelos de aprendizaje automático (ML) para detectar y clasificar automáticamente amenazas basadas en correo electrónico. Estos modelos funcionan juntos para proporcionar una clasificación de amenazas completa, escalable y adaptable, lo que ayuda a los equipos de seguridad a mantenerse por delante de los ataques emergentes.

Al clasificar las amenazas de correo electrónico en tipos específicos, como phishing, malware y compromiso de correo electrónico empresarial (BEC), nuestro sistema proporciona a las organizaciones información útil para protegerse frente a actividades malintencionadas.

Tipos de amenazas

El tipo de amenaza hace referencia a la categorización principal de una amenaza en función de las características fundamentales o el método de ataque. Históricamente, estas amplias categorías se identifican al principio del ciclo de vida del ataque y ayudan a las organizaciones a comprender la naturaleza del ataque. Entre los tipos de amenazas comunes se incluyen:

• Phishing: los atacantes suplantan entidades de confianza para engañar a los destinatarios para que revelen información confidencial, como credenciales de inicio de sesión o datos financieros.
• Malware: software malintencionado diseñado para dañar o explotar sistemas, redes o dispositivos.
• Correo no deseado: correo electrónico no solicitado, a menudo irrelevante enviado en masa, normalmente con fines malintencionados o promocionales.

Detecciones de amenazas

Las detecciones de amenazas hacen referencia a las tecnologías y metodologías que se usan para identificar indicadores específicos o actividades sospechosas dentro de un mensaje de correo electrónico o comunicación. Las detecciones de amenazas ayudan a detectar la presencia de amenazas mediante la identificación de anomalías o características en el mensaje. Las detecciones de amenazas comunes incluyen:

• Suplantación de identidad: identifica cuándo se falsifica la dirección de correo electrónico del remitente para parecerse a un origen de confianza.
• Suplantación: detecta cuándo un mensaje de correo electrónico suplanta a una entidad legítima, como un ejecutivo o un asociado de negocios de confianza, para engañar a los destinatarios para que realicen acciones dañinas.
• Reputación de direcciones URL: evalúa la reputación de las direcciones URL incluidas en un correo electrónico para determinar si conducen a sitios web malintencionados.
• Otros filtros

Clasificación de amenazas

La clasificación de amenazas es el proceso de categorización de una amenaza en función de la intención y la naturaleza específica del ataque. El sistema de clasificación de amenazas usa LLM, modelos de ML y otras técnicas avanzadas para comprender la intención detrás de las amenazas y proporcionar una clasificación más precisa. A medida que el sistema evoluciona, puede esperar que las nuevas clasificaciones de amenazas sigan el ritmo de los métodos de ataque emergentes.

En la lista siguiente se describen diferentes clases de amenazas:

• Estafa de cargos por adelantado: a las víctimas se les prometen grandes recompensas financieras, contratos o premios a cambio de pagos iniciales o una serie de pagos, que el atacante nunca entrega.

• Inteligencia empresarial: solicitudes de información sobre proveedores o facturas, que usan los atacantes para crear un perfil para ataques más dirigidos, a menudo desde un dominio similar que imita un origen de confianza.

• Suplantación de identidad (phishing) de devolución de llamada: los atacantes usan llamadas telefónicas u otros canales de comunicación para manipular a los usuarios para revelar información confidencial o realizar acciones que ponen en peligro la seguridad.

• Establecimiento de contactos: Email mensajes (a menudo texto genérico) para comprobar si una bandeja de entrada está activa e iniciar una conversación. Estos mensajes tienen como objetivo omitir los filtros de seguridad y crear una reputación de confianza para los mensajes futuros malintencionados.

• Suplantación de identidad de credenciales: los atacantes intentan robar nombres de usuario y contraseñas engañando a las personas para que escriban sus credenciales en un sitio web fraudulento o a través de mensajes de correo electrónico manipuladores.

• Colección de tarjetas de crédito: los atacantes intentan robar información de tarjeta de crédito y otros datos personales engañando a las personas para que proporcionen su información de pago a través de mensajes de correo electrónico falsos, sitios web o mensajes que parezcan legítimos.

• Extorsión: el atacante amenaza con liberar información confidencial, poner en peligro los sistemas o realizar acciones malintencionadas a menos que se pague un rescate. Este tipo de ataque suele implicar manipulación psicológica para convertir a la víctima en cumplimiento.

• Tarjetas de regalo: los atacantes suplantan a personas u organizaciones de confianza, convenciendo al destinatario de que compre y envíe códigos de tarjeta regalo, a menudo usando tácticas de ingeniería social.

• Fraude de facturas: facturas que parecen legítimas, ya sea modificando los detalles de una factura existente o enviando una factura fraudulenta, con la intención de engañar a los destinatarios para que realicen pagos al atacante.

• Fraude de nómina: manipule a los usuarios para actualizar los detalles de la nómina o de la cuenta personal para desviar fondos al control del atacante.

• Recopilación de información de identificación personal (PII): los atacantes suplantan a una persona de alto rango, como un ceo, para solicitar información personal. Estos mensajes de correo electrónico suelen ir seguidos de un desplazamiento a canales de comunicación externos como WhatsApp o mensajes de texto para eludir la detección.

• Suplantación de identidad de OAuth social: los atacantes usan el inicio de sesión único (SSO) o los servicios de OAuth para engañar a los usuarios para que proporcionen sus credenciales de inicio de sesión y obtengan acceso no autorizado a las cuentas personales.

• Fraude de tareas: mensajes de correo electrónico cortos y aparentemente seguros que piden ayuda con una tarea específica. Estas solicitudes están diseñadas para recopilar información o inducir acciones que pueden poner en peligro la seguridad.

Dónde están disponibles los resultados de la clasificación de amenazas

Los resultados de la clasificación de amenazas están disponibles en las siguientes experiencias en Defender para Office 365:

• Explorador (Explorador de amenazas)
• Incidentes y alertas
• Búsqueda avanzada de amenazas
• Informe de estado de protección contra amenazas
• Informe de estado de Flujo de correo