Classification des menaces dans Microsoft Defender pour Office 365
Une classification efficace des menaces est un composant essentiel de la cybersécurité qui permet aux organisations d’identifier, d’évaluer et d’atténuer rapidement les risques potentiels. Le système de classification des menaces dans Microsoft Defender pour Office 365 utilise des technologies avancées telles que les modèles de langage volumineux (LLM), les modèles de petits langages (SLM) et les modèles Machine Learning (ML) pour détecter et classer automatiquement les menaces basées sur les e-mails. Ces modèles fonctionnent ensemble pour fournir une classification complète, évolutive et adaptative des menaces, ce qui permet aux équipes de sécurité de garder une longueur d’avance sur les attaques émergentes.
En catégorisant les menaces de courrier électronique en types spécifiques, tels que l’hameçonnage, les programmes malveillants et la compromission des e-mails professionnels (BEC), notre système fournit aux organisations des informations exploitables pour se protéger contre les activités malveillantes.
Types de menaces
Le type de menace fait référence à la catégorisation principale d’une menace en fonction des caractéristiques fondamentales ou de la méthode d’attaque. Historiquement, ces grandes catégories sont identifiées au début du cycle de vie des attaques et aident les organisations à comprendre la nature de l’attaque. Les types de menaces courants sont les suivants :
- Hameçonnage : les attaquants empruntent l’identité d’entités approuvées pour tromper les destinataires afin qu’ils révèlent des informations sensibles telles que des informations d’identification de connexion ou des données financières.
- Logiciels malveillants : logiciels malveillants conçus pour endommager ou exploiter des systèmes, des réseaux ou des appareils.
- Courrier indésirable : courrier électronique non sollicité, souvent non pertinent envoyé en bloc, généralement à des fins malveillantes ou promotionnelles.
Détections de menaces
Les détections de menaces font référence aux technologies et méthodologies utilisées pour identifier des indicateurs spécifiques ou des activités suspectes dans un message électronique ou une communication. Les détections de menaces permettent de repérer la présence de menaces en identifiant les anomalies ou les caractéristiques dans le message. Les détections de menaces courantes sont les suivantes :
- Usurpation : identifie quand l’adresse e-mail de l’expéditeur est falsifiée pour ressembler à une source approuvée.
- Emprunt d’identité : détecte lorsqu’un e-mail emprunte l’identité d’une entité légitime, telle qu’un cadre ou un partenaire commercial approuvé, pour inciter les destinataires à prendre des mesures nuisibles.
- Réputation des URL : évalue la réputation des URL incluses dans un e-mail pour déterminer si elles mènent à des sites web malveillants.
- Autres filtres
Classification des menaces
La classification des menaces est le processus qui consiste à catégoriser une menace en fonction de l’intention et de la nature spécifique de l’attaque. Le système de classification des menaces utilise des llms, des modèles ML et d’autres techniques avancées pour comprendre l’intention derrière les menaces et fournir une classification plus précise. À mesure que le système évolue, vous pouvez vous attendre à ce que de nouvelles classifications de menaces suivent le rythme des méthodes d’attaque émergentes.
Les différentes classes de menaces sont décrites dans la liste suivante :
Escroquerie à l’avance : les victimes se voient promettre d’importantes récompenses financières, des contrats ou des prix en échange de paiements initiaux ou d’une série de paiements, que l’attaquant ne livre jamais.
Business Intelligence : demandes d’informations sur les fournisseurs ou les factures, qui sont utilisées par les attaquants pour créer un profil pour d’autres attaques ciblées, souvent à partir d’un domaine semblable qui imite une source approuvée.
Hameçonnage de rappel : les attaquants utilisent des appels téléphoniques ou d’autres canaux de communication pour manipuler les individus afin qu’ils révèlent des informations sensibles ou effectuent des actions qui compromettent la sécurité.
Établissement du contact : Email messages (souvent du texte générique) pour vérifier si une boîte de réception est active et lancer une conversation. Ces messages visent à contourner les filtres de sécurité et à créer une réputation de confiance pour les futurs messages malveillants.
Hameçonnage des informations d’identification : les attaquants tentent de voler des noms d’utilisateur et des mots de passe en incitant les individus à entrer leurs informations d’identification sur un site web frauduleux ou via des invites de manipulation par e-mail.
Collecte de carte de crédit : les attaquants tentent de voler des informations de crédit carte et d’autres informations personnelles en trompent les individus en leur fournissant leurs informations de paiement par le biais de faux messages électroniques, de sites web ou de messages qui semblent légitimes.
Extorsion : l’attaquant menace de publier des informations sensibles, de compromettre les systèmes ou de prendre des mesures malveillantes, sauf si une rançon est payée. Ce type d’attaque implique généralement une manipulation psychologique pour contraindre la victime à se conformer.
Cartes cadeaux : les attaquants empruntent l’identité de personnes ou d’organisations de confiance, convainquant le destinataire d’acheter et d’envoyer des codes de carte cadeaux, souvent à l’aide de tactiques d’ingénierie sociale.
Fraude à la facture : factures qui semblent légitimes, soit en modifiant les détails d’une facture existante, soit en envoyant une facture frauduleuse, dans le but d’inciter les destinataires à effectuer des paiements à l’attaquant.
Fraude à la paie : manipulez les utilisateurs pour mettre à jour la paie ou compte personnel détails afin de détourner les fonds sous le contrôle de l’attaquant.
Collecte d’informations d’identification personnelle (PII) : les attaquants empruntent l’identité d’une personne de haut rang, comme un PDG, pour demander des informations personnelles. Ces e-mails sont souvent suivis d’un déplacement vers des canaux de communication externes comme WhatsApp ou des sms pour échapper à la détection.
Hameçonnage OAuth social : les attaquants utilisent l’authentification unique (SSO) ou les services OAuth pour tromper les utilisateurs en fournissant leurs informations d’identification de connexion, obtenant ainsi un accès non autorisé à des comptes personnels.
Fraude à la tâche : messages électroniques courts et apparemment sûrs demandant de l’aide pour une tâche spécifique. Ces requêtes sont conçues pour collecter des informations ou provoquer des actions susceptibles de compromettre la sécurité.
Où les résultats de classification des menaces sont disponibles
Les résultats de la classification des menaces sont disponibles dans les expériences suivantes dans Defender for Office 365 :