Classificazione delle minacce in Microsoft Defender per Office 365

• Si applica a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

La classificazione efficace delle minacce è un componente fondamentale della cybersecurity che consente alle organizzazioni di identificare, valutare e mitigare rapidamente i potenziali rischi. Il sistema di classificazione delle minacce in Microsoft Defender per Office 365 usa tecnologie avanzate, ad esempio i modelli di linguaggio di grandi dimensioni , i modelli di linguaggio ridotto e i modelli di Machine Learning (ML) per rilevare e classificare automaticamente le minacce basate sulla posta elettronica. Questi modelli interagiscono per fornire una classificazione delle minacce completa, scalabile e adattiva, consentendo ai team di sicurezza di rimanere al passo con gli attacchi emergenti.

Categorizzando le minacce alla posta elettronica in tipi specifici, ad esempio phishing, malware e compromissione della posta elettronica aziendale, il sistema fornisce alle organizzazioni informazioni utili per la protezione da attività dannose.

Tipi di minacce

Il tipo di minaccia si riferisce alla categorizzazione primaria di una minaccia in base alle caratteristiche fondamentali o al metodo di attacco. Storicamente, queste categorie generali vengono identificate all'inizio del ciclo di vita degli attacchi e aiutano le organizzazioni a comprendere la natura dell'attacco. I tipi di minaccia comuni includono:

• Phishing: gli utenti malintenzionati rappresentano entità attendibili per ingannare i destinatari a rivelare informazioni riservate, ad esempio credenziali di accesso o dati finanziari.
• Malware: software dannoso progettato per danneggiare o sfruttare sistemi, reti o dispositivi.
• Spam: messaggi di posta elettronica non richiesti, spesso irrilevanti, inviati in blocco, in genere per scopi dannosi o promozionali.

Rilevamenti di minacce

I rilevamenti di minacce si riferiscono alle tecnologie e alle metodologie usate per identificare indicatori specifici o attività sospette all'interno di un messaggio di posta elettronica o di una comunicazione. I rilevamenti delle minacce consentono di individuare la presenza di minacce identificando anomalie o caratteristiche nel messaggio. I rilevamenti di minacce comuni includono:

• Spoof: identifica quando l'indirizzo di posta elettronica del mittente viene contraffatto in modo che sembri un'origine attendibile.
• Rappresentazione: rileva quando un messaggio di posta elettronica rappresenta un'entità legittima, ad esempio un dirigente o un partner aziendale attendibile, per indurre i destinatari a intraprendere azioni dannose.
• Reputazione URL: valuta la reputazione degli URL inclusi in un messaggio di posta elettronica per determinare se portano a siti Web dannosi.
• Altri filtri

Classificazione delle minacce

La classificazione delle minacce è il processo di categorizzazione di una minaccia in base alla finalità e alla natura specifica dell'attacco. Il sistema di classificazione delle minacce usa VM, modelli di Machine Learning e altre tecniche avanzate per comprendere la finalità alla base delle minacce e fornire una classificazione più accurata. Man mano che il sistema si evolve, è possibile aspettarsi che le nuove classificazioni delle minacce rimangano al passo con i metodi di attacco emergenti.

Nell'elenco seguente sono descritte classi di minacce diverse:

• Truffa a pagamento anticipato: alle vittime vengono promesse grandi ricompense finanziarie, contratti o premi in cambio di pagamenti iniziali o di una serie di pagamenti, che l'autore dell'attacco non consegna mai.

• Business intelligence: richieste di informazioni relative a fornitori o fatture, usate dagli utenti malintenzionati per creare un profilo per altri attacchi mirati, spesso provenienti da un dominio simile che imita un'origine attendibile.

• Callback phishing: gli utenti malintenzionati usano chiamate telefoniche o altri canali di comunicazione per manipolare gli utenti per rivelare informazioni sensibili o eseguire azioni che compromettono la sicurezza.

• Stabilire contatti: Email messaggi (spesso testo generico) per verificare se una posta in arrivo è attiva e per avviare una conversazione. Questi messaggi hanno lo scopo di ignorare i filtri di sicurezza e creare una reputazione attendibile per i messaggi futuri dannosi.

• Phishing delle credenziali: gli utenti malintenzionati tentano di rubare nomi utente e password inducendo gli utenti a immettere le proprie credenziali in un sito Web fraudolento o tramite richieste di posta elettronica manipolative.

• Raccolta di carte di credito: gli utenti malintenzionati tentano di rubare informazioni sulla carta di credito e altri dati personali ingannando gli utenti a fornire le proprie informazioni di pagamento tramite falsi messaggi di posta elettronica, siti Web o messaggi che sembrano legittimi.

• Estorsione: l'utente malintenzionato minaccia di rilasciare informazioni sensibili, di compromettere i sistemi o di intraprendere azioni dannose a meno che non venga pagato un riscatto. Questo tipo di attacco comporta in genere la manipolazione psicologica per forzare la vittima alla conformità.

• Carte regalo: gli utenti malintenzionati rappresentano persone o organizzazioni attendibili, convincendo il destinatario ad acquistare e inviare codici gift card, spesso usando tattiche di ingegneria sociale.

• Frode fattura: fatture che sembrano legittime, modificando i dettagli di una fattura esistente o inviando una fattura fraudolenta, con l'intento di ingannare i destinatari a effettuare pagamenti all'utente malintenzionato.

• Frode retributiva: modificare gli utenti nell'aggiornamento dei dati relativi alle retribuzioni o all'account personale per deviare i fondi nel controllo dell'utente malintenzionato.

• Raccolta di informazioni personali: gli utenti malintenzionati rappresentano un individuo di alto rango, ad esempio un CEO, per richiedere informazioni personali. Questi messaggi di posta elettronica sono spesso seguiti da un passaggio a canali di comunicazione esterni come WhatsApp o messaggi di testo per eludere il rilevamento.

• Phishing OAuth social: gli utenti malintenzionati usano i servizi Single Sign-On (SSO) o OAuth per ingannare gli utenti a fornire le credenziali di accesso, ottenendo l'accesso non autorizzato agli account personali.

• Attività fraudolente: messaggi di posta elettronica brevi e apparentemente sicuri che richiedono assistenza per un'attività specifica. Queste richieste sono progettate per raccogliere informazioni o indurre azioni che possono compromettere la sicurezza.

Dove sono disponibili i risultati della classificazione delle minacce

I risultati della classificazione delle minacce sono disponibili nelle esperienze seguenti in Defender per Office 365:

• Explorer (Esplora minacce)
• Eventi imprevisti e avvisi
• Rilevazione avanzata
• Report sullo stato di Protezione dalle minacce
• Report sullo stato del flusso di posta