Office 365용 Microsoft Defender 위협 분류
효과적인 위협 분류는 조직이 잠재적 위험을 신속하게 식별, 평가 및 완화할 수 있도록 하는 사이버 보안의 중요한 구성 요소입니다. Office 365용 Microsoft Defender 위협 분류 시스템은 LLM(대규모 언어 모델), SLLM(소형 언어 모델) 및 ML(기계 학습) 모델과 같은 고급 기술을 사용하여 전자 메일 기반 위협을 자동으로 감지하고 분류합니다. 이러한 모델은 함께 작동하여 포괄적이고 확장 가능하며 적응형 위협 분류를 제공하여 보안 팀이 새로운 공격에 앞서나갈 수 있도록 지원합니다.
이 시스템은 이메일 위협을 피싱, 맬웨어 및 BEC(비즈니스 이메일 손상)와 같은 특정 유형으로 분류하여 조직에게 악의적인 활동으로부터 보호할 수 있는 실행 가능한 인사이트를 제공합니다.
위협 유형
위협 유형 은 기본 특성 또는 공격 방법에 따라 위협의 기본 분류를 나타냅니다. 지금까지 이러한 광범위한 범주는 공격 수명 주기 초기에 식별되며 조직이 공격의 특성을 이해하는 데 도움이 됩니다. 일반적인 위협 유형은 다음과 같습니다.
- 피싱: 공격자는 신뢰할 수 있는 엔터티를 가장하여 수신자를 속여 로그인 자격 증명 또는 금융 데이터와 같은 중요한 정보를 공개합니다.
- 맬웨어: 시스템, 네트워크 또는 디바이스를 손상하거나 악용하도록 설계된 악성 소프트웨어입니다.
- 스팸: 일반적으로 악의적이거나 홍보용으로 대량으로 전송되는 원치 않는 관련 없는 전자 메일입니다.
위협 검색
위협 탐지는 이메일 메시지 또는 통신 내에서 특정 지표 또는 의심스러운 활동을 식별하는 데 사용되는 기술 및 방법론을 나타냅니다. 위협 탐지는 메시지의 변칙 또는 특성을 식별하여 위협의 존재를 파악하는 데 도움이 됩니다. 일반적인 위협 탐지는 다음과 같습니다.
- 스푸핑: 보낸 사람의 전자 메일 주소가 신뢰할 수 있는 원본처럼 보이도록 위조된 시기를 식별합니다.
- 가장: 전자 메일 메시지가 임원 또는 신뢰할 수 있는 비즈니스 파트너와 같은 합법적인 엔터티를 가장하여 받는 사람이 유해한 조치를 취하도록 속이는 경우를 감지합니다.
- URL 평판: 전자 메일에 포함된 URL의 평판을 평가하여 악성 웹 사이트로 이어지는지 확인합니다.
- 기타 필터
위협 분류
위협 분류 는 의도 및 공격의 특정 특성에 따라 위협을 분류하는 프로세스입니다. 위협 분류 시스템은 LLM, ML 모델 및 기타 고급 기술을 사용하여 위협의 의도를 이해하고 보다 정확한 분류를 제공합니다. 시스템이 발전함에 따라 새로운 위협 분류가 새로운 공격 방법과 보조를 맞추기를 기대할 수 있습니다.
다양한 위협 클래스는 다음 목록에 설명되어 있습니다.
사전 수수료 사기 : 피해자는 선불 지불 또는 공격자가 결코 제공하지 않는 일련의 지불에 대한 대가로 큰 재정적 보상, 계약 또는 상품을 약속합니다.
비즈니스 인텔리전스: 종종 신뢰할 수 있는 원본을 모방하는 유사한 도메인에서 공격자가 추가 표적 공격에 대한 프로필을 빌드하는 데 사용하는 공급업체 또는 청구서에 대한 정보를 요청합니다.
콜백 피싱: 공격자는 전화 통화 또는 기타 통신 채널을 사용하여 중요한 정보를 공개하거나 보안을 손상시키는 작업을 수행하도록 개인을 조작합니다.
연락처 설정: Email 메시지(일반 텍스트)를 사용하여 받은 편지함이 활성 상태인지 확인하고 대화를 시작합니다. 이러한 메시지는 보안 필터를 우회하고 악의적인 향후 메시지에 대한 신뢰할 수 있는 평판을 구축하는 것을 목표로 합니다.
자격 증명 피싱: 공격자는 개인을 속여 사기성 웹 사이트에 자격 증명을 입력하거나 조작된 이메일 프롬프트를 통해 사용자 이름과 암호를 도용하려고 시도합니다.
신용 카드 수집: 공격자는 개인이 가짜 전자 메일 메시지, 웹 사이트 또는 합법적인 것으로 보이는 메시지를 통해 결제 정보를 제공하도록 속여 신용 카드 정보 및 기타 개인 정보를 도용하려고 시도합니다.
강탈: 공격자는 몸값을 지불하지 않는 한 중요한 정보를 공개하거나 시스템을 손상시키거나 악의적인 조치를 취하겠다고 위협합니다. 이러한 유형의 공격은 일반적으로 피해자를 규정 준수로 강요하기 위한 심리적 조작과 관련이 있습니다.
기프트 카드: 공격자는 신뢰할 수 있는 개인 또는 조직을 가장하여 받는 사람이 소셜 엔지니어링 전술을 사용하여 카드 코드를 구매하고 보내도록 설득합니다.
청구서 사기: 기존 청구서의 세부 정보를 변경하거나 사기성 청구서를 제출하여 수령인이 공격자에게 결제하도록 속이는 의도로 합법적인 송장입니다.
급여 사기: 사용자를 조작하여 급여를 업데이트하거나 세부 정보를 개인 계정 자금을 공격자의 통제로 전환합니다.
PII(개인 식별 정보) 수집: 공격자는 CEO와 같은 고위 개인을 가장하여 개인 정보를 요청합니다. 이러한 전자 메일 메시지는 종종 검색을 피하기 위해 WhatsApp 또는 문자 메시지와 같은 외부 통신 채널로 전환됩니다.
소셜 OAuth 피싱: 공격자는 SSO(Single Sign-On) 또는 OAuth 서비스를 사용하여 사용자가 로그인 자격 증명을 제공하도록 속여 개인 계정에 무단으로 액세스합니다.
작업 사기: 특정 작업에 대한 지원을 요청하는 짧고 안전해 보이는 전자 메일 메시지입니다. 이러한 요청은 정보를 수집하거나 보안을 손상시킬 수 있는 작업을 유도하도록 설계되었습니다.
위협 분류 결과를 사용할 수 있는 위치
위협 분류의 결과는 Office 365용 Defender 다음 환경에서 사용할 수 있습니다.