Bedreigingsclassificatie in Microsoft Defender voor Office 365

• Van toepassing op:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Effectieve bedreigingsclassificatie is een cruciaal onderdeel van cyberbeveiliging waarmee organisaties potentiële risico's snel kunnen identificeren, beoordelen en beperken. Het bedreigingsclassificatiesysteem in Microsoft Defender voor Office 365 maakt gebruik van geavanceerde technologieën zoals grote taalmodellen (LLM's), kleine taalmodellen (SLM's) en machine learning-modellen (ML) om bedreigingen op basis van e-mail automatisch te detecteren en te classificeren. Deze modellen werken samen om uitgebreide, schaalbare en adaptieve bedreigingsclassificatie te bieden, zodat beveiligingsteams opkomende aanvallen voor blijven.

Door e-mailbedreigingen te categoriseren in specifieke typen, zoals phishing, malware en zakelijke e-mailcompromittatie (BEC), biedt ons systeem organisaties bruikbare inzichten om te beschermen tegen schadelijke activiteiten.

Bedreigingstypen

Bedreigingstype verwijst naar de primaire categorisatie van een bedreiging op basis van fundamentele kenmerken of aanvalsmethode. Historisch gezien worden deze brede categorieën al vroeg in de levenscyclus van aanvallen geïdentificeerd en helpen organisaties de aard van de aanval te begrijpen. Veelvoorkomende bedreigingstypen zijn:

• Phishing: aanvallers imiteren vertrouwde entiteiten om ontvangers te misleiden tot het onthullen van gevoelige informatie, zoals aanmeldingsreferenties of financiële gegevens.
• Malware: schadelijke software die is ontworpen om systemen, netwerken of apparaten te beschadigen of te misbruiken.
• Spam: Ongevraagde, vaak irrelevante e-mail die bulksgewijs wordt verzonden, meestal voor schadelijke of promotionele doeleinden.

Detecties van bedreigingen

Bedreigingsdetecties verwijzen naar de technologieën en methodologieën die worden gebruikt om specifieke indicatoren of verdachte activiteiten binnen een e-mailbericht of communicatie te identificeren. Detecties van bedreigingen helpen de aanwezigheid van bedreigingen te herkennen door afwijkingen of kenmerken in het bericht te identificeren. Veelvoorkomende detecties van bedreigingen zijn:

• Adresvervalsing: hiermee wordt aangegeven wanneer het e-mailadres van de afzender is vervalst om eruit te zien als een vertrouwde bron.
• Imitatie: detecteert wanneer een e-mailbericht een legitieme entiteit nabootst, zoals een leidinggevende of vertrouwde zakenpartner, om ontvangers te misleiden om schadelijke acties te ondernemen.
• URL-reputatie: beoordeelt de reputatie van URL's die zijn opgenomen in een e-mail om te bepalen of deze leiden tot schadelijke websites.
• Andere filters

Bedreigingsclassificatie

Bedreigingsclassificatie is het proces van het categoriseren van een bedreiging op basis van de intentie en de specifieke aard van de aanval. Het bedreigingsclassificatiesysteem maakt gebruik van LLMs, ML-modellen en andere geavanceerde technieken om de intentie achter bedreigingen te begrijpen en een nauwkeurigere classificatie te bieden. Naarmate het systeem zich ontwikkelt, kunt u verwachten dat nieuwe bedreigingsclassificaties het tempo van opkomende aanvalsmethoden bijhouden.

Verschillende bedreigingsklassen worden beschreven in de volgende lijst:

• Fraude met vooraf betaalde kosten: slachtoffers worden grote financiële beloningen, contracten of prijzen beloofd in ruil voor vooruitbetalingen of een reeks betalingen, die de aanvaller nooit levert.

• Business intelligence: verzoeken om informatie over leveranciers of facturen, die door aanvallers worden gebruikt om een profiel op te bouwen voor verdere gerichte aanvallen, vaak van een vergelijkbaar domein dat een vertrouwde bron nabootst.

• Callbackphishing: aanvallers gebruiken telefoongesprekken of andere communicatiekanalen om personen te manipuleren om gevoelige informatie te onthullen of acties uit te voeren die de beveiliging in gevaar brengen.

• Contact tot stand brengen: Email berichten (vaak algemene tekst) om te controleren of een Postvak IN actief is en om een gesprek te starten. Deze berichten zijn bedoeld om beveiligingsfilters te omzeilen en een vertrouwde reputatie op te bouwen voor schadelijke toekomstige berichten.

• Phishing van referenties: aanvallers proberen gebruikersnamen en wachtwoorden te stelen door personen te misleiden om hun referenties in te voeren op een frauduleuze website of via manipulatieve e-mailprompts.

• Creditcardverzameling: aanvallers proberen creditcardgegevens en andere persoonlijke gegevens te stelen door personen te misleiden om hun betalingsgegevens te verstrekken via valse e-mailberichten, websites of berichten die legitiem lijken.

• Afpersing: De aanvaller dreigt gevoelige informatie vrij te geven, systemen in gevaar te brengen of schadelijke acties te ondernemen, tenzij losgeld wordt betaald. Dit type aanval omvat doorgaans psychologische manipulatie om het slachtoffer te laten voldoen.

• Cadeaukaarten: Aanvallers imiteren vertrouwde personen of organisaties en overtuigen de ontvanger om cadeaukaartcodes te kopen en te verzenden, vaak met behulp van social engineering-tactieken.

• Factuurfraude: facturen die er legitiem uitzien, hetzij door het wijzigen van de details van een bestaande factuur of het indienen van een frauduleuze factuur, met de bedoeling om ontvangers te misleiden om betalingen te doen aan de aanvaller.

• Salarisfraude: manipuleer gebruikers bij het bijwerken van salaris- of persoonlijke accountgegevens om geld om te leiden naar de controle van de aanvaller.

• Het verzamelen van persoonlijk identificeerbare informatie (PII): aanvallers imiteren een hooggeplaatste persoon, zoals een CEO, om persoonlijke gegevens op te vragen. Deze e-mailberichten worden vaak gevolgd door een verschuiving naar externe communicatiekanalen zoals WhatsApp of sms-berichten om detectie te omzeilen.

• Social OAuth-phishing: aanvallers gebruiken eenmalige aanmelding (SSO) of OAuth-services om gebruikers te misleiden om hun aanmeldingsreferenties op te geven, waardoor ze onbevoegde toegang krijgen tot persoonlijke accounts.

• Taakfraude: korte, schijnbaar veilige e-mailberichten waarin wordt gevraagd om hulp bij een specifieke taak. Deze aanvragen zijn ontworpen om informatie te verzamelen of acties te activeren die de beveiliging in gevaar kunnen brengen.

Waar bedreigingsclassificatieresultaten beschikbaar zijn

De resultaten van bedreigingsclassificatie zijn beschikbaar in de volgende ervaringen in Defender voor Office 365:

• Explorer (Bedreigingsverkenner)
• Incidenten en waarschuwingen
• Geavanceerd opsporen
• Het rapport Bedreigingsbeveiligingsstatus
• Het statusrapport van de e-mailstroom