Udostępnij za pośrednictwem

Klasyfikacja zagrożeń w Ochrona usługi Office 365 w usłudze Microsoft Defender

Skuteczna klasyfikacja zagrożeń jest kluczowym elementem cyberbezpieczeństwa, który umożliwia organizacjom szybkie identyfikowanie, ocenianie i ograniczanie potencjalnych zagrożeń. System klasyfikacji zagrożeń w Ochrona usługi Office 365 w usłudze Microsoft Defender używa zaawansowanych technologii, takich jak duże modele językowe (LLM), małe modele językowe (SLM) i modele uczenia maszynowego (ML) do automatycznego wykrywania i klasyfikowania zagrożeń opartych na wiadomościach e-mail. Te modele współpracują ze sobą, aby zapewnić kompleksową, skalowalną i adaptacyjną klasyfikację zagrożeń, pomagając zespołom ds. zabezpieczeń wyprzedzić pojawiające się ataki.

Dzięki kategoryzowaniu zagrożeń związanych z pocztą e-mail do określonych typów, takich jak wyłudzanie informacji, złośliwe oprogramowanie i naruszenie zabezpieczeń poczty e-mail (BEC), nasz system zapewnia organizacjom szczegółowe informacje umożliwiające podjęcie działań w celu ochrony przed złośliwymi działaniami.

Typy zagrożeń

Typ zagrożenia odnosi się do podstawowej kategoryzacji zagrożenia na podstawie podstawowych cech lub metody ataku. W przeszłości te szerokie kategorie są identyfikowane na wczesnym etapie cyklu życia ataku i pomagają organizacjom zrozumieć charakter ataku. Typowe typy zagrożeń obejmują:

  • Wyłudzanie informacji: osoby atakujące personifikują zaufane jednostki, aby oszukać adresatów w celu ujawnienia poufnych informacji, takich jak poświadczenia logowania lub dane finansowe.
  • Złośliwe oprogramowanie: złośliwe oprogramowanie przeznaczone do uszkodzenia lub wykorzystania systemów, sieci lub urządzeń.
  • Spam: Niechciane, często nieistotne wiadomości e-mail wysyłane zbiorczo, zazwyczaj w celach złośliwych lub promocyjnych.

Wykrywanie zagrożeń

Wykrywanie zagrożeń odnosi się do technologii i metodologii używanych do identyfikowania określonych wskaźników lub podejrzanych działań w wiadomości e-mail lub komunikacji. Wykrywanie zagrożeń pomaga wykryć obecność zagrożeń, identyfikując anomalie lub cechy w komunikacie. Typowe wykrycia zagrożeń obejmują:

  • Fałszowanie: określa, kiedy adres e-mail nadawcy jest sfałszowany, aby wyglądać jak zaufane źródło.
  • Personifikacja: wykrywa, kiedy wiadomość e-mail personifikuje legalną jednostkę, taką jak dyrektor lub zaufany partner biznesowy, w celu nakłonienia adresatów do podjęcia szkodliwych działań.
  • Reputacja adresu URL: ocenia reputację adresów URL zawartych w wiadomości e-mail, aby określić, czy prowadzą one do złośliwych witryn internetowych.
  • Inne filtry

Klasyfikacja zagrożeń

Klasyfikacja zagrożeń to proces kategoryzowania zagrożenia na podstawie intencji i konkretnego charakteru ataku. System klasyfikacji zagrożeń używa maszyn llm, modeli uczenia maszynowego i innych zaawansowanych technik, aby zrozumieć intencję zagrożeń i zapewnić dokładniejszą klasyfikację. W miarę rozwoju systemu można oczekiwać, że nowe klasyfikacje zagrożeń będą nadążać za nowymi metodami ataków.

Na poniższej liście opisano różne klasy zagrożeń:

  • Oszustwo z góry: ofiarom obiecano duże nagrody finansowe, kontrakty lub nagrody w zamian za płatności z góry lub serię płatności, których atakujący nigdy nie dostarcza.

  • Analiza biznesowa: żądania dotyczące informacji dotyczących dostawców lub faktur, które są używane przez osoby atakujące do tworzenia profilu dla dalszych ukierunkowanych ataków, często z domeny podobnej do podobnej, która naśladuje zaufane źródło.

  • Wyłudzanie informacji zwrotnych: osoby atakujące używają połączeń telefonicznych lub innych kanałów komunikacyjnych do manipulowania osobami w celu ujawnienia poufnych informacji lub wykonywania działań, które zagrażają bezpieczeństwu.

  • Zakład kontaktowy: Email wiadomości (często tekst ogólny), aby sprawdzić, czy skrzynka odbiorcza jest aktywna, i zainicjować konwersację. Te komunikaty mają na celu obejście filtrów zabezpieczeń i budowanie zaufanej reputacji złośliwych komunikatów w przyszłości.

  • Wyłudzanie poświadczeń: osoby atakujące próbują ukraść nazwy użytkownika i hasła, nakłaniając osoby do wprowadzenia swoich poświadczeń w fałszywej witrynie internetowej lub za pośrednictwem manipulacyjnych monitów e-mail.

  • Zbieranie kart kredytowych: Osoby atakujące próbują ukraść informacje o karcie kredytowej i inne dane osobowe, wprowadzając osoby w błąd co do udostępniania informacji o płatności za pośrednictwem fałszywych wiadomości e-mail, witryn internetowych lub wiadomości, które wydają się uzasadnione.

  • Wymuszenie: Osoba atakująca grozi ujawnieniem poufnych informacji, naruszeniem zabezpieczeń systemów lub podjęciem złośliwych działań, chyba że zostanie zapłacony okup. Ten rodzaj ataku zazwyczaj wiąże się z psychologiczną manipulacją, aby nakłonić ofiarę do zachowania zgodności.

  • Karty upominkowe: Osoby atakujące personifikują zaufane osoby lub organizacje, przekonując odbiorcę do zakupu i wysyłania kodów kart upominkowych, często stosując taktykę inżynierii społecznej.

  • Oszustwa związane z fakturami: faktury, które wyglądają legalnie, zmieniając szczegóły istniejącej faktury lub przesyłając oszukańczą fakturę, z zamiarem nakłonienia odbiorców do dokonywania płatności na rzecz osoby atakującej.

  • Oszustwa związane z listami płac: Manipuluj użytkownikami, aby aktualizować dane listy płac lub konta osobistego, aby przekierować środki pod kontrolę osoby atakującej.

  • Zbieranie danych osobowych :Osoby atakujące podszywają się pod osobę o wysokim rankingu, taką jak dyrektor generalny, w celu żądania danych osobowych. Po tych wiadomościach e-mail często następuje przejście do zewnętrznych kanałów komunikacyjnych, takich jak WhatsApp, lub wiadomości sms w celu uniknięcia wykrycia.

  • Wyłudzanie informacji o usłudze Social OAuth: osoby atakujące używają logowania jednokrotnego (SSO) lub usług OAuth, aby oszukać użytkowników w celu podania poświadczeń logowania, uzyskując nieautoryzowany dostęp do kont osobistych.

  • Oszustwa związane z zadaniami: krótkie, pozornie bezpieczne wiadomości e-mail z prośbą o pomoc w konkretnym zadaniu. Te żądania są przeznaczone do zbierania informacji lub wywoływania akcji, które mogą naruszyć bezpieczeństwo.

Gdzie są dostępne wyniki klasyfikacji zagrożeń

Wyniki klasyfikacji zagrożeń są dostępne w następujących środowiskach w Ochrona usługi Office 365 w usłudze Defender: