Классификация угроз в Microsoft Defender для Office 365
Эффективная классификация угроз — это важнейший компонент кибербезопасности, который позволяет организациям быстро выявлять, оценивать и устранять потенциальные риски. Система классификации угроз в Microsoft Defender для Office 365 использует такие передовые технологии, как большие языковые модели (LLM), малые языковые модели (SLM) и модели машинного обучения (ML) для автоматического обнаружения и классификации угроз на основе электронной почты. Эти модели работают вместе, чтобы обеспечить комплексную, масштабируемую и адаптивную классификацию угроз, помогая группам безопасности опережать новые атаки.
Классифицируя угрозы электронной почты по определенным типам, таким как фишинг, вредоносные программы и компрометация электронной почты для бизнеса (BEC), наша система предоставляет организациям практические аналитические сведения для защиты от вредоносных действий.
Типы угроз
Тип угрозы относится к первичной классификации угрозы на основе основных характеристик или метода атаки. Исторически эти широкие категории определяются на ранних этапах жизненного цикла атаки и помогают организациям понять характер атаки. Распространенные типы угроз:
- Фишинг. Злоумышленники олицетворяют доверенные сущности, чтобы обмануть получателей при обнаружении конфиденциальной информации, например учетных данных для входа или финансовых данных.
- Вредоносные программы: вредоносные программы, предназначенные для повреждения или эксплуатации систем, сетей или устройств.
- Спам: нежелательные, часто нерелевантные сообщения электронной почты, отправленные массово, как правило, для вредоносных или рекламных целей.
Обнаружение угроз
_Threat обнаружения относятся к технологиям и методологиям, которые используются для выявления конкретных индикаторов или подозрительных действий в сообщении электронной почты или сообщении. Обнаружение угроз помогает обнаружить наличие угроз путем выявления аномалий или характеристик в сообщении. Распространенные обнаружения угроз:
- Спуфинг. Определяет, когда адрес электронной почты отправителя подделывается, чтобы он выглядел как надежный источник.
- Олицетворение. Обнаруживает, когда сообщение электронной почты олицетворяет законную сущность, например руководителя или доверенного бизнес-партнера, чтобы обмануть получателей при принятии вредоносных действий.
- Репутация URL-адресов. Оценивает репутацию URL-адресов, включенных в сообщение электронной почты, чтобы определить, ведут ли они к вредоносным веб-сайтам.
- Другие фильтры
Классификация угроз
Классификация угроз — это процесс классификации угрозы на основе намерения и конкретного характера атаки. Система классификации угроз использует LLM, модели машинного обучения и другие расширенные методы, чтобы понять намерение угроз и обеспечить более точную классификацию. По мере развития системы можно ожидать, что новые классификации угроз будут и в ногу с новыми методами атак.
В следующем списке описаны различные классы угроз:
Авансовая афера: жертвам обещают большие финансовые вознаграждения, контракты или призы в обмен на авансовые платежи или ряд платежей, которые злоумышленник никогда не доставляет.
Бизнес-аналитика. Запросы информации о поставщиках или счетах, которые используются злоумышленниками для создания профиля для дальнейших целевых атак, часто из похожей области, которая имитирует надежный источник.
Фишинг обратного вызова. Злоумышленники используют телефонные звонки или другие каналы коммуникации, чтобы манипулировать пользователями при раскрытии конфиденциальной информации или выполнении действий, которые подрывают безопасность.
Создание контакта: Email сообщения (часто обычный текст), чтобы проверить, активен ли почтовый ящик, и начать беседу. Эти сообщения предназначены для обхода фильтров безопасности и создания надежной репутации вредоносных будущих сообщений.
Фишинг учетных данных. Злоумышленники пытаются украсть имена пользователей и пароли, обманув пользователей при вводе учетных данных на мошенническом веб-сайте или с помощью манипулятивных подсказок электронной почты.
Сбор кредитных карта: злоумышленники пытаются украсть информацию о кредите карта и другие личные данные, обманывая лиц в предоставлении их платежной информации с помощью поддельных сообщений электронной почты, веб-сайтов или сообщений, которые кажутся законными.
Вымогательство. Злоумышленник угрожает разблокировать конфиденциальную информацию, компрометировать системы или предпринять вредоносные действия, если не будет выплачен выкуп. Этот тип атаки обычно включает в себя психологические манипуляции для принуждения жертвы к соответствию.
Подарочные карты. Злоумышленники олицетворяют доверенных лиц или организаций, убеждая получателя приобретать и отправлять подарочные карта коды, часто используя тактику социальной инженерии.
Мошенничество с счетами. Счета, которые выглядят законными, путем изменения сведений о существующем счете или отправки мошеннического счета с целью обмана получателей при совершении платежей злоумышленнику.
Мошенничество с заработной платы: манипулируйте пользователей при обновлении заработной платы или личная учетная запись сведения, чтобы перенаправить средства под контроль злоумышленника.
Сбор персональных данных( PII): злоумышленники олицетворяют высокопоставленного человека, например генерального директора, чтобы запросить личную информацию. За этими сообщениями электронной почты часто следует переход на внешние каналы коммуникации, такие как WhatsApp, или текстовые сообщения, чтобы избежать обнаружения.
Фишинг OAuth в социальных сетях. Злоумышленники используют службы единого входа (SSO) или OAuth, чтобы обмануть пользователей при предоставлении учетных данных для входа и получения несанкционированного доступа к личным учетным записям.
Мошенничество с задачами: короткие, казалось бы, безопасные сообщения электронной почты с просьбой о помощи в конкретной задаче. Эти запросы предназначены для сбора информации или стимулирования действий, которые могут поставить под угрозу безопасность.
Доступные результаты классификации угроз
Результаты классификации угроз доступны в следующих интерфейсах в Defender для Office 365: