الأمن السيبراني

الكشف عن عمليات تسجيل الدخول الشاذة لـ O365 وتقنيات التهرب


محتوى هذا المنشور هو مسؤولية المؤلف فقط. لا تتبنى AT&T أو تؤيد أيًا من وجهات النظر أو المواقف أو المعلومات التي يقدمها المؤلف في هذه المقالة.

ملخص

تتعرض الشركات عبر العديد من الصناعات، بغض النظر عن حجمها، لخطر استهدافها بحملات التصيد الاحتيالي في Microsoft 365. تخدع هذه الحملات المستخدمين لزيارة صفحة تسجيل دخول مزيفة لـ Microsoft حيث تلتقط جهات التهديد بيانات اعتماد المستخدم. حتى الحسابات التي تحتوي على MFA يمكن أن تكون ضحية لهذه الأنواع من الهجمات. هناك عدة طرق يتم من خلالها تجاوز أسلوب MFA من خلال هذه الأنواع من الحملات.

يعد MFA Fatigue إحدى الطرق التي يتخطى بها ممثلو التهديد MFA وتحاول هذه الطريقة استغلال الخطأ البشري عن طريق تسجيل الدخول بشكل متكرر باستخدام بيانات الاعتماد المسروقة مما يتسبب في عدد هائل من مطالبات MFA في محاولات إقناع المستخدم بالموافقة على تسجيل الدخول.

تقنية أخرى لتجاوز MFA هي تبديل بطاقة SIM. بطاقة SIM عبارة عن شريحة صغيرة يستخدمها مشغل شبكة الجوال للاحتفاظ بمعلومات التعريف لربط هاتفك بك وبمشغل شبكة الجوال. لقد وجدت الجهات التهديدية نقطة ضعف في هذا لأن هناك سيناريوهات قد يحتاج فيها العميل إلى بطاقة SIM جديدة (على سبيل المثال، فقد هاتفه). يمكن لشركات الاتصالات نقل معلومات التعريف الخاصة بك من بطاقة SIM القديمة إلى بطاقة جديدة. يتم تبديل بطاقة SIM عندما يسيء أحد جهات التهديد استخدام هذه الميزة وينتحل شخصيتك لإقناع مشغل شبكة الجوال الخاص بك بتبديل رقم هاتفك إلى بطاقة SIM الموجودة في حوزة جهة التهديد. يسمح هذا بعد ذلك لممثل التهديد بتلقي رموز MFA المرسلة إلى رقمك عبر مكالمة هاتفية أو رسالة نصية قصيرة.

تُعد هجمات الرجل في المنتصف إحدى تقنيات تجاوز MFA البارزة الأخرى. باستخدام هذه الطريقة، ستنتظر جهات التهديد قيام المستخدم بإدخال بيانات الاعتماد في صفحة تسجيل دخول مزيفة، ثم تنتظر السماح بتسجيل الدخول باستخدام إشعار دفع أو سرقة الجلسة أو الرمز المميز بعد إدخال الرمز الخاص بك.

بعد الوصول إلى حساب O365، يقوم ممثل التهديد عادةً ببعض الاستطلاع على صندوق الوارد الخاص بالمستخدم ثم يستخدم الوصول إلى حساب المستخدم لمحاولة التصيد الاحتيالي للمستخدمين الآخرين، عادةً بدافع مالي. نرى عادة إساءة استخدام قواعد البريد الوارد لمحاولة إخفاء رسائل البريد الإلكتروني، لذلك لا يكون المستخدم على علم برسائل البريد الإلكتروني الواردة من حسابه.

كشف

24/7/365 مراقبة واكتشاف التهديدات مثل خدمات AlienVault المُدارة من Vertek

· تستخدم إدارة الأمان الموحدة لـ AlienVault تحليلات سلوك المستخدم منصة لاكتشاف عمليات تسجيل الدخول غير الطبيعية لـ M365 من خلال تتبع سلوكيات المستخدم وبيانات تسجيل الدخول.

· تمكين سياسات الكشف عن الحالات الشاذة في Microsoft Defender للتطبيقات السحابية. يمكن تمكين هذه التنبيهات في Defender، ثم سحبها إلى USM Anywhere حيث يمكن لفريق SOC التابع لشركة Vertek التحقيق في التنبيهات عند حدوثها.

· تنبيهات مخصصة للتنبيه بشأن عمليات تسجيل الدخول المشبوهة وقواعد البريد الوارد.

· إعداد تقارير شهرية لتحديد المستخدمين الخطرين والضوابط الأمنية المفقودة.

تخفيف

· تنفيذ تدريب منتظم للمستخدمين، حتى يتمكن المستخدمون من التعرف على محاولات التصيد الاحتيالي وفهم أهمية كلمات المرور الجيدة والموافقة على عمليات تسجيل الدخول فقط إذا كانوا يعلمون أن تسجيل الدخول شرعي.

· الاستفادة من أدوات Microsoft لوضع علامة على المستخدمين الذين تم تصيدهم باعتبارهم مستخدمين خطرين.

· تعطيل البروتوكولات القديمة لأنها مفضلة في هجمات بيانات الاعتماد لأنها لا تستطيع فرض MFA.

· استخدم Microsoft Intune أو أدوات إدارة الأجهزة المحمولة الأخرى (MDM) لحظر عمليات تسجيل الدخول من الأجهزة غير المسجلة.

· استخدام خدمة إدارة التهديدات المُدارة التي تساعد مؤسستك على تحديد المستخدمين الخطرين باستخدام أدوات مراقبة الويب المظلم لتحديد بيانات الاعتماد المسربة.



Source link

زر الذهاب إلى الأعلى