Ameaças virtuais mais comuns no Microsoft 365 e no Azure AD

Uma pesquisa conduzida pela Vectra, detectou os 10 problemas mais comuns que afetam os usuários do Azure Active Directory e do Microsoft 365.  

Entre os elementos que tornam o Microsoft 365 e o Azure atraentes para ataques virtuais está seu grande número de usuários, especialmente no meio corporativo. O Microsoft 365, por exemplo, possui mais de 250 milhões de usuários ativos, tornando o software baseado na nuvem um alvo bastante atraente para grupos criminosos. 

É uma poderosa ferramenta de produtividade que continua a fornecer muitos benefícios de conectividade e colaboração para equipes próximas e distantes. Assim, enquanto a Microsoft construiu uma plataforma incrível que muitas empresas não podem viver sem, os cibercriminosos veem esse grande pool de usuários como uma oportunidade de tentar entrar e assumir o controle. 

Então, como podemos detectar a atividade maliciosa e obter os alertas certos para as equipes de segurança? Coletando os dados certos e usando inteligência artificial (IA).

Continue a leitura e confira quais são os principais riscos e como se proteger. 

10 principais ameaças:

Microsoft 365 – Operação de troca arriscada do Exchange: tentativas de manipular o Exchange para ganhar acesso a dados; 

Azure AD – Operações suspeitas: operações em que criminosos elevam seu nível de acesso após tomar controle de contas comuns; 

Microsoft 365 – Atividade de download suspeita: um fluxo incomum de download de dados, indicando que criminosos estão usando o SharePoint e o OneDrive para transmitir informações; 

Microsoft 365 – Atividades suspeitas de compartilhamento: uma conta passa a compartilhar pastas e arquivos em quantidade maior que o comum, sugerindo atividades criminosas através do SharePoint e do OneDrive; 

Azure AD – Criação de acessos redundantes: privilégios administrativos são concedidos a outras entidades, garantindo a criminosos mais meios de garantir acesso às contas invadidas; 

Microsoft 365 – Acesso de times externos: contas externas, que geralmente pertencem a criminosos, são adicionadas a um grupo de acesso; 

Microsoft 365 – Fluxos de trabalho suspeitos adicionados ao Microsoft Power Automate: fluxos de trabalho são criados para garantir o acesso permanente de criminosos ao ambiente invadido; 

Microsoft 365 – Encaminhamento de e-mails suspeitos: mensagens são coletadas e enviadas para outras contas, sugerindo que criminosos estão roubando dados sem manter sua persistência no sistema; 

Microsoft 365 – Pesquisas incomuns do eDiscovery: sintoma de que invasores estão realizando buscas procurando por pontos vulneráveis e acessíveis do sistema; 

Microsoft 365 – Operação suspeita do Sharepoint: ações feitas com privilégios de administrador que sugerem ações maliciosas. 

Tentativas de manipular dados do Microsoft Exchange foram o comportamento criminosos mais comum detectado pelo estudo. Além disso, operações incomuns do Azure também ocupam lugar de destaque na lista, mostrando que criminosos estão escalando níveis de segurança e ganhando privilégios de administrador a partir da invasão de uma conta comum. 

A pesquisa mostra que há uma tendência de empresas maiores registrarem menos violações de segurança, o que pode ser fruto de um uso mais consistente das configurações de acesso do Microsoft 365 e do Azure, bem como da presença de políticas de segurança mais definidas. 

Dicas de como proteger seu ambiente Microsoft:

Gerenciar dispositivos do Microsoft 365. Use o Azure AD Join e o MDM (gerenciamento de dispositivo móvel) baseado em nuvem para eliminar dependências em sua infraestrutura de gerenciamento de dispositivo local. Essas dependências podem comprometer o dispositivo e os controles de segurança. 

Certifique-se de que nenhuma conta local tenha privilégios elevados para Microsoft 365. Algumas contas acessam aplicativos locais que exigem autenticação NTLM, LDAP ou Kerberos. Essas contas devem estar na infraestrutura de identidade local da organização. Verifique se essas contas, incluindo contas de serviço, não estão incluídas em grupos ou funções de nuvem privilegiadas. Além disso, certifique-se de que as alterações nessas contas não afetem a integridade do ambiente de nuvem. 

Use a autenticação de nuvem do Azure AD para eliminar dependências em suas credenciais locais. Sempre use autenticação forte, como Windows Hello, FIDO, Microsoft Authenticator ou autenticação multifator do Azure AD. 

Proteja sua organização contra ameaças em dispositivos, identidades, aplicativos, e-mail, dados e cargas de trabalho na nuvem.  Nos contate para obter mais informações!


Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *