Microsoft 365 Defender 擴展了其自動攻擊中斷功能以包括business email compromise) 和人為操作的勒索軟件攻擊。此功能不需要安全運營中心 (SOC) 團隊進行任何預配置,並且作為 Microsoft XDR 中的一項功能內置。
中間人攻擊 (AiTM) 是一種嚴重的攻擊對組織的威脅,因為它們允許攻擊者攔截和操縱用戶、設備和服務器之間的網絡通信。通過創建冒充合法網站的虛假網站,攻擊者可以從毫無戒心的用戶那裡竊取憑據、會話 cookie 和其他敏感信息。這些攻擊還可以繞過多因素身份驗證 (MFA) 並啟用進一步的攻擊,例如企業電子郵件洩露 (BEC) 和憑據收集。
Microsoft 開發了一種強大的解決方案,可以使用其 擴展檢測和響應 (XDR) 平台,Microsoft 365 Defender。該工具已經關聯了端點、身份、電子郵件、協作工具和 SaaS 應用程序中的數百萬個信號,以識別組織環境中的主動攻擊和受損資產。
它還使用人工智能 (AI) 模型來阻止一些正在進行的最複雜的攻擊技術,並限制橫向移動和損壞。將 Microsoft 365 Defender 的強大功能與現有的自動攻擊中斷功能相結合,可以保護組織免受 AiTM 攻擊。
導致 BEC
AiTM 攻擊的自動檢測如何工作?
在其博客文章中,Microsoft 詳細介紹了檢測系統的工作原理,然后防止網絡攻擊的發生:
高可信度基於多個相關的 Microsoft 365 Defender 信號識別 AiTM 攻擊。觸發自動響應,禁用 Active Directory 和 Azure Active Directory 中受損的用戶帳戶。被盜的會話 cookie 會自動撤銷,防止攻擊者將其用於其他惡意活動。
SOC 團隊可以配置自動攻擊中斷並從 Microsoft 365 Defender 門戶輕鬆恢復任何操作。他們還可以查看包含的 AiTM 事件的詳細信息,以及攻擊中斷標籤。
此功能可幫助組織保護自己免受 AiTM 攻擊並減少其潛在影響。它還表明 Microsoft 致力於利用 AI 的力量幫助安全團隊更有效地擴展。
