.
A Microsoft está trazendo alertas de proteção de identidade do Azure Active Directory para o Microsoft 365 Defender para aparentemente ajudar o pessoal de TI a impedir criminosos que se infiltram em redes corporativas por meio de usuários comprometidos.
Por um lado, isso significa que, se você quiser descobrir o papel que uma identidade do Azure AD desempenhou em uma intrusão, agora pode fazê-lo em um local, o Microsoft 365 Defender, evitando que você precise verificar seu portal do Azure, de acordo com Microsoftie Idan Peleg. Os alertas do Identity Protection podem ser configurado para acionar quando parecer que uma ou mais contas de usuário foram comprometidas, com base em seu comportamento, localização e outros fatores. Isso é útil para detectar e bloquear ações suspeitas ou não autorizadas.
“Os alertas de proteção de identidade agora estão correlacionados a incidentes relacionados junto com alertas de outros domínios de segurança e podem ser revisados diretamente no Microsoft 365 Defender para uma visão completa do ataque de ponta a ponta”, Pelleg explicou na terça-feira.
Em última análise, tudo isso importa porque um invasor com controle sobre uma conta organizacional legítima pode usá-la para movimentar redes e comprometer sistemas, recursos e outras contas.
“Com permissões suficientes em mãos, os invasores têm as ‘chaves do reino’ para finalmente atingir seu objetivo – criptografar toda a rede, exfiltrar e-mails ou outras informações confidenciais ou quaisquer outros objetivos maliciosos”, acrescentou Pelleg, argumentando a necessidade de equipes de segurança. para detectar atividades suspeitas relacionadas à identidade.
Existem vários ataques de alto perfil que comprovam esse ponto, incluindo o Nobélio caso. A equipe apoiada pelo Kremlin – também conhecida como Cozy Bear e APT29 – é uma ameaça persistente avançada (APT) mais conhecida pelo ataque de alto perfil no ano passado à SolarWinds, que destacou a segurança da cadeia de suprimentos.
As empresas de inteligência de ameaças, como Mandiant e Kaspersky, têm seguido Nobélio por anos. Pesquisadores da Mandiant em agosto descrito Nobelium – um nome atribuído pela Microsoft – como um grupo de espionagem “extremamente prolífico” que provavelmente é patrocinado pelo Serviço de Inteligência Estrangeira da Rússia (SVR) e durante o curso de 2022 tem como alvo organizações envolvidas na criação de política externa para países da OTAN.
“Isso inclui casos em que o APT29 revisitou vítimas que haviam comprometido anos, ou apenas algumas vezes meses antes”, escreveram os órgãos da Mandiant. “Essa persistência e agressividade são indicativas de um interesse sustentado por essas informações e de uma tarefa estrita do governo russo”.
Eles acrescentaram que o grupo continua a “demonstrar segurança operacional excepcional e táticas avançadas visando o Microsoft 365”.
A Nobelium e outros invasores comprometem as identidades nas redes locais e nos ambientes de nuvem das organizações. Pelleg descreveu um ataque Nobelium no qual os cibersnoops entraram em uma rede local e comprometeram contas com permissões do AD Federation Services, o que lhes deu acesso a recursos e serviços em nuvem. Eles conseguiram cunhar tokens para acesso à nuvem e extrair informações das caixas de e-mail dos usuários.
A Proteção de Identidade do Azure AD aparentemente recebe “trilhões de sinais de detecção” para identificar identidades comprometidas; ele pode gerar avisos para, entre outras coisas, contas que usam credenciais vazadas, encaminhamento suspeito de e-mail e logins provenientes de endereços IP e locais inesperados.
Com esses alertas, as organizações podem suspender contas específicas para bloquear um ataque em andamento e limitar o impacto, confirmar que um usuário foi comprometido e marcá-los no Identity Protection como de alto risco e fazer com que eles alterem sua senha. ®
.
