Darktrace的人工智能如何抓到了两个微软365账户，电子邮件安全产品总监Dan Fein，2020年6月8日星期一"社会工程"。"凭证被盗"。"账户接管"。如果你是2020年安全运营中心墙上的一只苍蝇，你听到这些短语的频率将远远超过"银行木马"、"SQL注入"或"漏洞工具包"。原因很简单，对于大多数安全团队来说，现在的现实是，他们的外围环境已经转移到云端。身份受到攻击的不仅仅是设备。"Microsoft 365帐户泄露"是当前最受欢迎的，仅一个月就有29%的组织报告了相关事件。安全团队与这些攻击作斗争是因为检测它们所需的证据分散在整个企业中：它们通过电子邮件开始，在网络上执行，并在云中取得进展。这种广泛而分散的数字足迹意味着跟随面包屑不是别紧张。黑暗种族该公司的网络人工智能平台旨在了解用户在设备和云服务之间移动时的行为，跟踪他们的活动，以确定一个折衷方案。为了帮助理解这些攻击是如何避免被发现的，我们可以看看最近在我们的客户。Microsoft365泄露启动外部电子邮件威胁微软365帐户最近在美国的一家公共会计师事务所被泄露。Darktrace最初发现了一些异常情况，包括出站电子邮件流量突然激增以及异常的登录位置——虽然该公司及其几乎所有用户都位于威斯康辛州，但一个位于堪萨斯州的IP地址被用来登录Microsoft 365帐户。除了不寻常的登录，从同一个堪萨斯IP地址登录到Microsoft团队检测到。图1： 就在新的电子邮件规则创建之后，微软团队100%罕见的IP登录发生了。"不可能的旅行"规则本身就会错过这些异常情况，但是，对不同SaaS应用程序的活动和行为的理解使得Darktrace的AI能够将这些事件识别为一个系统的凭证盗窃案例。当威胁参与者随后创建了一个新的电子邮件规则时，Darktrace能够将此事件与其他异常行为联系起来，并了解其潜在的恶意行为自然。数字2： Darktrace的SaaS模块指出，100%罕见的IP登录用户的Microsoft 365帐户，并创建了新的邮箱规则。所有因素都表明100%不寻常的SaaS活动。五几分钟后，什么是数据中台，Antigena的电子邮件提醒了大量的出站电子邮件，返利平台，其中包含一个通用主题行和一个附加的PDF。该技术还检测到来自该用户的出站电子邮件明显增多，并用"不符合字符"的标签标记每封邮件，在本例中，这表示随着收件人数量的激增，正常行为发生了变化，而且可能是内部邮件妥协。图3： Antigena电子邮件检测到收件人激增，企业信息软件，大数据研发，表明严重违反正常行为用户。那个Darktrace的SaaS模块检测到的异常登录行为可能与Antigena电子邮件标记的异常出站电子邮件行为相关联，从而使安全团队能够看到攻击的程度，并在攻击出现时对其进行中和。很明显，该账户被用于从事恶意活动，因为220封出站电子邮件中，每封都使用了通用的主题行，并包含可疑附件。因此，安全小组立即关闭了受损的帐户。数字4： 重新生成攻击者发送的电子邮件，其中包含恶意附件。帐户部门发送的"更改银行详细信息"当帐户部门的Microsoft 365帐户被泄露并用于发送有针对性的网络钓鱼电子邮件时，Darktrace能够在收件箱内跟踪攻击者的移动，将来自Darktrace的SaaS模块的信息与Antigena电子邮件的警报结合起来，以了解威胁的全貌并阻止攻击。那个SaaS帐户似乎已通过入站鱼叉式网络钓鱼攻击而受损，或者是在Darktrace开始监视组织之前发生的其他形式的攻击。虽然暗黑种族网络人工智能没有监督最初的妥协，但它仍然能够根据其对组织和其劳动力。什么时候帐户用户从100%罕见的法语IP地址登录，Darktrace的SaaS模块立即发现异常，并进一步检测到异常登录后执行的一系列活动。同时，安提吉纳电子邮件注意到一封电子邮件发送。图5： 来自法国IP的登录对于这个用户和SaaS来说是100%罕见的账户。暗黑种族然后发现更多的活动发生在第二个罕见的登录位置，一个瑞士IP地址。当帐户从这个IP登录时，很少有电子邮件活动发生。取而代之的是，网络人工智能看到了威胁参与者使用他们非法的SaaS访问权限来查看合法帐户用户的信息以及与银行、发票和付款。安提吉纳电子邮件随后确定了一系列电子邮件通信，当在SaaS帐户泄露的上下文中看到这些通信时，它们指出了一个明显的威胁。邮件中没有明显的恶意附件或链接。然而，最终回复的主题是"更改银行详细信息"，该邮件在Antigena电子邮件中提示了很高的引诱分数，强烈暗示恶意行为人发送电子邮件指示目的地更改付款详细信息，以便将钱路由给攻击者，而不是公司。It似乎攻击者浏览了银行和发票文件，以便找到一个需要支付大额账单的客户，然后使用受损的电子邮件帐户发起出站网络钓鱼攻击，更改账单详细信息。由于Darktrace AI将SaaS平台内的信息与Antigena电子邮件的见解相关联，开源建站系统，这种有针对性的网络钓鱼攻击可以在进一步的危害或损害发生之前得到遏制发生了。这个下面的屏幕截图还显示了一系列针对受损帐户的收件箱处理规则，显示了典型的帐户操作接管。图6： Darktrace记录了在受损SaaS上设置的新收件箱规则帐户。那个统一方法的好处这些故事太熟悉了。大多数安全工具都无法单独对这些步骤中的任何一个采取行动。但这一组合揭示了微软365账户被劫持的迹象。企业正努力在其云基础设施中管理其用户身份，基于规则和策略的检测已不再存在可行。不过，通过学习整个企业的身份和行为，Darktrace能够检测并无缝响应，以应对这些威胁。数以百计的组织现在正在使用Antigena电子邮件来持续保护他们的电子邮件和云环境，他们相信它可以动态地强制执行MFA，锁定帐户，阻止网络流量，并在必要的。如云计算原生应用越来越流行，组织面临越来越大的端到端安全问题针对每种类型的工作负载的解决方案。由于Antigena电子邮件与Darktrace的企业免疫系统相结合，防御者可以放心，一个单一的统一平台可以跟踪每一个可疑行为，无论它出现在组织。学习更多关于安提吉娜EmailDan feinb总部设在纽约，丹是美国电子邮件安全产品总监。他于2015年加入了Darktrace的技术团队，帮助客户迅速对Darktrace全球领先的网络人工智能平台和产品有一个全面而细致的了解。Dan特别关注Antigena电子邮件，确保它能有效地部署在复杂的数字环境中，并与开发、营销、销售和技术团队密切合作。丹拥有纽约计算机科学学士学位大学。分享在LinkedIn上的FacebookTweetShare发送电子邮件