Instytucje z bran?y finansowej przenosz? si? do chmury, aby szybko i ekonomicznie dostarcza? klientom nowe us?ugi. Najwi?kszy nacisk k?adziony jest na zapewnienie elastyczno?ci i dost?pu, ale przyspieszy?y równie? wdro?enia funkcji jednokrotnego logowania (SSO) przy u?yciu us?ug Azure Active Directory (AD) i Office 365. Nowe rozwi?zania ujawni?y jednak obszary wystawione na ataki, a cyberprzest?pcy nieustannie testuj? nowe mo?liwo?ci wej?cia.
Ryzyko cybernetyczne w przypadku FSI istnieje zawsze, ale odpowiednio przygotowany plan dla wdro?enia chmury oraz widoczno?ci operacji w chmurze mog? utrzyma? bezpiecze?stwo na w?a?ciwym torze. Chmura nieustannie zmienia wszystko, co wiemy o bezpiecze?stwie, dlatego w?a?ciwe u?ycie danych przy wsparciu sztucznej inteligencji, mog? pomóc w zapewnieniu przejrzysto?ci operacji w chmurze.
Niedawno przeprowadzona analiza Vectra AI, oparta na obserwacjach z wdro?e? Cognito Network i Cloud Detection Platform w FSI, rzuca nowe ?wiat?o na najcz?stsze wykrycia zagro?e? w Microsoft Azure AD i Office 365.
– Analiza koncentruje si? na najcz??ciej wykrytych anomaliach dotycz?cych zbioru klientów z bran?y us?ug finansowych. Nale?y jednak pami?ta?, ?e wykrywanie i reagowanie na zagro?enia jest naj?atwiejsze, gdy przeciwnicy podejmuj? dzia?ania, które s? w oczywisty sposób wrogie – mówi Christian Putz, Country Manager w Vectra AI.
– Bardzo wa?ne jest, aby osoby odpowiedzialne za bezpiecze?stwo sieci zrozumia?y, ?e istniej? punkty wspólne mi?dzy dzia?aniami, które przeciwnik musia?by podj??, aby osi?gn?? swoje cele, a rutynowymi zachowaniami autoryzowanych u?ytkowników. Wiele z wykrytych dzia?a? omawianych w raporcie jest nietypowe, lecz nie wszystkie z nich s? wynikiem z?o?liwej aktywno?ci – zaznacza.
Wnioski p?yn?ce z operacji najcz??ciej wykrywanych w chmurze
Instytucje finansowe do?wiadczaj? du?ej liczby wykry? ryzykownych operacji Exchange O365 i tworzenia nadmiarowego dost?pu w us?udze Azure AD.
Wykrycie operacji 0365 Risky Exchange mo?e wskazywa?, ?e zapewniany jest dost?p do poufnych informacji, które by?yby dost?pne w wiadomo?ci e-mail. Mo?e to równie? wskazywa?, ?e osoba atakuj?ca manipuluje serwerem Exchange, aby uzyska? dane potrzebne do dalszych post?pów ataku. W takim przypadku istnieje ryzyko, ?e ten rodzaj dost?pu umo?liwi atakuj?cym tworzenie tylnych drzwi i ugruntuje ich dost?p do systemów. Z drugiej strony wykrycie tworzenia nadmiarowego dost?pu w us?udze Azure AD mo?e wskazywa?, ?e osoby atakuj?ce zwi?kszaj? uprawnienia i wykonuj? operacje na poziomie administratora po przej?ciu konta.
W pierwszej dziesi?tce wykrytych zagro?e? w FSI znalaz?y si? równie?: O365 Suspicious Download Activity, O365 Suspicious Power Automate Flow Creation oraz O365 Suspicious eDiscovery Exfil. Dzia?ania te mog? wskazywa?, ?e dane s? wyprowadzane ze ?rodowiska. Niezale?nie jednak od tego, czy atakuj?cy u?ywa SharePointa lub OneDrive’a do pobierania i eksfiltracji danych, czy te? konfiguruje mechanizm trwa?ego dost?pu, na co np. wskazywa?oby tworzenie przep?ywu Power Automate Flow – zespó? bezpiecze?stwa musi o tym wiedzie?.
– Us?ugi finansowe coraz cz??ciej wykorzystuj? technologie chmurowe jako sposób na zwi?kszenie szybko?ci i wydajno?ci w ich organizacjach, co mo?e prze?o?y? si? na zwi?kszenie przep?ywu informacji do i wspó?pracy z podmiotami zewn?trznymi. Jednocze?nie wykryte zagro?enia pokazuj? jak du?y obszar jest nara?ony na to, ?e osoby atakuj?ce wyszukaj? i przechwyc? wra?liwe dane lub b?d? kontynuowa? szkodliwe dzia?ania. Wszystkie instytucje powinny upewni? si?, ?e w ich programie bezpiecze?stwa wdro?ono procesy rutynowej kontroli bezpiecze?stwa, oraz analizy nietypowych dzia?a?, które mog? skutkowa? wyciekiem i utrat? danych – mówi przedstawiciel Vectra AI.
Znajomo?? zachowa? “Twojego” konta
Us?ugi finansowe z pewno?ci? nie s? jedyn? bran??, która w ostatnim czasie wprowadzi?a zmiany w swoich rozwi?zaniach technicznych. Obecnie istotne jest to, jakie narz?dzia bezpiecze?stwa s? u?ywane do przeciwdzia?ania wszelkim niechcianym dzia?aniom.
Ze wzgl?du na ?cis?e regulacje i priorytetowe traktowanie testów penetracyjnych, instytucje finansowe zazwyczaj dobrze radz? sobie z ochron? przed atakami, co nie znaczy, ?e mo?na lekcewa?y? umiej?tno?ci i motywacj? cyberprzest?pców. Nale?y za?o?y?, ?e s? przebiegli i znajd? sposoby na ukrycie si? w obszarach, które nie s? zabezpieczone, co sprawia, ?e mo?liwo?? wykrycia nietypowej aktywno?ci jest wa?niejsza ni? kiedykolwiek. Ró?nica mi?dzy zachowaniem atakuj?cego a uprzywilejowanego konta mo?e by? rozmyta, dlatego bez mo?liwo?ci gromadzenia odpowiednich danych, zapewniaj?cych w?a?ciw? widoczno?? oraz wiedz? jak wygl?da autoryzowane u?ycie, bardzo trudno jest zrozumie? jakie zachowania podejmowane s? przez atakuj?cych.
