Основная цель злоумышленников состоит в том, чтобы получить и расширить доступ к ресурсам организации, закрепиться там и ждать возможности украсть или зашифровать как можно больше конфиденциальной информации, чтобы получить наибольшую прибыль.

Специалистам по защите необходима прозрачность во всех ресурсах и автоматическое сопоставление признаков вредоносной деятельности в электронной почте, идентификационных данных, конечных точках и облачных приложениях, чтобы увидеть полную картину атаки. Только тогда специалисты по защите смогут «вылечить» зараженные устройства, применить условный доступ (Conditional Access) и предотвратить повторение таких же или похожих атак.

Хотелось бы напомнить какие средства защиты встроены в продукты Microsoft, и предложить вариант того, как можно правильно расставить приоритеты.

Вы можете защищать конечные устройства с помощью Microsoft Defender ATP — до пяти устройств лицензированных пользователей одновременно, которые легко подключить в любое время. Стоит обратить внимание, что Microsoft Defender ATP отслеживает угрозы на всех платформах, включая macOS.

Включите многофакторную проверку подлинности (MFA) и контроль доступа по условию через Azure Active Directory для защиты идентификационных данных. Сейчас, когда пользователи работают из дома, как никогда важно избегать компрометации учетных данных. Настоятельно рекомендую подключать все приложения — от SaaS до локальных приложений — к Azure AD для единого входа, включать MFA и применять политики доступа по условию, а также предоставлять безопасный доступ подрядчикам и партнерам. Вы также можете задействовать бесплатную службу Azure AD для единого входа, включая MFA с использованием приложения Microsoft Authenticator.

Почтовые ящики и учетные записи электронной почты можно защитить с помощью Office 365 ATP. Эта облачная служба фильтрации поставит надежный барьер против фишинга и вредоносных программ. Она также включает функции для защиты вашей организации от нарушений политики обмена сообщениями, целевых атак, уязвимостей нулевого дня и вредоносных URL-адресов. Интеллектуальные рекомендации от Security Policy Advisor помогут уменьшить распространение макроатаки, а служба Office Cloud Policy Service упростит внедрение базовых показателей безопасности.

Еще один сервис - Microsoft Cloud App Security - поможет защититься от использования теневой ИТ-инфраструктуры и несанкционированных приложений. Плюс к этому он позволяет выявлять и прекращать атаки в облаке, а также контролировать передачу данных между облачными приложениями разных производителей.

Microsoft Threat Protection сопоставляет сигналы из всех этих источников, используя Azure ATP, Microsoft Defender ATP, Office 365 ATP и Microsoft Cloud App Security, чтобы понять всю цепочку атаки. Это позволяет CISO определить, какие угрозы необходимо устранить в первую очередь, и автоматически восстановить поврежденные учетные записи, почтовые ящики, конечные устройства и облачные приложения до безопасного состояния.

Cредства анализа угроз Microsoft учитывают сигналы не только от одного вектора атаки (такого как фишинговые письма), а сразу по всем направлениям, включая электронные письма, идентификаторы, конечные устройства и облачные приложения, чтобы понять, как меняется ландшафт угроз, и встроить эти знания в наши продукты для предотвращения разрастания и усиления атак. Встроенные средства автоматического устранения атак в этих решениях помогают уменьшить нагрузку на специалистов по защите, возрастающую из-за появления множества новых устройств и соединений.

Хотел бы также обратить внимание на Azure Sentinel — полностью облачное решение SIEM, которое объединяет данные анализа из Microsoft Threat Protection и Azure Security Center, а также журналов любых сторонних и клиентских приложений, чтобы облегчить специалистам по безопасности обнаружение, рассмотрение и расследование угроз по всему предприятию. Как и во всех продуктах Microsoft Security, клиенты Azure Sentinel получают преимущества интеллектуального анализа угроз для обнаружения и поиска атак. Решение позволяет легко добавлять новые источники данных и масштабировать существующие, используя встроенные рабочие книги, поисковые запросы и аналитику, чтобы помочь в идентификации угроз, их приоритизации и реагирования на них. Недавно был представлен блокнот для поиска угроз, связанных с COVID-19, в Azure Sentinel.

Средства защиты, предоставляемые облаком, важны, чтобы получать актуальные обновления и исправления безопасности. Если вы еще не используете их, настоятельно рекомендую это делать.

В заключение хотел бы также напомнить, что в Microsoft работают 3500 специалистов в области информационной безопасности. Эта команда очень тщательно следит за ландшафтом угроз, их главная задача — помогать, предоставляя ресурсы и рекомендации, а для критических случаев предлагается поддержка таких служб, как Microsoft Detection and Response (DART, группа обнаружения и реагирования), чтобы помочь в расследовании и исправлении ситуации.

Большей части мира пришлось перейти на работу из дома — и это уже неоспоримый факт. Все это означает, что теперь больше людей и устройств получают доступ к конфиденциальным корпоративным данным через домашние сети.

Специалисты по защите работают круглосуточно, обеспечивая безопасность не только конечных устройств, но и идентификационных данных, электронной почты и приложений. Ни у кого, по большому счету, не было времени подготовиться к этому, и многие клиенты были просто вынуждены начать работать в новой среде и быстро решать возникающие задачи.

Все почтовые ящики, телефоны, телевизоры и новости полны сообщениями о COVID-19, информация поступает постоянно. Это ошеломляет, и злоумышленники об этом знают. Они знают, что многие переходят по ссылкам не глядя, потому что возрос уровень тревоги, и они пользуются этим. Вот почему наблюдается рост успешности атак с применением фишинга и социальной инженерии. Дело не в том, что у злоумышленников внезапно стало больше ресурсов для обмана пользователей. Они просто добавляют ключевые слова, связанные с COVID-19, в уже имеющуюся инфраструктуру, включая вымогательские программы, фишинговые кампании и другие механизмы доставки вредоносных программ, чтобы сделать ссылки актуальными.

В борьбе с атакующими в такой ситуации помогут интеллектуальные решения со встроенными автоматизированными средствами упреждающей защиты, обнаружения, реагирования и предотвращения подобных атак. Они способны отслеживать вредоносную активность везде (это ключевое слово): в электронной почте, в идентификационных данных, в конечных устройствах и в приложениях.

Команды Microsoft, занимающиеся анализом угроз, активно отслеживают сегодняшнее смещение акцентов и реагируют на него. Наши данные показывают, что угрозы, спекулирующие на теме COVID-19, не сильно отличаются от уже существующих способов атаки, а просто слегка изменены, чтобы была связь с этой пандемией. Это означает, что мы наблюдаем смену приманки, а не всплеск атак. Анализ показывает, что эти атаки укладываются в привычные колебания ландшафта угроз.

В каждой стране мира была по крайней мере одна атака на тему COVID-19. Число успешных атак в странах, пострадавших от эпидемии, растет по мере усиления страха и желания получить информацию.

Новейшие, но уже широко распространенные семейства вредоносных программ TrickBot и Emotet очень активно действуют и актуализируют приманки, чтобы спекулировать на пандемии. На сегодняшний день специалисты Microsoft насчитали 76 вариантов угроз по всему миру, пользующихся темой COVID-19.

Microsoft отслеживает тысячи фишинговых кампаний, в рамках которых каждую неделю рассылаются миллионы вредоносных сообщений. Фишинговая кампания — это не просто одно целевое электронное письмо для одного целевого пользователя. Это могут быть сотни или тысячи вредоносных писем, нацеленных на сотни или тысячи пользователей, поэтому такие кампании очень эффективны. Из миллионов целевых сообщений, которые мы видим каждый день, примерно 60 тыс включают вредоносные вложения или вредоносные URL-адреса, прикрывающиеся темой COVID-19.

Хотя это число кажется очень большим, важно отметить, что это менее двух процентов от общего объема угроз, которые мы активно отслеживаем и ежедневно предотвращаем. Такая статистика подтверждает, что общий объем угроз не увеличивается, но злоумышленники меняют свои методы, пользуясь страхом. Они рассылают письма от имени известных организаций, таких как Всемирная организация здравоохранения, Центры по контролю и профилактике заболеваний и министерства здравоохранения отдельных стран, чтобы проникнуть в почтовые ящики.

За один день репутационный фильтр SmartScreen просматривает и обрабатывает более 18 тыс вредоносных URL-адресов и IP-адресов, использующих тему COVID-19. Это еще раз показывает, что злоумышленники становятся более агрессивными и гибкими в подготовке атак: используя те же методы доставки, но чаще меняя вредоносные URL-адреса, они пытаются обойти защиту на основе машинного обучения.

Один из примеров — система Advanced Threat Protection в Microsoft Office 365 предотвратила крупную фишинговую кампанию, в которой использовалась поддельная страница входа в Office 365 для сбора учетных данных. За 24 часа было обнаружено около 2300 уникальных HTML-вложений с недостоверной информацией о финансовой компенсации пострадавшим от COVID-19, рассылаемых в рамках этой кампании.

Microsoft продолжает выявлять и отслеживать подобные угрозы, создавать упреждающие средства защиты от них во всех своих продуктах для обеспечения безопасности. Когда клиенты подвергаются таким атакам, компания уведомляет их об этом напрямую, чтобы ускорить расследования.