Barracuda full logo

Automação de resposta em tempo real no Microsoft 365 com Resposta Automatizada a Ameaças

Tópicos:
26 nov. 2024
|
Adam Searcy

Muitas empresas dependem do Microsoft 365, tornando-o um alvo frequente de atores de ameaça. As soluções de segurança convencionais, como plataformas de gestão de informação e eventos de segurança (SIEM) e ferramentas de deteção e resposta de endpoints (EDR), são cruciais, mas frequentemente necessitam de intervenção manual durante uma apropriação de conta. Agora, a Resposta Automática a Ameaças no Barracuda XDR Cloud Security está a transformar a maneira como as empresas remedeiam eficazmente contas comprometidas do Microsoft 365, mitigando instantaneamente os danos e melhorando a sua postura de segurança.

O que é a Resposta Automatizada a Ameaças na Segurança em Nuvem XDR?

Barracuda XDR é uma plataforma de segurança unificada que correlaciona múltiplos fluxos de telemetria de segurança de diversas fontes de dados para detetar e responder a ameaças. Usando regras predefinidas, aprendizagem automática e análise de dados em tempo real, o XDR fornece visibilidade e deteção em todo o espólio digital de uma organização para oferecer orientação atempada na remediação de ameaças.

Resposta Automática a Ameaças (ATR), parte da orquestração, automação e resposta de segurança (SOAR) dentro do XDR, leva isso mais longe ao responder a ameaças sem intervenção humana. Quando um incidente de segurança é detetado, como a propagação de malware ou tráfego de rede incomum, ATR pode agir imediatamente ao isolar endpoints afetados ou bloquear endereços IP maliciosos.

A XDR Cloud Security é o módulo dentro do Barracuda Managed XDR que monitoriza serviços em nuvem como Microsoft 365, Azure, Google Workspace, AWS, e mais. Com a ATR introduzida na XDR Cloud Security, as contas de utilizador do Microsoft 365 podem ser automaticamente desativadas em tempo real quando se determina que estão comprometidas. A principal vantagem é que a resposta ocorre instantaneamente, reduzindo o dano que um atacante pode infligir à sua vítima, muitas vezes antes que um analista humano possa sequer tomar consciência da ameaça.

Porque é que o ATR na Segurança em Nuvem XDR é importante?

As contas Microsoft 365 fornecem acesso à infraestrutura da empresa, sistemas de e-mail, ferramentas de colaboração e dados sensíveis. Assim, contas comprometidas fornecem acesso a estes sistemas a um atacante. Os agentes de ameaça utilizam frequentemente essas contas para realizar o seguinte:

  • Exfiltração de dados, encriptação e extorsão – Os atacantes roubam dados sensíveis, como informações pessoalmente identificáveis (PII), informações de saúde pessoais (PHI) ou propriedade intelectual, tornam esses dados inacessíveis para a vítima e coagem um pagamento para restaurar o acesso aos dados ou evitar a sua divulgação pública.
  • Espionagem – Cibercriminosos manipulam dados em sistemas para causar danos (por exemplo, alterando um resultado de teste ou tipo sanguíneo em registos médicos ou libertando quantidades perigosas de cloro em água potável).
  • Escalar privilégios para aceder a outros sistemas – Os agentes de ameaça exploram uma vulnerabilidade num sistema acessível à conta de utilizador comprometida para obter privilégios administrativos ou de nível root noutro sistema ou domínio.
  • Ataques de cadeia de abastecimento ou phishing – Isto envolve utilizar a identidade de confiança da vítima para lançar ataques de phishing ou comprometer outras vítimas.
  • Estabelecer persistência e vender acesso – Os atacantes estabelecem pontos de apoio persistentes no ambiente da sua vítima, permitindo-lhes cobrar um preço premium na dark web por acesso fiável à vítima.

As respostas manuais tradicionais são muitas vezes demasiado lentas para evitar danos, tornando a automação crítica. A resposta rápida é vital para contrariar a ameaça de hackers que usam contas comprometidas.

Como funciona o ATR na XDR Cloud Security?

A Barracuda XDR Cloud Security integra deteção automática de ameaças e Resposta Automatizada a Ameaças potenciada por SOAR para proteger credenciais do Microsoft 365.

Eis como funciona normalmente:

1. Detecção de anomalias: Utilizando modelos avançados de machine learning alimentados por algoritmos de detecção de anomalias proprietários, o XDR Cloud Security monitoriza continuamente os registos de autenticação do Microsoft 365 para sinais de comprometimento. Procura indicadores comuns de comprometimento ao monitorizar:

  • O número de inícios de sessão bem-sucedidos nas últimas 24 horas para identificar padrões de início de sessão estranhos.
  • A localização de inícios de sessão bem-sucedidos para identificar locais de acesso incomuns ou suspeitos.
  • Se um utilizador desativou ou modificou a autenticação multifator nas últimas 24 horas.
  • Quantas vezes, nas últimas 24 horas, um utilizador iniciou sessão a partir de vários locais onde viajar não é viável.

2. Avaliação de risco: A XDR Cloud Security utiliza políticas baseadas em risco para categorizar alertas como de baixa, média ou alta gravidade. Quando um alerta de alta gravidade é identificado, a ATR responde prontamente ligando-se ao Microsoft 365 através de integração API para acionar ações automáticas.

3. Automação de resposta: Quando uma conta é sinalizada como comprometida, ATR executa as seguintes ações:

  • Desativa a conta afetada
  • Termina a sessão do utilizador afetado
  • Termina todas as sessões ativas
  • Alertas o contacto designado da conta

Conclusão

Resposta Automática a Ameaças na Segurança na Nuvem XDR é um avanço significativo na cibersegurança moderna. Ao combinar deteções automáticas com respostas em tempo real, a ATR capacita as empresas a defenderem-se contra atores de ameaças de forma mais eficaz e ajuda os MSPs e parceiros de canal a oferecerem segurança aprimorada. À medida que as empresas enfrentam ameaças cada vez mais complexas e persistentes, adotar a Resposta Automática a Ameaças será essencial para se manter à frente dos atacantes e reduzir a pressão sobre as equipas de segurança.

Com melhorias contínuas na IA, aprendizagem automática e análise comportamental, o futuro do XDR parece mais promissor do que nunca. A integração destes sistemas no seu programa de segurança garante defesas mais rápidas, mais consistentes e mais resilientes contra o ecossistema de cibercrime em evolução.

Webinar: Mitigação automática da apropriação de conta Microsoft 365
Adam Searcy

Adam Searcy é o Gestor Sénior de Marketing de Produto Técnico de Proteção de E-mail na Barracuda. Após se formar na Universidade Purdue com um diploma em Gestão e obter uma série de certificações de TI, Adam lançou uma prática de consultoria de TI em 2002 que se focou em servir fornecedores de desenvolvimento de software e ASP/SaaS. Em 2009, a empresa evoluiu para um fornecedor de serviços geridos, servindo clientes com escritórios que se estendiam de São Francisco a Raleigh e de Chicago a Tampa. Adam vendeu a empresa em 2019 para se concentrar em cibersegurança e trabalhou com uma empresa local de MDR, seguida pela Tripwire, antes de se juntar à Barracuda.

Artigos Relacionados:
System shock: Storm-0501 ransomware shifts into the cloud
System shock: Storm-0501 ransomware shifts into the cloud
 Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
 September webinars: Battling ATO attacks and optimizing endpoint protection with XDR
September webinars: Battling ATO attacks and optimizing endpoint protection with XDR
 A Tredion utiliza o Barracuda Managed XDR para ajudar o grupo de escolas holandesas a conter ameaças cibernéticas.
A Tredion utiliza o Barracuda Managed XDR para ajudar o grupo de escolas holandesas a conter ameaças cibernéticas.
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.