Strategien zum Schutz vor der Übernahme von E-Mail-Konten für Microsoft 365

Hier erfahren Sie, wie Sie Ihre E-Mail-Sicherheitsstrategie erweitern können, um Bedrohungen innerhalb des Bereichs Ihres cloudbasierten Exchange Online-Gateways schnell zu erkennen und zu beheben.

E-Mail Kontoübernahme Angriffe sind nicht neu, aber mit der zunehmenden Beliebtheit von Cloud-Diensten steigt auch das Risiko eines Datenlecks oder finanziellen Betrugs.

Dieser Trend hat das FBI dazu veranlasst, eine deutliche Warnung herauszugeben, in der das wachsende Risiko für Cloud-Dienste hervorgehoben wird, da Bedrohungsakteure erkannt haben, dass sie eine Goldmine für Informationen sind. Zwischen Januar 2014 und Oktober 2019 gingen beim Internet Crime Complaint Center (IC3) des FBI Beschwerden über tatsächliche Verluste in Höhe von mehr als 2,1 Milliarden US-Dollar ein, die durch BEC-Betrug mit zwei beliebten Cloud-basierten E-Mail-Diensten entstanden.

Bei Angriffen zur Übernahme von Konten - einer Form der Kompromittierung von Unternehmens-E-Mails - versuchen die Angreifer, Anmeldedaten zu stehlen oder zu erraten, in der Regel einen Benutzernamen und ein Passwort. Dies wird oft durch unzureichende Passwortrichtlinien und fehlende Sicherheitsschulungen für Mitarbeiter zur Wiederverwendung von Passwörtern für private und berufliche Konten erleichtert.

Sobald beispielsweise die wiederverwendeten Microsoft 365-Anmeldedaten eines Benutzers über einen Passwort-Cache im Dark Web kompromittiert wurden, kann der Angreifer auf das Microsoft 365-Postfach, die SharePoint-Ordner oder die Dateien in OneDrive des Benutzers zugreifen. Der Angreifer kann dann beginnen, den E-Mail-Verkehr zu überwachen, um mehr über die Unternehmensumgebung zu erfahren und nach Möglichkeiten zu suchen, Geld oder vertrauliche Daten zu stehlen.

Interne E-Mail-Risiken

Laut dem vierten jährlichen State of Email Security Report von Mimecast waren 60 % der befragten Unternehmen von einem Angriff betroffen, der von einem infizierten Benutzer auf andere Mitarbeiter übertragen wurde. Infizierte E-Mail-Anhänge waren mit 42 % der Fälle die häufigste Methode. 30 % erfolgten über infizierte Links in E-Mails und 17 % über Instant-Messaging-Anwendungen.

Fortgeschrittenere Angriffe können auch darauf abzielen, Malware zu installieren, um dauerhaften Zugriff auf das Gerät zu erhalten oder andere Benutzer für eine horizontale Ausweitung der Rechte zu identifizieren. Wertvolle Partner in der Lieferkette können ebenfalls zu einem wichtigen Ziel werden, wenn sie ihre Angriffe ausweiten, insbesondere bei den beliebten Betrügereien, bei denen Unternehmen per E-Mail Rechnungen kompromittieren.

Das Problem schwacher oder gestohlener Anmeldedaten kann durch den Einsatz der Multi-Faktor-Authentifizierung (MFA) erheblich entschärft werden, doch die Akzeptanz ist nach wie vor schleppend. In der Zwischenzeit können fortgeschrittene Angriffe mit SIM-Swapping und Man-in-the-Middle-Tricks diese Ebene zunehmend umgehen.

Was können Sie also tun?

Wenden Sie das gleiche Maß an Gateway-Kontrollen und Intelligenz auf E-Mails an, die zwischen Benutzern im Unternehmen ausgetauscht werden. Dann können neue Bedrohungen, die das Gateway oder eine andere Sicherheitskontrolle umgangen haben, schnell eingedämmt und beseitigt werden. Schnelles Handeln ist hier wichtig, und nur durch Automatisierung können Sie die Verweildauer eines Angreifers in Ihrem System realistisch reduzieren.

Der Trick besteht darin, die Exchange Online Journaling-Funktion von Microsoft 365 zu nutzen, die normalerweise als Teil Ihrer E-Mail-Aufbewahrungs- oder Archivierungsstrategie verwendet wird. Integrieren Sie diese Funktion in Ihre Sicherheitsprüfungen auf E-Mail-Perimeter-Ebene für interne protokollierte und ausgehende E-Mails und Sie können Insider-Bedrohungen kontinuierlich erkennen.

Automatisieren zur Behebung

Zusätzliche direkte Integrationen mit Microsoft Exchange und Exchange Online ermöglichen Ihnen die automatische Entfernung bösartiger, unerwünschter oder unangemessener E-Mails, die möglicherweise intern weitergeleitet werden. Unternehmen mit bestehenden SIEM- und SOAR-Plattformen können ihre Reaktionen auf die Übernahme von E-Mail-Konten oder den Ausbruch von Malware optimieren, indem sie interne APIs von E-Mail-Sicherheitsdiensten nutzen, um sie direkt in bestehende Playbooks zu integrieren.

E-Mail-Sicherheitskontrollen innerhalb des Perimeters können auch Data Loss Protection (DLP) Inhaltsrichtlinien anwenden und dabei helfen, abnormales Verhalten mithilfe von maschinellem Lernen und Graphdatenbanktechnologie zu erkennen, um Muster zu erstellen, die gute Basiskommunikation identifizieren. Die Überwachung von Abweichungen von diesen Mustern kann dann helfen, Impersonation, Kontoübernahmen und falsch adressierte E-Mail-Fehler zu erkennen.

Die meisten erfolgreichen Angriffe beruhen immer noch auf menschlichem Versagen, und es ist unerlässlich, dass jeder Mitarbeiter fest davon überzeugt ist, dass er eine wichtige Rolle bei der Verteidigung des Unternehmens spielt. Deshalb sollten wir diese technischen Kontrollen mit regelmäßigen, aktuellen und messbaren Schulungen zum Sicherheitsbewusstsein Programmen kombinieren.

E-Mail ist nach wie vor ein wichtiger Bestandteil der Kommunikationsstrategie eines jeden Unternehmens und stellt für Angreifer den einfachsten Weg dar, in Ihr Netzwerk einzudringen, ganz gleich, ob dieses vor Ort oder in der Cloud betrieben wird. Eine wirksame Strategie zum Schutz vor Kontoübernahmen kann die mangelnde Sichtbarkeit von internen und ausgehenden E-Mail-Bedrohungen überwinden, laufende Angriffe erkennen und Maßnahmen ergreifen, um sie vor der Fertigstellung zu stoppen, oder die Benutzer schulen, um kompromittierte Konten von vornherein zu verhindern.

**

Weitere Informationen zu dieser Strategie finden Sie in unserem aktuellen Whitepaper: Gefahr im Verzug: E-Mail- und Sicherheitsschulungsstrategien für einen wirksamen Schutz vor Kontoübernahmen .