Beschermingsstrategieën voor het overnemen van e-mailaccounts voor Microsoft 365

Hier leest u hoe u uw e-mailbeveiligingsstrategie kunt uitbreiden voor snelle detectie en herstel van bedreigingen binnen de perimeter van uw Exchange Online cloudgebaseerde gateway.

E-mail account takeover aanvallen zijn nauwelijks nieuw, maar naarmate clouddiensten aan populariteit winnen, nemen de risico's van een datalek of financiële fraude toe.

Deze trend heeft ertoe geleid dat de FBI een scherpe waarschuwing heeft afgegeven waarin wordt gewezen op het groeiende risico voor clouddiensten nu dreigingsactoren zich hebben gerealiseerd dat ze een goudmijn aan informatie zijn. Tussen januari 2014 en oktober 2019 heeft het Internet Crime Complaint Center (IC3) van de FBI klachten ontvangen voor een totaalbedrag van meer dan 2,1 miljard dollar aan werkelijke verliezen als gevolg van zakelijke e-mailcompromis (BEC)-zwendel waarbij twee populaire cloudgebaseerde e-maildiensten werden gebruikt.

Bij account takeover-aanvallen - een vorm van zakelijke e-mailcompromittering - proberen tegenstanders aanmeldingsgegevens te stelen of te raden, meestal een gebruikersnaam en wachtwoord. Dit wordt vaak vergemakkelijkt door een slecht wachtwoordbeleid en een gebrek aan veiligheidsbewustzijnstraining voor werknemers over het hergebruik van wachtwoorden voor persoonlijke en werkaccounts.

Zodra bijvoorbeeld de hergebruikte Microsoft 365-gegevens van een gebruiker zijn gecompromitteerd via dark web password cache, kan de aanvaller toegang krijgen tot de Microsoft 365-mailbox van de gebruiker, SharePoint-mappen of bestanden in OneDrive. De aanvaller kan dan beginnen met het monitoren van e-mailverkeer om meer te weten te komen over de organisatorische omgeving, op zoek naar mogelijkheden om geld of vertrouwelijke gegevens te stelen.

Interne e-mail risico's

Volgens het vierde jaarlijkse rapport State of Email Security van Mimecast werden 60% van de organisaties van respondenten getroffen door een aanval die door een geïnfecteerde gebruiker werd verspreid onder andere medewerkers. Geïnfecteerde e-mailbijlagen waren de meest voorkomende methode met 42% van deze gevallen. 30% vond plaats via geïnfecteerde links in e-mails en 17% via instant messaging-applicaties.

Meer geavanceerde aanvallen kunnen er ook op gericht zijn malware te installeren om aanhoudende toegang tot het apparaat te krijgen of andere gebruikers te identificeren voor horizontale privilege-escalatie. Waardevolle partners in de toeleveringsketen kunnen ook een belangrijk doelwit worden bij het uitbreiden van hun aanval, met name voor de populaire zwendel met "factuurfraude" bij het in gevaar brengen van zakelijke e-mail.

Het probleem van zwakke of gestolen inloggegevens kan aanzienlijk worden beperkt door het gebruik van multifactorauthenticatie (MFA), maar de invoering ervan verloopt nog traag. Ondertussen kunnen geavanceerde aanvallen met SIM-swapping en man-in-the-middle-trucs deze laag in toenemende mate omzeilen.

Dus wat kun je doen?

Pas hetzelfde niveau van gatewaycontrole en intelligentie toe op e-mails die tussen gebruikers in de organisatie reizen. Vervolgens kunnen nieuwe bedreigingen die de gateway of een andere beveiligingscontrole hebben omzeild, snel worden ingeperkt en verholpen. Snelheid van handelen is hier belangrijk en alleen via automatisering kunt u realistisch streven naar het verminderen van de verblijftijd van aanvallers in uw systeem.

De truc is om Microsoft 365's Exchange Online journaling functie te gebruiken, meestal gebruikt als onderdeel van uw e-mail retentie of archiveringsstrategie. Voeg dit toe aan uw beveiligingscontroles op e-mail perimeterniveau op zowel interne journaling als uitgaande e-mail en u kunt continu insider bedreigingen opsporen.

Automatiseren om te herstellen

Met aanvullende directe integraties met Microsoft Exchange en Exchange Online kunt u vervolgens automatisch schadelijke, ongewenste of ongepaste e-mails verwijderen die mogelijk intern worden doorgestuurd. Organisaties met bestaande SIEM- en SOAR-platforms kunnen hun reacties op de overname van e-mailaccounts of de uitbraak van malware stroomlijnen door gebruik te maken van API's van interne e-mailbeveiligingsservices om deze rechtstreeks in bestaande afspeelboeken te integreren.

E-mailbeveiligingscontroles binnen de perimeter kunnen ook beleidsregels voor inhoud toepassen voor bescherming tegen gegevensverlies (DLP) en abnormaal gedrag helpen detecteren met behulp van machine learning en grafische databasetechnologie om patronen op te bouwen die goede communicatie in de basislijn identificeren. Door afwijkingen van deze patronen te controleren, kunnen impersonatie, accountovernames en verkeerd geadresseerde e-mailfouten worden opgespoord.

Menselijke fouten vormen nog steeds de kern van de meeste succesvolle aanvallen en het is absoluut noodzakelijk dat elke werknemer er vast van overtuigd is dat hij een belangrijke rol speelt bij de verdediging van de organisatie. Daarom moeten we deze technische controles combineren met regelmatige, actuele en meetbare security awareness training programma's.

E-mail blijft een kritiek onderdeel van de communicatiestrategie van elke organisatie en is de gemakkelijkste weg voor een aanvaller om in uw netwerk in te breken, of dat nu op locatie is of in de cloud. Een effectieve strategie voor de bescherming tegen accountovername kan het gebrek aan zichtbaarheid van interne en uitgaande e-mailbedreigingen verhelpen, aanvallen detecteren en actie ondernemen om ze te stoppen voordat ze voltooid zijn, of gebruikers voorlichten om gecompromitteerde accounts in de eerste plaats te voorkomen.

**

Voor meer informatie over deze strategie kunt u onze nieuwste whitepaper downloaden: Danger within: e-mail and security awareness training strategies for effective account takeover protection .