DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

高防ddos_美国高防服务器_帽子云服务器_精准

06-27 CC防护

高防ddos_美国高防服务器_帽子云服务器_精准

Microsoft Office 365生产力套件每月约有2亿活跃用户,使其成为网络犯罪分子的一个极具吸引力的目标。事实上,Kudelski安全事件响应团队在2019年调查的85%的安全事件可归因于Office 365电子邮件泄露。

当然,电子邮件不是唯一的风险资产。Office 365套件在Sharepoint、Team和OneDrive等工具中托管整个组织的关键文档和信息。在许多情况下,这是一个单一的真相来源,特别是Office 365对Azure Active Directory的依赖以及2800+SaaS应用程序的集成SSO功能。

这种互联性创造了一个高风险的环境,用户"电子邮件帐户"的泄露可能导致对敏感数据和系统的广泛访问。增加攻击office 365租户所需的成本(无论是在财务方面还是在工作方面)是至关重要的。我们已经汇编了五个可操作的步骤,安全团队可以采取这些步骤来防止Office 365跨(简略的)杀伤链攻击侦察、妥协、持久性和目标行动。

注意:对Office 365租户进行侦察相当容易。通过DNS和TLS证书透明日志,您应该假设攻击者能够发现您的组织是否使用Office 365。此外,有几种工具使攻击者能够枚举尝试进行身份验证的有效用户帐户(通过计时攻击)。因此,我们建议组织不要寻找潜在的侦察迹象,而应重点识别泄露迹象和/或攻击后活动。

尽快为您的Office 365租户打开审核日志记录。

这可能会让人感到意外,ddos防御服务系统,但Office 365租户中的详细审核日志记录在默认情况下不会打开。它是一个非常有价值的信息源,可以帮助您识别Office 365攻击。如果可能,将日志发送到SIEM,以便您可以开始围绕它构建检测功能。

关闭/限制对旧协议的访问。

旧协议(POP3、SMTP等)允许攻击者在不提示进行多因素身份验证的情况下执行暴力攻击。这是故意的。传统协议适用于office打印机等设备、Lync和Skype for Business等传统聊天应用程序,或不支持可提示用户使用MFA的最新通信协议的旧版本Outlook。

有两个选项可用于禁用office 365租户的传统协议。通过使用azureactivedirectory,您可以设置条件访问规则来限制哪些IP地址或帐户可以进行身份验证,从而为不支持更现代协议的设备利用传统协议。我们建议组织创建一组专门用于从不支持现代电子邮件协议的设备发送电子邮件的服务帐户,并密切监视这些帐户。

预先批准可以请求OAuth授权的应用程序。

OAuth也是支持"使用Facebook/Google登录"功能的协议与其他SSO和Active Directory集成一样。这些请求指定您要授予应用程序的访问类型,例如您的电子邮件地址和帐户名。但是,攻击者已经开始创建假应用程序,服务器防御防止ddos攻击,请求电子邮件读写访问,而用户从未提供密码,并且允许攻击者保留访问权限,即使帐户凭据发生更改。如果全局管理员是攻击的目标,则这一问题尤其严重。在不知情的情况下,管理员可以授予对整个Office 365租户(包括所有文件、应用程序等)的访问权限。

Microsoft Office 365具有内置工具,使组织能够查找这些用于生成非法OAuth授权的假应用程序。另外,作为管理员,您可以创建一个预先批准的应用程序列表,这些应用程序能够请求OAuth访问以避免非法授权。

如果怀疑或发现攻击,请立即清除outlook邮件规则。

攻击者使用电子邮件转发(和其他)规则在检测到攻击并"减轻"攻击后仍能在环境中持续存在。攻击者可以创建规则,自动将电子邮件转发给第三方或自动删除"红旗"电子邮件或回复。例如,如果用户注意到一封可疑的电子邮件,并向帐户所有者发送电子邮件,则该规则可以自动删除该电子邮件,awsddos防御多少g,使帐户所有者一点也不知道。

更为复杂的是,有些工具可以滥用exchange邮件API对管理员和用户隐藏电子邮件规则。这就是为什么除了更改电子邮件密码,在帐户被泄露后,清除所有电子邮件规则也很重要。

密切监视对eDiscovery的访问,并设置每次使用该工具时触发的警报。

eDiscovery允许用户使用关键字或一组特定条件搜索Office 365租户中所有应用程序的数据。这种访问,加上Microsoft Flow之类的工具,可以自动下载和上载eDiscovery结果,攻击者可以自动发现和过滤敏感数据。

默认情况下,全局管理员无权访问eDiscovery工具。必须请求添加到具有访问权限的用户组。一旦有了访问权限,就可以监视该工具的每个添加。应调查用于授予eDiscovery访问权限的用户组的新添加项,因为攻击者可能正试图滥用此工具来查找敏感数据。最简单的方法是设置每次使用eDiscovery时触发的警报。随着时间的推移,您可以根据特定场景调整警报。

最后,但并非最不重要的是,可以肯定攻击者比您更了解Office 365。他们知道所有的功能,遗留协议,防御cc节点,eDiscovery,以及其他可用于枚举用户和自动化数据过滤的板上和板下服务

作者最近发表的文章Francisco Donoso Kudelski Security全球安全战略主管Francisco Donoso是全球网络安全服务提供商Kudelski Security的全球安全战略主管,在此之前,他曾担任首席架构师,负责构建公司的全球托管安全服务(MSS)产品。自从影子经纪人发布Equation Group的后开发工具和功能以来,ddos分布式集群防御,他一直站在研究的最前沿,并在Derbycon、Thotcon和,Microsoft Bluehat和其他会议。Francisco Donoso的最新帖子(见所有)安全咨询:Kaseya VSA供应链妥协用于执行REvil勒索软件-2021年7月13日关键基础设施网络安全困境-6月23日,2021年第2部分:四个障碍,以更快的威胁检测和响应-三件事你可以做的-2021年6月1日

facebook twitter电子邮件分享

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/70402.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9312587访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X