Expertprofil: Dustin Duran

Lär dig tänka som en hotaktör

Mitt team beskriver attacken från början till slut . Vi kopplar samman de olika stegen i en kill chain, som strukturellt beskriver angreppet, för att snabbt få en uppfattning om grundorsaken till attacken, medan den sker.

Vi kopierar också angriparens teknik och sätt att tänka.

Angriparna ser på världen i termer av mål och sekvenser av aktiviteter. De kopplar samman olika tekniker – därför kallas de här attackbeskrivningarna för kill chain – och förflyttar sig via vägar som är mest fördelaktiga för dem. Det är ingen linjär process. Vi kallar det för att tänka i grafer.

Som försvarare måste vi anamma samma tänkesätt. Under en pågående attack kan vi inte fortsätta tänka i listor där vi försöker få ihop hela pusslet. Vi måste snabbt veta hur angriparna tagit sig in, hur de förflyttar sig lateralt och vad dras mål är.

Försvararna identifierar skadlig aktivitet mer exakt när de ser aktiviteten i en sekvens som en helhet och inte bara enskilda metoder separat.

Ett bra exempel är när vi nyligen analyserade en rad ekonomiska bedrägerier och noterade hur angriparna använde ett upplägg med omvänd proxy för att kringgå multifaktorautentisering (MFA). Vi uppfattade signalerna om att MFA hade kringgåtts och uppmärksammade andra fall där den här tekniken användes. Det vi lärt oss om insamling av inloggningsuppgifter genom vår förmåga att koppla samman de här faserna, gjorde att vi snabbt kunde svara på attacken. Det har hjälpt oss till ett bättre försvar.

När jag får frågan om vad man kan göra för att skydda en organisation bättre, svara jag alltid samma sak: Konsekvent användning av MFA är av största vikt. Det är en av det viktigaste rekommendationerna vi kan ge. En lösenordsfri miljö är något av det viktigaste som företagen kan åstadkomma göra för att få ett bättre skydd, eftersom det inaktiverar all ny angreppsteknik. Om MFA används på rätt sätt måste angriparna jobba hårdare. Och om de inte kan få tillgång till en identitet och till organisationen blir det mycket mer komplicerat att sätta igång en attack.

Bli en försvarare

I Microsoft-resurserna nedan hittar du mer information om kill chain, e-postintrång hos företag och den moderna attackytan.

Kompromettering av företags e-post (BEC) Modern attackyta Multifaktorautentisering

Expertprofil: Dustin Duran

Lär dig tänka som en hotaktör

Bli en försvarare

Relaterade artiklar

Den externa attackytans uppbyggnad

Cybersäkerhetsvärlden blir alltmer komplex i takt med att allt fler organisationer flyttar ut i molnet och övergår till decentraliserat arbete. Idag omspänner den externa attackytan flera moln, komplexa digitala försörjningskedjor och enorma ekosystem från tredje part.

Cyber Signals Issue 4: Nya tillvägagångssätt ger upphov till ett ökat antal e-postintrång hos företag

Kompromettering av företags e-post (BEC) är ett växande hot nu när cyberbrottslingarna kan dölja attackernas källa så att de blir ännu mer skadliga. Läs mer om CaaS (Cyber-crime-as-a Service) och hur du kan skydda din organisation.

Cyber Signals Issue 1: Identiteten är det nya slagfältet

Identiteten är det nya slagfältet. Få insikter om framväxande cyberhot och vilka steg du kan vidta för att bli bättre på att skydda din organisation.

Följ Microsoft Security