SaaS攻击的剖析：两个威胁被威胁猎杀主管AIMax Heinemeyer发现并调查。执行摘要Darktrace观察到针对SaaS平台的攻击显著增加，包括文件存储、协作工作，和电子邮件解决方案。这个博客文章详细介绍了两个代表当前威胁格局的威胁示例：Office 365商务电子邮件泄露和邮箱文件共享帐户妥协。组织建议使用多身份验证和身份验证来重新使用证书填充攻击从数据转储。我们还建议积极监控SaaS环境中的网络进程-攻击.SaaS加剧了安全方面的技能差距——在SaaS环境中识别和调查威胁是与传统安全操作技能不同的技能-集合。介绍数字化转型——无论是自然规划还是由全球流行性疾病——增加了现代组织中软件即服务（SaaS）解决方案的使用。SaaS市场的年增长率目前为18%，随着劳动力在2020年变得越来越偏远，这一增长率将达到突飞猛进。袭击者很长一段时间以来，一直在瞄准SaaS解决方案，但几乎没有人谈论这些技术，SaaS攻击中的工具和过程（ttp）与网络和端点中的传统ttp有很大不同攻击。怎么您是否在没有端点或网络数据的SaaS环境中创建有意义的检测？作为一名分析师，您如何调查SaaS环境中的威胁？"好的"SaaS事件是什么样的，威胁是什么样的？找到能在传统IT环境中工作的熟练的安全分析师已经很难了——当试图雇佣具有SaaS域的安全人员时，这会变得更加困难知识.SaaS消费者只有几个选择：要么使用每个SaaS解决方案中提供的本机SaaS安全控制，要么依赖于SaaS提供商——或采用第三方SaaS安全解决方案，通常采用云访问安全代理（CASB）的形式。这两种情况通常都不是理想。这个博客概述了我们最近在SaaS环境中观察到的两种攻击，它们代表了更广泛的SaaS威胁环境：Microsoft（Office）365业务电子邮件泄露（BEC）和公司的危害邮箱帐户。这一分析有助于阐明传统网络攻击与SaaS妥协之间的鲜明区别——展示了在SaaS应用程序定义这一新时代时，如何使用机器学习来检测行为异常为防御者提供了至关重要的希望工作。匿名SaaS威胁1:Office365业务电子邮件泄露图1:微软365泄露的攻击时间表在这起典型的BEC攻击中，一名威胁参与者渗透到员工的Microsoft 365帐户中，以访问SharePoint中托管的敏感财务文档，包括工资单和银行详细信息。攻击者继续对被黑客攻击的收件箱进行配置更改，删除邮件并进行更新，使他们能够覆盖自己的收件箱赛道。黑暗种族首先观察到该员工的帐户从不寻常的IP范围登录。这个特定的账户以前从未从保加利亚登陆过，而属于同一部门的同级账户也没有表现出类似的行为特征。这本身就是一种低水平的异常现象，并不一定意味着恶意活动-员工可能会在所有的人异常的登录位置随后伴随着异常的登录时间和新的用户代理。所有这些异常都引发了网络人工智能分析师（Darktrace的自动威胁调查技术）启动了一个更深层次的研究分析。黑暗种族然后发现账户开始访问高度敏感的信息，包括Sharepoint上的工资信息。两个例子是由人工智能分析师强调的下图：hxxps：//anonymized[.]sharepoint[.]com/anonymized/pages/Understanding my paylip[.]aspxhxxps://anonymized[.]sharepoint[.]com/anonymized/pages/Changing my bank details[.]aspx攻击者试图获取有关付款信息和信用卡详细信息的信息，可能是想把工资单的详细信息改成攻击者控制的银行账户。但凭借其自动分析事件以拼凑攻击叙述的能力，Cyber AI Analyst能够将这些威胁的微弱信号组合起来，并阐明可能的账户妥协。安全小组随后锁定了账户并提醒用户，后来他们改变了凭证。匿名SaaS威胁2：邮箱折衷图2:邮箱有人发现一个未经授权进入一家公司的案例邮箱属于全球供应公司员工的文件存储帐户。这个邮箱帐户登录发生在美国——这个组织在同一个国家——但来自一个不寻常的IP空间和ASN。网络人工智能分析师对这种低水平的异常现象产生了怀疑，并对用户的活动帐户背后的参与者登录到邮箱成功，然后继续下载开支报告、发票和其他财务文档。很明显，该帐户开始访问对该帐户来说非常不寻常的文件。Darktrace认识到无论是帐户本身还是它的对等组通常都不会访问名为"PASSWORD"的文件活页.xlsx借助赛博人工智能为组织员工定制的"自我"知识，该技术能够立即识别威胁。Darktrace Cyber AI平台检测到该活动发生在合法用户非常不寻常的时间，而且，参与者的IP地址的位置与该特定SaaS的员工以前的访问位置相比也是异常的服务。而在另一种情况下，访问这些文档对员工来说可能是正常的，暗黑赛博人工智能对用户行为的深刻理解以及在邮箱应用程序允许它发现帐户泄露的细微迹象。此外，当Darktrace的网络人工智能分析师自动调查威胁时，它能够阐明更广泛的叙述，了解到每一次未经授权的文件泄露都是关联事件的一部分，并强调该漏洞是安全性的一个关键问题团队。结论传统的检测方法，如"从Y开始超过X次失败登录"不足以确保SaaS应用程序之间的足够安全。使威胁情报列表保持最新甚至更加困难，因为大多数SaaS攻击不涉及任何命令和控制-只是从远程设备不加区分地登录。攻击者可能会使用VPN、Tor、其他受损设备、动态DNS或虚拟专用服务器来进一步掩盖他们的踪迹。要实现SaaS安全，更复杂、更有效的方法需要了解帐户背后的动态个人。SaaS应用程序从根本上说是人类交流的平台，允许人们交换和存储想法和信息。因此，如果不仔细了解这些独特的个人，不可能发现异常的威胁行为：他们通常在何时何地访问SaaS帐户，他们喜欢访问哪些文件，他们通常与谁联系？Cyber AI提出了这些问题，不仅在SaaS平台上不断分析数据，而且从组织中每个用户和设备的独特"生活模式"中分析数据。在这种情况下，它可以将看似完全不同的异常情况联系在一起——异常登录时间、登录位置、新文件或不寻常文件的访问，以及数百个其他威胁指标。然后，这些异常会作为一个触发器，通过网络人工智能分析师进行更深入的调查，从而将这些异常联系在一起，形成一个连贯的攻击叙述。两者都有对于上述SaaS攻击，Darktrace的网络人工智能分析师进行了全面而简洁的调查和全面的报告，随后，一份简单易懂的事故报告浮出水面，准备接受高管的审查。要更深入地了解网络人工智能分析师是如何调查野外出现的APT威胁的，请阅读：抓住APT41利用零日弱点。小心这个虚拟研讨会旨在了解更多关于网络人工智能如何保护SaaS的信息环境。最大HeinemeyerMax是一位网络安全专家，在该领域拥有超过9年的经验，专业在网络监控和攻击安全方面。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件