BEC csalások észlelése
A Business Email Compromise (BEC) támadások komoly fenyegetést jelentenek a vállalatok számára, mivel a támadók jogosulatlan hozzáférést szerezhetnek felhasználói erőforrásokhoz vagy vállalati információkhoz. A támadások hatása a felhasználó üzleti szerepétől függően változhat, az érzékeny információk megszerzésétől kezdve belső adathalász kampányok indításán át akár a felhőalapú zsarolóprogramokig, ha a felhasználó megfelelő jogosultságokkal rendelkezik a felhő erőforrások kezeléséhez.
Az NVISO javaslata, hogy állítsunk fel egy mintát a felhasználók szokásos bejelentkezési mintáiról, figyelembe véve az IP-címeket, eszközöket, felhasználói ügynököket és országokat. Például, ha egy felhasználó általában az Egyesült Államokból jelentkezik be, de hirtelen egy ismeretlen eszközről Dél-Koreából történik bejelentkezés, az gyanús lehet. Használjunk Kusto Query Language (KQL) lekérdezéseket az Azure Active Directory (AAD) bejelentkezési naplóinak elemzéséhez, hogy azonosítsuk a szokatlan bejelentkezési mintákat és potenciálisan kompromittált fiókokat.
A leghatékonyabb védekezés továbbra is a többtényezős hitelesítés (MFA) bevezetése. Az MFA használata jelentősen csökkenti a fiókok kompromittálásának esélyét, mivel a támadóknak nem elég csak a jelszót megszerezniük. Feltételes hozzáférési szabályok (Proper Conditional Access Policies – CAP) alkalmazása, azaz olyan szabályok bevezetése, amelyek blokkolják a hozzáférést bizonyos feltételek alapján, például ismeretlen eszközökről vagy anonim IP-címekről történő bejelentkezések esetén. Nem utolsó sorban a felhasználói tudatosság növelése. Rendszeres képzések és adathalász szimulációk révén növelhetjük a felhasználók éberségét és képességét a gyanús e-mailek felismerésére.
