Office 365 için Microsoft Defender'de tehdit sınıflandırması
Etkili tehdit sınıflandırması, kuruluşların olası riskleri hızla belirlemesine, değerlendirmesine ve azaltmasına olanak tanıyan kritik bir siber güvenlik bileşenidir. Office 365 için Microsoft Defender'deki tehdit sınıflandırma sistemi, e-posta tabanlı tehditleri otomatik olarak algılamak ve sınıflandırmak için büyük dil modelleri (LLM), küçük dil modelleri (SLM) ve makine öğrenmesi (ML) modelleri gibi gelişmiş teknolojileri kullanır. Bu modeller kapsamlı, ölçeklenebilir ve uyarlamalı tehdit sınıflandırması sağlamak için birlikte çalışarak güvenlik ekiplerinin yeni saldırılardan önde kalmasına yardımcı olur.
Sistemimiz, e-posta tehditlerini kimlik avı, kötü amaçlı yazılım ve iş e-posta güvenliğinin tehlikeye atılması (BEC) gibi belirli türlerde kategorilere ayırarak, kuruluşlara kötü amaçlı etkinliklere karşı koruma sağlamak için eyleme dönüştürülebilir içgörüler sağlar.
Tehdit türleri
Tehdit türü , bir tehdidin temel özelliklerine veya saldırı yöntemine göre birincil kategorize edilmesini ifade eder. Geçmişte, bu geniş kategoriler saldırı yaşam döngüsünün erken aşamalarında tanımlanır ve kuruluşların saldırının doğasını anlamasına yardımcı olur. Yaygın tehdit türleri şunlardır:
- Kimlik avı: Saldırganlar, alıcıları kandırarak oturum açma kimlik bilgileri veya finansal veriler gibi hassas bilgileri ortaya çıkarmak için güvenilen varlıkları taklit eder.
- Kötü amaçlı yazılım: Sistemlere, ağlara veya cihazlara zarar vermek veya bu cihazlardan yararlanmak için tasarlanmış kötü amaçlı yazılımlar.
- İstenmeyen posta: İstenmeyen, genellikle toplu olarak gönderilen, genellikle kötü amaçlı veya tanıtım amaçlı olarak ilgisiz e-postalar.
Tehdit algılamaları
Tehdit algılamaları , bir e-posta iletisi veya iletişim içindeki belirli göstergeleri veya şüpheli etkinlikleri tanımlamak için kullanılan teknolojilere ve metodolojilere başvurur. Tehdit algılamaları, iletideki anomalileri veya özellikleri belirleyerek tehditlerin varlığını belirlemeye yardımcı olur. Yaygın tehdit algılamaları şunlardır:
- Kimlik sahtekarı: Gönderenin e-posta adresinin güvenilir bir kaynak gibi görünecek şekilde ne zaman sahte olduğunu tanımlar.
- Kimliğe Bürünme: Alıcıları zararlı eylemlerde bulunarak kandırmak için e-posta iletisinin yönetici veya güvenilir iş ortağı gibi meşru bir varlığın kimliğine büründüğünü algılar.
- URL'nin saygınlığı: Kötü amaçlı web sitelerine neden olup olmadıklarını belirlemek için e-postaya dahil edilen URL'lerin itibarını değerlendirir.
- Diğer filtreler
Tehdit sınıflandırması
Tehdit sınıflandırması , bir tehdidi amacına ve saldırının özel doğasına göre kategorilere ayırma işlemidir. Tehdit sınıflandırma sistemi, tehditlerin amacını anlamak ve daha doğru bir sınıflandırma sağlamak için LLM'leri, ML modellerini ve diğer gelişmiş teknikleri kullanır. Sistem geliştikçe yeni tehdit sınıflandırmalarının yeni saldırı yöntemlerine ayak uydurmasını bekleyebilirsiniz.
Aşağıdaki listede farklı tehdit sınıfları açıklanmıştır:
Peşin ücret dolandırıcılığı: Kurbanlara peşin ödemeler veya saldırganın hiçbir zaman teslim etmediği bir dizi ödeme karşılığında büyük finansal ödüller, sözleşmeler veya ödüller vaat edilir.
İş zekası: Saldırganlar tarafından daha fazla hedeflenen saldırı için profil oluşturmak için kullanılan satıcılar veya faturalarla ilgili bilgi istekleri ( genellikle güvenilir bir kaynağı taklit eden benzer bir etki alanından).
Geri arama kimlik avı: Saldırganlar, hassas bilgileri ortaya çıkarmak veya güvenliği tehlikeye atacak eylemler gerçekleştirmek üzere bireyleri işlemek için telefon aramalarını veya diğer iletişim kanallarını kullanır.
İletişim kurma: Gelen kutusunun etkin olup olmadığını doğrulamak ve konuşma başlatmak için iletileri (genellikle genel metin) Email. Bu iletiler, güvenlik filtrelerini atlamayı ve gelecekteki kötü amaçlı iletiler için güvenilir bir itibar oluşturmayı hedefler.
Kimlik bilgisi kimlik avı: Saldırganlar, sahte bir web sitesine veya manipülatif e-posta istemleriyle kimlik bilgilerini girmeleri için bireyleri kandırarak kullanıcı adlarını ve parolaları çalmaya çalışır.
Kredi kartı toplama: Saldırganlar, sahte e-posta iletileri, web siteleri veya meşru görünen iletiler aracılığıyla ödeme bilgilerini sağlamak için bireyleri kandırarak kredi kartı bilgilerini ve diğer kişisel bilgileri çalmaya çalışır.
Gasp: Saldırgan, fidye ödenmediği sürece hassas bilgileri serbest bırakmak, sistemleri tehlikeye atmak veya kötü amaçlı eylemler yapmakla tehdit eder. Bu tür saldırılar genellikle kurbanı uyumlu hale getirmek için psikolojik manipülasyon içerir.
Hediye kartları: Saldırganlar güvenilir kişilerin veya kuruluşların kimliğine bürünerek alıcıyı genellikle sosyal mühendislik taktiklerini kullanarak hediye kartı kodları satın almaya ve göndermeye ikna eder.
Fatura sahtekarlığı: Var olan bir faturanın ayrıntılarını değiştirerek veya sahte bir fatura göndererek, alıcıları saldırgana ödeme yapma konusunda kandırma amacıyla yasal görünen faturalar.
Bordro dolandırıcılığı: Kullanıcıları bordro veya kişisel hesap ayrıntılarını güncelleştirerek yönlendirerek fonları saldırganın denetimine yönlendirin.
Kişisel bilgileri (PII) toplama: Saldırganlar, kişisel bilgi istemek için CEO gibi yüksek rütbeli bir kişinin kimliğine bürünebilir. Bu e-posta iletilerinin ardından genellikle WhatsApp gibi dış iletişim kanallarına veya algılamadan kaçmak için kısa mesajlara geçiş yapılır.
Sosyal OAuth kimlik avı: Saldırganlar, kullanıcıları oturum açma kimlik bilgilerini sağlama ve kişisel hesaplara yetkisiz erişim elde etme konusunda kandırmak için çoklu oturum açma (SSO) veya OAuth hizmetlerini kullanır.
Görev sahtekarlığı: Belirli bir görevle ilgili yardım isteyen kısa ve güvenli görünen e-posta iletileri. Bu istekler, güvenliği tehlikeye atabilecek bilgileri toplamak veya eylemlere neden olmak üzere tasarlanmıştır.
Tehdit sınıflandırma sonuçlarının kullanılabildiği yerler
Tehdit sınıflandırmasının sonuçları, Office 365 için Defender aşağıdaki deneyimlerde sağlanır: