Les responsables américains de la cybersécurité ont publié un système d’alerte précoce pour protéger les utilisateurs du cloud Microsoft.
La Cybersecurity and Infrastructure Security Agency (CISA) du gouvernement américain a publié le logiciel, développé en collaboration avec Sandia National Labs, pour aider les administrateurs réseau à détecter les activités potentiellement malveillantes dans le cloud Microsoft Azure, les services Microsoft 365 et Azure Active Directory (AAD).
Surnommé le Outil d’oie sans titreCISA a déclaré qu’il “offre de nouvelles méthodes d’authentification et de collecte de données que les défenseurs du réseau peuvent utiliser lorsqu’ils interrogent et analysent leurs services cloud Microsoft”.
L’introduction d’Untitled Goose Tool intervient le même jour que l’agence a annoncé son initiative de notification pré-ransomware, qui fournit des avertissements précoces aux organisations sur les attaques, éventuellement suffisamment de temps pour arrêter les attaques avant que les malfaiteurs ne puissent chiffrer ou voler des données.
“Nous savons que les acteurs des ransomwares prennent souvent un certain temps après avoir obtenu l’accès initial à une cible avant de crypter ou de voler des informations, une fenêtre de temps qui dure souvent de quelques heures à quelques jours”, a déclaré Clayton Romans, directeur associé du Joint Cyber Defense Collaborative (JCDC). , écrit dans un article de blog. “Cette fenêtre nous donne le temps d’avertir les organisations que les acteurs du ransomware ont obtenu un premier accès à leurs réseaux.”
Ces deux efforts visent à rendre les entreprises plus proactives dans la défense contre les attaques et ce mois-ci a également vu le déploiement du Outil de décision pour permettre aux organisations de cartographier plus facilement le comportement de l’adversaire dans le cadre MITRE ATT&CK afin d’identifier les lacunes dans leurs défenses et de chasser les menaces.
Prendre une vue à vol d’oiseau
Les professionnels du réseau peuvent utiliser Untitled Goose Tool pour exporter et examiner les journaux de connexion et d’audit AAD, le journal d’audit unifié (UAL) de Microsoft 365, les journaux d’activité Azure, les alertes Defender pour IoT et les données Defender pour Endpoint pour les activités suspectes. Ils peuvent également examiner les configurations Azure, Microsoft 365 et AAD pour repérer les problèmes de sécurité.
“Les défenseurs du réseau qui tentent d’interroger un grand locataire M365 via l’UAL peuvent constater qu’il n’est pas possible de collecter manuellement tous les événements en même temps. Untitled Goose Tool utilise de nouvelles méthodes de collecte de données via des mécanismes sur mesure”, CISA écrit [PDF].
Compte tenu de cela, l’outil facilite l’extraction d’artefacts cloud à partir des services cloud sans autre analyse, en fixant des limites de temps pour l’UAL à l’aide d’une fonctionnalité appelée “goosey graze”, puis en extrayant les données dans les délais avec “goosey honk”. La même chose peut être utilisée pour les données de Defender for Endpoint.
Untitled Goose Tool peut être utilisé avec Windows et macOS, bien que le script PowerShell soit mieux utilisé uniquement avec Windows. Il nécessite Python 3.7, 3.8 ou 3.9 et est disponible sur GitHub de CISA dépôt avec le script PowerShell.
Le dévoilement par l’agence de l’initiative de notification pré-ransomware intervient moins de deux semaines après son annonce Pilote d’avertissement de vulnérabilité de ransomware pour avertir les entités d’infrastructure critiques des failles de leurs systèmes qui pourraient être exploitées par des groupes de rançongiciels.
L’effort de notification a commencé en janvier et jusqu’à présent, a alerté plus de 60 entités dans des secteurs tels que la santé, l’énergie, l’eau et les eaux usées, et l’éducation sur d’éventuels pré-ransomwares, certaines résolvant le problème avant que les données ne soient cryptées ou volées, selon Romans. .
Il y a deux éléments clés. Le JCDC recueille des conseils de chercheurs en cybersécurité, de fournisseurs d’infrastructures et de sociétés de cybermenaces sur une éventuelle activité de ransomware dans les premiers stades. Le JCDC – un groupe public-privé lancé en août 2021 – informe ensuite les organisations ciblées par les malfaiteurs de la menace et les guide dans les mesures d’atténuation. ®
