关于增强监控以检测针对Outlook Online APT活动的动态情报

一、基本内容

2023年6月,联邦民事行政部门(FCEB)在其Microsoft 365(M365)云环境中发现了可疑活动。该机构迅速向Microsoft和网络安全和基础设施安全局(CISA)报告了此情况。经过深入调查,Microsoft确认这是一次高级持续威胁(APT)攻击事件,攻击者成功访问并泄露了Exchange Online Outlook中的非机密数据。为了协助关键基础设施组织加强对Microsoft Exchange Online环境的监控能力,CISA和联邦调查局(FBI)共同发布了一份网络安全公告。该公告提供了详细的指导,以帮助各个组织加强网络监控,并能够准确定位和检测类似的恶意活动。

二、相关发声情况

根据2023年7月14日的更新,FCEB机构在2023年6月中旬的M365审核日志中观察到了MailItemsAccessed意外事件。该事件表示许可用户通过任何客户端和连接协议访问Exchange Online邮箱中的项目。由于观察者通常不会访问该机构环境中的邮箱项目,因此FCEB机构认为此活动可疑,并向Microsoft和CISA报告了该情况。

Microsoft确认这是一次高级持续威胁(APT)攻击,攻击者从少数账户访问并窃取了非机密的Exchange Online Outlook数据。APT攻击者使用了Microsoft帐户(MSA)消费者密钥伪造令牌,以冒充消费者和企业用户。Microsoft已对此问题进行修复,首先阻止使用被获取密钥颁发的令牌,然后更换密钥以防止进一步滥用。Microsoft确定此活动是针对多个组织的攻击的一部分,并已通知所有受影响的组织。受影响的FCEB机构通过增强的日志记录(尤其是MailItemsAccessed事件记录)和正常的Outlook活动基线(例如预期的AppID)来识别可疑活动。MailItemsAccessed事件的发现使得原本难以察觉的对抗性活动可以被检测到。CISA和FBI无法确定其他审核日志或事件是否能够检测到此活动。强烈建议关键基础设施组织采取本公告中的日志记录建议,以增强其网络安全态势并做好检测类似恶意活动的准备。

三、分析研判

根据CISA发布的报告,我们可以得出以下三种漏洞:

1.Microsoft帐户(MSA)消费者密钥伪造令牌:攻击者使用伪造的令牌来冒充消费者和企业用户,从而获得对Exchange Online Outlook中非机密数据的访问权限。

2.弱密钥管理:攻击者可能成功获取密钥颁发的令牌,暗示了密钥管理的不足。

3.审核日志和事件记录不完整:CISA和FBI无法确定其他审核日志或事件是否能够检测到此活动,这表明日志记录的不完整性。

这些漏洞导致APT攻击者成功访问和窃取Exchange Online Outlook中的数据。

四、应对策略

面对这三个漏洞,我们可以采取以下措施来应对:

1.Microsoft帐户(MSA)消费者密钥伪造令牌:确保使用安全的身份验证机制,如多因素身份验证(MFA)来增加账户的安全性。定期审查和更新访问令牌,以防止伪造令牌的滥用。

2.弱密钥管理:加强密钥管理措施,包括使用强密码、定期更换密钥,以及限制密钥的访问权限。确保密钥生成、存储和分发过程的安全性,并进行密钥的审计和监控。

3.审核日志和事件记录不完整:加强日志记录和事件监测机制,确保完整记录关键事件和活动。定期检查和分析审核日志,及时发现异常活动并采取相应的响应措施。与CISA和相关安全机构共享关键事件信息,以加强整体网络安全。

此外,还可以采取以下措施来提高网络安全性:

1.加强员工教育和意识培训,提高他们对安全风险和威胁的认识,并教授正确的安全操作和行为准则。

2.定期进行安全漏洞扫描和渗透测试,发现和修复系统中的潜在漏洞,以及评估安全防护措施的有效性。

3.部署强大的防火墙和入侵检测系统(IDS/IPS),及时检测和阻止恶意网络活动。

4.及时安装更新和补丁程序,以修复已知漏洞,并确保系统和应用程序处于最新和安全的状态。

通过综合采取以上措施,可以提高组织的网络安全防护能力,减少漏洞被利用的风险,并保护敏感数据免受未经授权的访问和窃取。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/274600.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【架构】企业信息安全体系架构详解

企业信息安全体系架构来说,是包含技术、运维、管理3个层面。本文说的安全架构,主要集中讨论偏研发技术层面的安全架构。 安全性是软件研发技术体系,系统架构设计阶段的一个关键DFX能力,与可靠性、可服务性、性能等架构属性并列。由于安全性设计自身的特点,涉及到系统架构…

Zblog主题模板:zblog博客主题aymeleven

zblog主题模板:zblog博客主题aymeleven zblog博客主题aymeleven主要是以文字内容为主导,将页面的设计杂乱的图片和元素进行最小化或者去除,从而使整个页面更加简洁、清晰,突出信息的呈现。 下面介绍一下zblog主题模板:zblog博客主…

AI产品经理 - 技术课-要不要懂技术(上)

一、AI产品经理,要不要懂技术:笔者答案是肯定的 1.AI产品经理要懂产品方案 2.不懂算法,会遇到问题:没有核心竞争力,会边缘化

基于ssm的数据结构课程网络学习平台的设计与实现论文

数据结构课程网络学习平台 摘要 本文介绍了数据结构课程网络学习平台的开发全过程。通过分析企业对于数据结构课程网络学习平台的需求,创建了一个计算机管理数据结构课程网络学习平台的方案。文章介绍了数据结构课程网络学习平台的系统分析部分,包括可行…

【elk-day01】es和kibana搭建及验证---Mac-Docker

Mac系统使用Docker下载搭建和验证eskibana Docker下载安装es安装es验证kibana安装kibana验证 Docker下载安装 Docker Desktop官网安装下载地址 说明一下为什么要安装desktop版本的docker,因为docker作为工具使用,我们需要的是开箱即用,没有必…

【yolov5驾驶员和摩托车佩戴头盔的检测】

yolov5驾驶员和摩托车佩戴头盔的检测 数据集和模型yolov5驾驶员和摩托车佩戴头盔的检测yolov5驾驶员和摩托车佩戴头盔的检测可视化结果 数据集和模型 数据和模型下载: yolov5摩托车佩戴头盔和驾驶员检测模型 yolov5-6.0-helmat-mortor-1225.zipyolov3摩托车佩戴头…

Windows实现MySQL5.7主从复制(详细版)

使用免安装版本(官网下载地址) 在Windows上安装两种MySQL服务并同时开启服务 1.下载配置 打开解压文件所在位置,就新建一个配置文件my.ini。 2.主库安装 主库的my.ini配置文件如下: [mysqld] #设置主库端口,注意须是…

java 纯代码导出pdf合并单元格

java 纯代码导出pdf合并单元格 接上篇博客 java导出pdf(纯代码实现) 后有一部分猿友叫我提供一下源码,实际上我的源码已经贴在帖子上了,都是同样的步骤,只是加多一点设置就可以了。今天我再次上传一下相对情况比较完整…

ROS学习记录:如何在Github上寻找并安装软件包

一、打开网页输入www.github.com 二、进入github界面 三、打开一个终端,输入mkdir catkin_ws1建立一个工作空间 四、使用cd catkin_ws1进入工作空间 五、使用mkdir src创建一个子目录src就是source,原始资料的意思,指的就是程序源代码这类资源材料&#…

Android studio socket客户端应用设计

一、XML布局设计&#xff1a; <?xml version"1.0" encoding"utf-8"?> <androidx.constraintlayout.widget.ConstraintLayout xmlns:android"http://schemas.android.com/apk/res/android"xmlns:app"http://schemas.android.com…

利用网络教育系统构建个性化学习平台

在现代教育中&#xff0c;网络教育系统作为一种创新的学习方式&#xff0c;为学生提供了更加个性化和灵活的学习体验。在本文中&#xff0c;我们将通过简单的技术代码&#xff0c;演示如何构建一个基础的网络教育系统&#xff0c;为学生提供个性化的学习路径和资源。 1. 环境…

python3处理docx并flask显示

前言&#xff1a; 最近有需求处理docx文件&#xff0c;并讲内容显示到页面&#xff0c;对world进行在线的阅读&#xff0c;这样我这里就使用flaskDocument对docx文件进行处理并显示&#xff0c;下面直接上代码&#xff1a; Document处理&#xff1a; 首先下载Document的库文…

k8s二进制最终部署(网络 负载均衡和master高可用)

k8s中的通信模式 1、pod内部之间容器与容器之间的通信&#xff0c;在同一个pod 中的容器共享资源和网络&#xff0c;使用同一个网络命名空间&#xff0c;可以直接通信的 2、同一个node节点之内&#xff0c;不同pod之间的通信&#xff0c;每个pod都有一个全局的真实的IP地址&a…

计算机网络——传输层(五)

前言&#xff1a; 最重要的网络层我们已经学习完了&#xff0c;下面让我们再往上一层&#xff0c;对网络层的上一层传输层进行一个学习与了解&#xff0c;学习网络层的基本概念和网络层中的TCP协议和UDP协议 目录 ​编辑一、传输层的概述&#xff1a; 1.传输层&#xff1a; …

使用Visual Studio 2022 winform项目打包成安装程序.exe

winform项目打包 1.安装扩展插件 Microsoft Visual Studio Installer Projects 20222.在解决方案上新建一个setup project 项目3.新建成功如下图&#xff0c;之后添加你的winform程序生成之后的debug下的文件4.在Application Folder上点击右键->Add->项目输出->主输出…

【稳定检索|投稿优惠】2024年绿色能源与电网电力系统国际会议(ICGEGPS 2024)

2024年绿色能源与电网电力系统国际会议(ICGEGPS 2024) 2024 International Conference on Green Energy and Grid Power Systems(ICGEGPS) 一、【会议简介】 2024年绿色能源与电网电力系统国际会议(ICGEGPS 2024)将在宜宾盛大召开。本次会议将聚焦绿色能源与电网电力系统的最新…

javaEE -19(9000 字 JavaScript入门 - 4)

一&#xff1a; jQuery jQuery是一个快速、小巧且功能丰富的JavaScript库。它旨在简化HTML文档遍历、事件处理、动画效果以及与后端服务器的交互等操作。通过使用jQuery&#xff0c;开发者可以以更简洁、更高效的方式来编写JavaScript代码。 jQuery提供了许多易于使用的方法和…

构建安全防线:SDLC中的供应链攻击防范最佳实践与Log360解决方案

在过去的12个月里&#xff0c;有10家公司发现了软件供应链风险。供应链中依赖关系的增加扩大了对手的攻击面。这也导致威胁行为者将注意力从仅影响最终用户的下游链转移到上游链&#xff0c;影响供应商、客户和最终用户。因此&#xff0c;让我们立即讨论如何使你的SOC团队在产品…

多输入多输出 | MATLAB实现SSA-CNN麻雀算法优化卷积神经网络多输入多输出预测

多输入多输出 | MATLAB实现SSA-CNN麻雀算法优化卷积神经网络多输入多输出预测 目录 多输入多输出 | MATLAB实现SSA-CNN麻雀算法优化卷积神经网络多输入多输出预测预测效果基本介绍模型背景程序设计参考资料 预测效果 基本介绍 MATLAB实现SSA-CNN麻雀算法优化卷积神经网络多输入…

CentOS 5/6/7 基于开源项目制作openssh 9.6p1 rpm包—— 筑梦之路

背景介绍 开源项目地址&#xff1a;https://github.com/boypt/openssh-rpms.git 该项目主要支持了centos 5 、6、7版本&#xff0c;针对使用了比较老的操作系统进行openssh安全加固&#xff0c;还是不错的项目&#xff0c;使用简单、一件制作&#xff0c;欢迎大家去支持作者。…