Wykrywanie infiltrujących pracowników IT z Microsoft Defender

Wprowadzenie

Microsoft ostrzega organizacje przed rosnącym zagrożeniem: fałszywymi zdalnymi pracownikami IT, którzy wykorzystują skradzione lub sfabrykowane tożsamości, aby zostać zatrudnionymi i uzyskać legalny dostęp do systemów firmowych. Dla zespołów bezpieczeństwa zarządzających Microsoft 365, Defender i integracjami SaaS ma to znaczenie, ponieważ atak rozpoczyna się w standardowych procesach HR i może szybko przerodzić się w incydent związany z tożsamością i bezpieczeństwem danych.

Co nowego

Najnowsze wytyczne Microsoft wyjaśniają, jak obrońcy mogą wykrywać tę aktywność w całym cyklu zatrudnienia, a Jasper Sleet wskazano jako znany przykład tej taktyki.

Wykrywanie przed rekrutacją w Workday

Microsoft zaobserwował podejrzane użycie punktów końcowych Workday Recruiting Web Service udostępnianych przez zewnętrzne strony kariery. Kluczowe zachowania obejmują:

• Powtarzający się dostęp do punktów końcowych API hrrecruiting/*
• Wywołania API aplikacji o pracę, CV i kwestionariuszy
• Wiele kont zewnętrznych wykazujących ten sam powtarzalny wzorzec dostępu
• Aktywność pochodzącą ze znanej infrastruktury aktorów zagrożeń

Dzięki Microsoft Defender for Cloud Apps Workday connector organizacje mogą śledzić te wywołania API, identyfikować konta zewnętrzne i porównywać aktywność z danymi threat intelligence.

Analiza na etapie rekrutacji

Podczas rozmów kwalifikacyjnych i obsługi dokumentów obrońcy powinni korelować dodatkowe sygnały, takie jak:

• Podejrzane wiadomości e-mail wymieniane z zespołami rekrutacyjnymi
• Zewnętrzne wiadomości Teams z ryzykownych adresów IP lub kont
• Aktywność w Zoom lub Cisco Webex za pośrednictwem connectorów Defender for Cloud Apps
• Aktywność DocuSign związana z listami ofertowymi pochodzącymi z podejrzanych źródeł

Pomaga to zespołom bezpieczeństwa i HR wcześniej oznaczać fałszywych kandydatów w procesie.

Monitorowanie tożsamości i SaaS po zatrudnieniu

Po zatrudnieniu ryzyko rośnie, ponieważ aktor otrzymuje legalne konto. Microsoft zaobserwował przypadki, w których logowania nowych pracowników do Workday i zmiany danych płacowych pochodziły ze znanej złośliwej infrastruktury. Po onboardingu obrońcy powinni monitorować:

• Alerty impossible travel na kontach nowych pracowników
• Dostęp z anonimowych proxy lub nietypowych lokalizacji
• Wyszukiwanie i pobieranie danych w Teams, SharePoint, OneDrive i Exchange Online
• Nietypowe wzorce dostępu do danych w pierwszych tygodniach lub miesiącach zatrudnienia

Dlaczego ma to znaczenie dla administratorów IT

To nie jest wyłącznie problem HR. Fałszywie zatrudniona osoba może ominąć wiele tradycyjnych zabezpieczeń perymetrycznych, ponieważ otrzymuje prawidłowe poświadczenia i zatwierdzony dostęp. Zespoły bezpieczeństwa potrzebują widoczności w systemach HR, Entra ID, Microsoft 365 i narzędziach współpracy innych firm, aby wcześnie wykrywać takie zachowania.

Zalecane kolejne kroki

• Przejrzyj telemetrię API Workday pod kątem powtarzającej się aktywności hrrecruiting/*
• Włącz i zweryfikuj connectory Defender for Cloud Apps dla Workday, Zoom, Webex i DocuSign, tam gdzie ma to zastosowanie
• Prowadź hunting pod kątem podejrzanej komunikacji obejmującej kandydatów i konta zewnętrzne
• Ściśle monitoruj tożsamości nowych pracowników pod kątem impossible travel, użycia proxy i nietypowego dostępu do Microsoft 365
• Koordynuj dochodzenia HR i bezpieczeństwa dotyczące podejrzanych zdarzeń onboardingowych

Organizacje prowadzące zdalną rekrutację powinny traktować workflow rekrutacyjne jako część swojej powierzchni ataku na tożsamość i uwzględniać je w strategiach threat hunting i wykrywania.