Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine effektive Bedrohungsklassifizierung ist eine wichtige Komponente der Cybersicherheit, die es Organisationen ermöglicht, potenzielle Risiken schnell zu identifizieren, zu bewerten und zu mindern. Das Bedrohungsklassifizierungssystem in Microsoft Defender for Office 365 verwendet erweiterte Technologien wie große Sprachmodelle (LLMs), kleine Sprachmodelle (SLMs) und Machine Learning-Modelle (ML), um E-Mail-basierte Bedrohungen automatisch zu erkennen und zu klassifizieren. Diese Modelle arbeiten zusammen, um eine umfassende, skalierbare und adaptive Bedrohungsklassifizierung bereitzustellen, sodass Sicherheitsteams vor neuen Angriffen einen Schritt voraus sind.
Durch die Kategorisierung von E-Mail-Bedrohungen in bestimmte Typen wie Phishing, Schadsoftware und Kompromittierung von Geschäfts-E-Mails (BEC) bietet unser System Organisationen umsetzbare Erkenntnisse zum Schutz vor böswilligen Aktivitäten.
Bedrohungstypen
Bedrohungstyp bezieht sich auf die primäre Kategorisierung einer Bedrohung basierend auf grundlegenden Merkmalen oder Angriffsmethoden. In der Vergangenheit werden diese allgemeinen Kategorien früh im Angriffslebenszyklus identifiziert und helfen Organisationen dabei, die Art des Angriffs zu verstehen. Zu den gängigen Bedrohungstypen gehören:
- Phishing: Angreifer geben sich als vertrauenswürdige Entitäten aus, um Empfänger bei der Offenlegung vertraulicher Informationen wie Anmeldeinformationen oder Finanzdaten zu täuschen.
- Schadsoftware: Schadsoftware, die entwickelt wurde, um Systeme, Netzwerke oder Geräte zu beschädigen oder auszunutzen.
- Spam: Unerwünschte, oft irrelevante E-Mails, die massenhaft gesendet werden, in der Regel für böswillige oder Werbezwecke.
Bedrohungserkennungen
Bedrohungserkennungen beziehen sich auf die Technologien und Methoden, die verwendet werden, um bestimmte Indikatoren oder verdächtige Aktivitäten innerhalb einer E-Mail-Nachricht oder Kommunikation zu identifizieren. Bedrohungserkennungen helfen, das Vorhandensein von Bedrohungen zu erkennen, indem Anomalien oder Merkmale in der Nachricht identifiziert werden. Zu den gängigen Bedrohungserkennungen gehören:
- Spoof: Gibt an, wann die E-Mail-Adresse des Absenders so gefälscht ist, dass sie wie eine vertrauenswürdige Quelle aussieht.
- Identitätswechsel: Erkennt, wenn eine E-Mail-Nachricht die Identität einer legitimen Entität annimmt, z. B. eine Führungskraft oder ein vertrauenswürdiger Geschäftspartner, um Empfänger dazu zu verleiten, schädliche Aktionen zu ergreifen.
- URL-Zuverlässigkeit: Bewertet den Ruf von URLs, die in einer E-Mail enthalten sind, um festzustellen, ob sie zu schädlichen Websites führen.
- Andere Filter
Bedrohungsklassifizierung
Die Bedrohungsklassifizierung ist der Prozess der Kategorisierung einer Bedrohung basierend auf der Absicht und der spezifischen Art des Angriffs. Das Bedrohungsklassifizierungssystem verwendet LLMs, ML-Modelle und andere erweiterte Techniken, um die Absicht hinter Bedrohungen zu verstehen und eine genauere Klassifizierung bereitzustellen. Wenn sich das System weiterentwickelt, können Sie davon ausgehen, dass neue Bedrohungsklassifizierungen mit den neuen Angriffsmethoden Schritt halten.
Derzeit verfügbare Bedrohungsklassen werden in der folgenden Liste beschrieben:
Betrug im Voraus: Den Opfern werden große finanzielle Belohnungen, Verträge oder Preise im Austausch für Vorauszahlungen oder eine Reihe von Zahlungen versprochen, die der Angreifer nie liefert.
Adware: Ein Programm, das eine Werbung anzeigt, die außerhalb des Kontexts steht
Business Intelligence: Anforderungen für Informationen zu Lieferanten oder Rechnungen, die von Angreifern verwendet werden, um ein Profil für weitere gezielte Angriffe zu erstellen, häufig aus einer Ähnlichen Domäne, die eine vertrauenswürdige Quelle imitiert.
Kontakteinrichtung: Email Nachrichten (häufig generischer Text), um zu überprüfen, ob ein Posteingang aktiv ist, und um eine Unterhaltung zu initiieren. Diese Nachrichten zielen darauf ab, Sicherheitsfilter zu umgehen und einen vertrauenswürdigen Ruf für schädliche zukünftige Nachrichten zu schaffen.
Downloader: Ein Trojaner, der andere Malware herunterlädt.
Geschenkgutscheine: Angreifer geben sich als vertrauenswürdige Personen oder Organisationen aus und überzeugen den Empfänger, Geschenk-Karte Codes zu kaufen und zu senden, häufig mithilfe von Social-Engineering-Taktiken.
HackTool: Tools, die zum Hacken verwendet werden.
Rechnungsbetrug: Rechnungen, die legitim aussehen, entweder durch Ändern von Details einer vorhandenen Rechnung oder Übermitteln einer betrügerischen Rechnung, mit der Absicht, Empfänger dazu zu verleiten, Zahlungen an den Angreifer zu leisten.
Gehaltsabrechnungsbetrug: Manipulieren Sie Benutzer, um Gehaltsabrechnungen oder persönliches Konto Details zu aktualisieren, um Geld in die Kontrolle des Angreifers umzuleiten.
Sammeln personenbezogener Informationen (PII): Angreifer geben sich als eine hochrangige Person aus, z. B. einen CEO, um personenbezogene Informationen anzufordern. Auf diese E-Mail-Nachrichten folgt häufig eine Umstellung auf externe Kommunikationskanäle wie WhatsApp oder SMS, um die Erkennung zu umgehen.
Lösegeld: Software (oft als Ransomware bezeichnet), die benutzer daran hindert, ihren PC zu verwenden oder darauf zuzugreifen, normalerweise für böswillige Zwecke. Die Software kann die folgenden Aktionen ausführen:
Benutzer müssen zahlen (das Lösegeld).
Verschlüsseln von Dateien und anderen Daten.
Benutzer müssen Aktivitäten wie das Beantworten von Umfragen oder CAPTCHAS ausführen, um wieder Zugriff auf den Computer zu erhalten.
Häufig können Benutzer den Eingabegerätefokus nicht aus der Ransomware verschieben, und Benutzer können den schädlichen Prozess nicht einfach beenden. In einigen Fällen verweigert die Ransomware PC-Zugriff auf Benutzer, auch nach einem Neustart oder Booten im abgesicherten Modus.
Remote Access Trojan: Software, die Angreifern nicht autorisierten Remotezugriff und Kontrolle über infizierte Computer gibt. Bots sind eine Unterkategorie von Backdoor-Trojanern.
Spyware: Software, die Informationen von einem betroffenen Benutzer über Kennwörter hinaus stehlen kann.
Aufgabenbetrug: Kurze, scheinbar sichere E-Mail-Nachrichten, die um Unterstützung bei einer bestimmten Aufgabe bitten. Diese Anforderungen sind darauf ausgelegt, Informationen zu sammeln oder Aktionen auszulösen, die die Sicherheit gefährden können.
Wo Ergebnisse der Bedrohungsklassifizierung verfügbar sind
Die Ergebnisse der Bedrohungsklassifizierung sind in den folgenden Erfahrungen in Defender for Office 365 verfügbar: