Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une classification efficace des menaces est un composant essentiel de la cybersécurité qui permet aux organisations d’identifier, d’évaluer et d’atténuer rapidement les risques potentiels. Le système de classification des menaces dans Microsoft Defender pour Office 365 utilise des technologies avancées telles que les modèles de langage volumineux (LLM), les modèles de petits langages (SLM) et les modèles Machine Learning (ML) pour détecter et classer automatiquement les menaces basées sur les e-mails. Ces modèles fonctionnent ensemble pour fournir une classification complète, évolutive et adaptative des menaces, ce qui permet aux équipes de sécurité de garder une longueur d’avance sur les attaques émergentes.
En catégorisant les menaces de courrier électronique en types spécifiques, tels que l’hameçonnage, les programmes malveillants et la compromission des e-mails professionnels (BEC), notre système fournit aux organisations des informations exploitables pour se protéger contre les activités malveillantes.
Types de menaces
Le type de menace fait référence à la catégorisation principale d’une menace en fonction des caractéristiques fondamentales ou de la méthode d’attaque. Historiquement, ces grandes catégories sont identifiées au début du cycle de vie des attaques et aident les organisations à comprendre la nature de l’attaque. Les types de menaces courants sont les suivants :
- Hameçonnage : les attaquants empruntent l’identité d’entités approuvées pour tromper les destinataires afin qu’ils révèlent des informations sensibles telles que des informations d’identification de connexion ou des données financières.
- Logiciels malveillants : logiciels malveillants conçus pour endommager ou exploiter des systèmes, des réseaux ou des appareils.
- Courrier indésirable : courrier électronique non sollicité, souvent non pertinent envoyé en bloc, généralement à des fins malveillantes ou promotionnelles.
Détections de menaces
Les détections de menaces font référence aux technologies et méthodologies utilisées pour identifier des indicateurs spécifiques ou des activités suspectes dans un message électronique ou une communication. Les détections de menaces permettent de repérer la présence de menaces en identifiant les anomalies ou les caractéristiques dans le message. Les détections de menaces courantes sont les suivantes :
- Usurpation : identifie quand l’adresse e-mail de l’expéditeur est falsifiée pour ressembler à une source approuvée.
- Emprunt d’identité : détecte lorsqu’un e-mail emprunte l’identité d’une entité légitime, telle qu’un cadre ou un partenaire commercial approuvé, pour inciter les destinataires à prendre des mesures nuisibles.
- Réputation des URL : évalue la réputation des URL incluses dans un e-mail pour déterminer si elles mènent à des sites web malveillants.
- Autres filtres
Classification des menaces
La classification des menaces est le processus qui consiste à catégoriser une menace en fonction de l’intention et de la nature spécifique de l’attaque. Le système de classification des menaces utilise des llms, des modèles ML et d’autres techniques avancées pour comprendre l’intention derrière les menaces et fournir une classification plus précise. À mesure que le système évolue, vous pouvez vous attendre à ce que de nouvelles classifications de menaces suivent le rythme des méthodes d’attaque émergentes.
Les classes de menaces actuellement disponibles sont décrites dans la liste suivante :
Escroquerie à l’avance : les victimes se voient promettre d’importantes récompenses financières, des contrats ou des prix en échange de paiements initiaux ou d’une série de paiements, que l’attaquant ne livre jamais.
Adware : un programme qui affiche une publicité qui est hors contexte
Business Intelligence : demandes d’informations sur les fournisseurs ou les factures, qui sont utilisées par les attaquants pour créer un profil pour d’autres attaques ciblées, souvent à partir d’un domaine semblable qui imite une source approuvée.
Établissement du contact : Email messages (souvent du texte générique) pour vérifier si une boîte de réception est active et lancer une conversation. Ces messages visent à contourner les filtres de sécurité et à créer une réputation de confiance pour les futurs messages malveillants.
Téléchargeur : cheval de Troie qui télécharge d’autres programmes malveillants.
Cartes cadeaux : les attaquants empruntent l’identité de personnes ou d’organisations de confiance, convainquant le destinataire d’acheter et d’envoyer des codes de carte cadeaux, souvent à l’aide de tactiques d’ingénierie sociale.
HackTool : outils utilisés pour le piratage.
Fraude à la facture : factures qui semblent légitimes, soit en modifiant les détails d’une facture existante, soit en envoyant une facture frauduleuse, dans le but d’inciter les destinataires à effectuer des paiements à l’attaquant.
Fraude à la paie : manipulez les utilisateurs pour mettre à jour la paie ou compte personnel détails afin de détourner les fonds sous le contrôle de l’attaquant.
Collecte d’informations d’identification personnelle (PII) : les attaquants empruntent l’identité d’une personne de haut rang, comme un PDG, pour demander des informations personnelles. Ces e-mails sont souvent suivis d’un déplacement vers des canaux de communication externes comme WhatsApp ou des sms pour échapper à la détection.
Rançon : Logiciel (souvent appelé ransomware) qui empêche les utilisateurs d’utiliser ou d’accéder à leur PC, généralement à des fins malveillantes. Le logiciel peut effectuer les actions suivantes :
Demander aux utilisateurs de payer (la rançon).
Chiffrez des fichiers et d’autres données.
Exiger des utilisateurs qu’ils effectuent des activités comme répondre à des enquêtes ou CAPTCHAS pour récupérer l’accès à la machine.
En règle générale, les utilisateurs ne peuvent pas déplacer le focus de l’appareil d’entrée hors du ransomware, et les utilisateurs ne peuvent pas facilement mettre fin au processus malveillant. Dans certains cas, le ransomware refuse l’accès du PC aux utilisateurs, même après un redémarrage ou un démarrage en mode sans échec.
Cheval de Troie d’accès à distance : logiciel qui donne aux attaquants un accès à distance non autorisé et le contrôle des ordinateurs infectés. Les bots sont une sous-catégorie de chevaux de Troie de porte dérobée.
Logiciels espions : logiciels qui peuvent voler des informations à un utilisateur affecté au-delà des mots de passe.
Fraude à la tâche : messages électroniques courts et apparemment sûrs demandant de l’aide pour une tâche spécifique. Ces requêtes sont conçues pour collecter des informations ou provoquer des actions susceptibles de compromettre la sécurité.
Où les résultats de classification des menaces sont disponibles
Les résultats de la classification des menaces sont disponibles dans les expériences suivantes dans Defender for Office 365 :