微软决定开放其feed,以提高人们对攻击者在新冠大流行期间不断变化的技术的认识–尤其是对于那些可能不具备该公司所拥有的广泛可见性的人来说。该安全团队写道:“微软每天处理跨越身份、端点、云端、应用和电子邮件的数万亿个信号,这为大家提供了广泛的COVID-19主题攻击的可视性,使大家能够在整个安全栈中检测、保护和应对这些攻击。”
由26个成员组成的网络安全威胁共享非营利组织”网络威胁联盟”(CyberThreatAlliance)总裁兼首席执行官迈克尔-丹尼尔(MichaelDaniel)表示,大流行期间犯罪活动的转变首次将目标锁定在使用新平台的人身上。
“总的来说,安全行业的恶意活动数量并没有增加;但是,大家看到这种犯罪活动的重点发生了迅速而急剧的转移,”前白宫网络安全协调员Daniel告诉CyberScoop。“坏人已经试图利用人们的恐惧、整体信息的匮乏以及许多在线平台的首次用户的增加等因素,将重点转移到了COVID-19的相关主题上。”
在网络犯罪分子和国家行为者开始用新冠病毒和医疗保健主题的鱼叉钓鱼邮件或虚假的移动应用程序在全球范围内瞄准受害者几个月后,微软进行了这一举动。微软正在提供的信息包括在大流行病相关的鱼叉钓鱼电子邮件活动中的恶意附件中使用的文件散列指标。其中包括的许多电子邮件诱饵都模仿了世界卫生组织和红十字会的品牌,而其他诱饵似乎是在与目标共享有关COVID-19的信息。
微软分享的283个威胁指标可以通过微软的GraphSecurityAPI或AzureSentinel的GitHub页面获得。
MandiantThreatIntelligence的高级首席分析师SarahJones告诉CyberScoop,这种公开的共享很可能会对致力于打击新冠病毒相关威胁的中小型企业有所帮助。“大家还没有机会观察到微软的这一功能,不过,拥有多种方式整合和查询外部的intelfeeds,对于网络防御者来说总是有帮助的。”ones说。“此外,向客户发布高质量的和经过审核的‘Compromise指标’馈送,对于中小型企业来说,可以成为一种力量的倍增器。”
Cofense首席技术官AaronHigbee对这一举措表示欢迎,但他补充说,滥用微软Office365的网络钓鱼邮件非常猖獗。“大家赞扬所有的努力,以保护人们免受网络钓鱼攻击的攻击,这些攻击利用了人们对大流行病的恐惧和担忧。”Higbee告诉CyberScoop。“Cofense的客户对微软无法过滤掉网络钓鱼邮件表示出越来越多的不满。当他们得知钓鱼邮件来自于Office365账户,并且钓鱼套件托管在Office365上时,他们就会变得特别恼火。偶很好奇,在微软选择分享的283个网络钓鱼指标中,有多少个是托管在Office365内的。”
几个星期前,多个网络安全志愿者团体联合起来,帮助医疗机构在大流行期间应对突发的网络安全威胁。其他公司此前已经宣布,他们正在更广泛地提供服务。
