Ketika organisasi semakin merangkul lingkungan cloud hybrid, para aktor siber mengambil keuntungan dengan menggunakan akses istimewa dan aplikasi yang sah untuk melakukan serangan dan melakukan tindakan jahat.
Dengan tenaga kerja yang semakin tersebar dan adopsi cepat aplikasi berbasis cloud untuk mengakomodasi pekerja jarak jauh, Microsoft Office 365, sekarang disebut Microsoft 365, telah menjadi salah satu alat kolaborasi dan produktivitas yang paling kuat dan banyak digunakan di dunia, dengan lebih dari 250 juta pengguna.
Namun, Microsoft 365 terus menjadi salah satu lingkungan yang paling menantang dan kompleks untuk dipantau dan dikontrol, meskipun adopsi otentikasi multifaktor (MFA) dan kontrol keamanan lainnya ditingkatkan.
Power Automate dan eDiscovery Compliance Search, alat aplikasi yang disematkan di Microsoft 365, telah muncul sebagai target berharga bagi penyerang. Studi Vectra mengungkapkan bahwa 71% akun yang dipantau telah memperhatikan aktivitas mencurigakan menggunakan Power Automate, dan 56% akun mengungkapkan perilaku mencurigakan yang serupa menggunakan alat eDiscovery.
Di bawah ini adalah data yang ditampilkan dari waktu ke waktu dan relatif terhadap penerapan total Microsoft 365.
Penggunaan jahat Power Automate baru-baru ini menjadi yang terdepan ketika Microsoft mengumumkan menemukan pelaku ancaman tingkat lanjut dalam organisasi multinasional besar yang menggunakan alat tersebut untuk mengotomatiskan eksfiltrasi data. Insiden ini tidak terdeteksi selama lebih dari 200 hari.
Yang tidak kalah penting adalah eDiscovery Compliance Search, yang merupakan alat penemuan elektronik yang memungkinkan pengguna mencari informasi di semua konten dan aplikasi Microsoft 365 menggunakan satu perintah sederhana. Penyerang dapat menggunakan eDiscovery sebagai alat eksfiltrasi data. Misalnya, pencarian sederhana untuk “kata sandi” akan memunculkan hasil dari Microsoft Outlook, Teams, SharePoint, OneDrive, dan OneNote.
Power Automate dan eDiscovery secara aktif digunakan bersama di seluruh siklus hidup serangan. Setelah pelaku ancaman mendapatkan akses menggunakan Power Automate dan eDiscovery, mereka dapat mengonfigurasi ulang pengaturan email, membahayakan penyimpanan file SharePoint dan OneDrive, serta menyiapkan kemampuan pengintaian dan eksfiltrasi persisten dalam hitungan menit.
Selengkapnya: Dark Reading