Quando cibercriminosos roubam senhas dos usuários, geralmente eles compartilham, vendem ou fazem permuta desses dados na dark web ou nos sites de Pastebin.

Uma das grandes vantagens de se utilizar os serviços de nuvem da Microsoft, como o Office 365 é ter por trás uma grande equipe investigando 24h por dia centenas de milhares de tipos de ataques ocorrendo em todo o mundo, incluindo também o serviço de credenciais vazadas, ou seja, a Microsoft adquire pares de nomes de usuário e senha fazendo o monitoramento desses sites na dark web. Além disso, também trabalham em parceria com pesquisadores e outras fontes confiáveis para adquirir esse tipo de informação.

Ao identificar um usuário e senha que foi vazado e que faz parte do Azure Active Directory*, o administrador é avisado através de uma notificação informando que aquele usuário está em risco. Com isso o administrador pode fazer o reset de senha do mesmo e/ou bloqueá-lo se for necessário.

É possível automatizar este processo para não depender que alguém execute o reset de senha criando uma política de acesso condicional onde o respectivo usuário ao ser identificado em risco será solicitado a autenticar usando o Multi Factor Authentication, dessa forma o atacante, mesmo com posse da senha não conseguiria fazer logon na conta do usuário.

Além do monitoramento das credenciais vazadas, podemos criar políticas para outros tipos de sinais de risco, como por exemplo a entrada através de um IP anônimo, viagem impossível**, entrada de dispositivos infectados e outros tipos de detecção.

A Redbelt também faz esse tipo de análise e tratativa de incidentes através de uma solução interna chamada Chronos através do serviço gerenciado.

*Quando o cliente adquire o Office 365, automaticamente ele possui o Azure Active Directory

** Identificar o mesmo usuário fazendo login em países diferentes em tempo impossível de viagem