Geçen yılki Ignite şovunda Microsoft, 365 Defender’da, devam eden bir siber saldırıyı otomatik olarak algılayan ve bozan, umarız ortaya çıkan herhangi bir hasarı durduran veya azaltan bir yetenekten bahsetti. Şimdi bunu ek suç alanlarını içerecek şekilde genişletiyor.
bu otomatik saldırı kesintisi kurumsal güvenlik operasyon merkezlerini (SOC’ler) hedefleyen işlevsellik, fidye yazılımı dahil olmak üzere etkin kötü amaçlı yazılım kampanyalarını belirlemek ve saldırı altındaki cihazı ağdan ve saldırganlar tarafından ele geçirilen askıya alınmış hesaplardan otomatik olarak izole etmek için adımlar atmak için milyonlarca veri noktası ve sinyali kullanır.
Yazılım ve bulut hizmetleri devi, artık otomatik saldırı engelleme yeteneğinin genel önizlemesini iş e-postası ele geçirme (BEC) ve insan tarafından çalıştırılan fidye yazılımı (HumOR) saldırılarını kapsayacak şekilde genişletti.
Microsoft Kıdemli Ürün Müdürü Eval Haik, “İş e-postası gizliliği ihlali ve insan tarafından yürütülen fidye yazılımı saldırıları, artık Microsoft 365 Defender’ın bir kuruluş üzerindeki etkilerini azaltmak için otomatik saldırı bozma yetenekleri tarafından desteklenen iki yaygın saldırı senaryosudur.” postalamak.
BEC kampanyaları yürüten kötü niyetli kişiler, kuruluşları saldırmak için hedefler ve şirket içindeki kurbanları yanlışlıkla kötü amaçlı yazılım indirmeleri, satıcılardan ödeme talep etmeleri veya saldırgan tarafından kontrol edilen bir hesaba para aktarmaları için kandırmak için sosyal mühendislik tekniklerini kullanır.
Geçen yıl bir FBI raporu, 2016 ile 2021 arasında 241.206 BEC olayı dünya çapında kuruluşlara 43,3 milyar dolardan fazlaya mal oluyor.
İçinde mizah saldırıları Otomatik fidye yazılımı kampanyalarının aksine, suçlular bir şirketin şirket içi sistemlerine veya bulut altyapısına girer, ayrıcalıkları yükseltir, yanal olarak hareket eder ve büyük ölçekte fidye yazılımı dağıtır. Saldırılar, bireysel cihazlar yerine tüm bir organizasyonu hedefliyor ve kimlik bilgilerinin çalınmasını ve fidye yazılımının konuşlandırılmasını içeriyor.
Zaman kısa
Microsoft 365 Defender’da otomatik saldırı kesintisinin kullanıma sunulması, siber saldırıların yalnızca artan sayılarına ve karmaşıklığına değil, aynı zamanda hızlarına ve artan uzmanlıklarına da bir selam niteliğindedir. Saldırılar genellikle, güvenlik ekipleri onları yavaşlatmak şöyle dursun tespit edemeden önce başlar.
Microsoft, bir kötü niyetli kişi bir ağda fidye yazılımı dağıttığında, bir SOC analistinin saldırıyı hafifletmek için 20 dakikadan az zamanı olduğunu bulmuştur. Bir çalışanın bir kimlik avı bağlantısını tıkladığı andan, bir saldırganın kullanıcının gelen kutusuna tam erişim kazandığı ve ağda yanal olarak hareket ettiği ana kadar geçen süre iki saatten az olabilir.
Haik, “Bu dar zaman çerçevesi, yüksek teknik beceriler ve analizi gerçekleştirmek için gereken süre ile birleştiğinde, manuel olarak yanıt vermeyi neredeyse imkansız hale getiriyor” diye yazdı.
Microsoft Defender 365, siber saldırıları belirlemek için uç noktalar, kimlikler, e-posta ve hizmet olarak yazılım (SaaS) uygulamaları genelinde bir dizi genişletilmiş algılama ve yanıt (XDR) sinyalini ilişkilendirmek için yapay zeka tabanlı algılama yeteneklerini kullanır. Ayrıca, kimlik bilgisi hırsızlığı ve yanal hareketten ürün kurcalamaya kadar kötü amaçlı etkinlikleri tanımlayan analizler de vardır.
Tüm bunlar, Active Directory ve Azure AD’deki güvenliği ihlal edilmiş kullanıcı hesaplarını devre dışı bırakmak ve güvenliği ihlal edilmiş bir makineyle iletişim kuramamasını sağlamak için cihazları içermek üzere otomatik saldırı kesintisi özelliğini tetikler.
Microsoft, “Otomasyon, günümüzün karmaşık, dağıtılmış ve çeşitli ekosistemlerinde SOC ekiplerinin yeteneklerini ölçeklendirmek için kritik öneme sahiptir.” postalamak Ekim 2022’de özellik Ignite’ta tanıtıldığında.
Sistem yöneticileri, Olay kuyruğundaki etkilenen olayların yanındaki bir “Saldırı Kesintisi” etiketi ve Olay sayfasındaki “Saldırı Kesintisi” sekmesi, sayfanın üst kısmında yapılan otomatik eylemi gösteren sarı bir başlık aracılığıyla neler olduğunu görebilir. alınmış ve devre dışı bırakılan bir hesap veya içeri alınmış bir cihaz gibi bir varlığın durumunu gösteren bir olay grafiği.
Güvenlik ekipleri ayrıca Microsoft 365 Defender Portal aracılığıyla otomatik saldırı kesintisinin nasıl yapılandırılacağını özelleştirebilir ve bir eylemi değiştirebilir. ®