Microsoft Defender 365: автоматизация для борьбы с автоматизированными атаками

Microsoft Defender 365: автоматизация для борьбы с автоматизированными атаками

12 марта 2023 г.
Microsoft Defender 365 будет бороться с злоумышленниками, используя их собственную тактику, автоматически блокируя скомпрометированные системы, включая серверы Linux.

Когда вы думаете обо всем в вашей организации, что вам нужно защитить от злоумышленников, легко составить список серверов, ПК, файловых хранилищ, пользователей и многого другого, которые могут быть затронуты, но злоумышленники думают об этом как о графике ресурсов. что все связаны. Компрометация одного из них ведет к другим частям вашей инфраструктуры. Злоумышленники все чаще используют ваши подключенные инструменты с помощью автоматизированных наборов инструментов, сценариев и облачных ресурсов.

Теперь команды безопасности могут делать то же самое, потому что Защитник Microsoft 365 создает картину того, как атака влияет на вашу систему, и использует ее, чтобы попытаться отключить ее — автоматически и в режиме реального времени.

Перейти к:

    Защитник автоматически прерывает атаки Поток атак означает меньшую контекстную защиту Защита всех конечных точек: даже неуправляемых Избегайте ложных срабатываний Защита большего количества устройств

Защитник автоматически прерывает атаки

Вместо того, чтобы оставлять вмешательство администраторам безопасности, Защитник Microsoft 365 попытается автоматически пресекать обнаруженные им атаки. Он направлен на сдерживание атак во время их проведения, используя ИИ для просмотра сигналов и изоляции активов, которые уже пострадали.

Это может означать приостановку действия скомпрометированного пользователя, учетная запись которого используется злоумышленником, сброс его пароля для ограничения доступа, блокировку URL-адресов в электронной почте, удаление сообщений и помещение вложений в карантин, автоматическую изоляцию зараженных устройств или их полное отключение.

Изоляция подозрительного устройства отключает его от всего, кроме подключения к службе Защитника — так что вы можете использовать подключение для последующей автоматической очистки или повторно подключить устройство, если оно окажется ложным срабатыванием (рис. A).

Изображение: Майкрософт. Защитник показывает вам все этапы атаки программы-вымогателя, чтобы вы могли понять, какие уязвимости или неправильные настройки могли сделать вас уязвимыми для нее.

Поток атак означает меньшую контекстную защиту

С момента, когда сотрудника обманом заставят нажать на фишинговую ссылку, до получения злоумышленником полного доступа к его почтовому ящику может пройти менее двух часов. Оттуда злоумышленник может установить правила пересылки для отправки электронных писем с просьбой о деньгах или конфиденциальной информации, которые выглядят так, как будто они исходят от законного сотрудника.

Затем злоумышленник переходит к атаке на другие внутренние системы. Оператору программы-вымогателя может потребоваться всего несколько минут, чтобы зашифровать сотни устройств.

Защитники никогда не успеют за этим, вручную отвечая на поток предупреждений. Большинство организаций даже не узнают о взломе намного позже. Даже если вы получите предупреждение от своих инструментов безопасности о подозрительном поведении, можете ли вы быть уверены, что заметили каждую атаку и заблокировали каждую уязвимую поверхность, учитывая, насколько разрознены многие инструменты безопасности?

«В большинстве случаев мы играем с злоумышленником в игру «Ударь крота», — сказал Равив Тамир, вице-президент Microsoft 365 Defender. «Сижу на конечной точке, вижу что-то подозрительное, бью по нему молотком и пытаюсь остановить. Скажем, я это сделал, а потом я вижу что-то еще на другой конечной точке и врубаю это. Потом я вижу что-то еще. Даже если мы остановили все эти вещи, значит ли это, что мы остановили атаку? Ответ в том, что мы не знаем, потому что мы играем на уровне кубиков, а у них есть весь набор Lego».

ПОСМОТРЕТЬ: Политика безопасности мобильных устройств (TechRepublic Premium)

Defender выходит за рамки возможностей XDR

Идея расширенного обнаружения и реагирования заключалась в том, чтобы использовать несколько инструментов безопасности и других источников информации и заставить их не просто обмениваться информацией, но и знать, какой источник информации является авторитетным. Антивредоносное программное обеспечение, защищающее ноутбук, может обнаружить, что устройство было скомпрометировано, и это должно быть важнее, чем служба идентификации, сообщающая, что с учетной записью на этом ноутбуке все в порядке.

«Вместо того, чтобы просто общаться друг с другом, инструменты безопасности должны иметь источник правды, на который они все обращают внимание», — сказал Тамир.

Защитник теперь имеет центральные источники достоверной информации о состоянии устройств, удостоверений, файлов и URL-адресов, которые его модели машинного обучения могут использовать для сопоставления предупреждений и подозрительных событий с инцидентом, который соответствует всей атаке по мере ее возникновения.

«Теперь я могу начать задавать действительно сложный вопрос: откуда это взялось?» — спросил Тамир. «Что было первопричиной? Это какая-то неправильная конфигурация? Это уязвимость? Это пользователь подвергается социальной инженерии, чтобы что-то сделать? Мы остановили это? Мы вмешались? Что еще более важно, удалось ли мне остановить это — или оно прогрессировало после того, как я вмешался, а я все еще просто играю в «Ударь крота»? Это действительно захватывающий уровень игры, потому что теперь мы действительно играем на том же уровне, что и нападающие».

Возможности Защитника позволяют понять и отреагировать на саму атаку, а не только на отдельные результаты этой атаки на разные ресурсы.

Защита всех конечных точек: даже неуправляемых

Поскольку не все устройства управляются Защитником напрямую, вы не можете полагаться на то, что Защитник сможет заблокировать их напрямую, если они будут скомпрометированы.

«Очевидно, что я могу контролировать все конечные точки, где был включен датчик», — сказал Тамир. «Если вы развертываете Microsoft Defender для конечной точки, у меня есть контроль. Как насчет конечных точек, где вы этого не сделали? Может быть, это устройство BYOD или корпоративное устройство IoT. Возможно, это устройство, которое просто не было подключено и сидит в сети. Ясно, что злоумышленник собирается использовать это устройство».

Защитник также пытается локализовать скомпрометированное устройство, используя метод, который он называет обратной изоляцией.

«У нас есть возможности изоляции на брандмауэре», — сказал Тамир. «По сути, мы говорим всем нашим устройствам не связываться с этим устройством. Мы просто не доверяем этой штуке: пожалуйста, не принимайте от нее никаких запросов и не отвечайте ни на один из ее запросов. Выключите его из сети».

Помимо предотвращения атак, Защитник попытается устранить любой ущерб с помощью функции, которую Microsoft называет самовосстановлением.

«Если мне удастся вмешаться и остановить нападение: смогу ли я обратить вспять то плохое, что произошло?» — спросил Тамир. «Если я считаю, что машина скомпрометирована, могу ли я помочь ей вернуться в рабочее состояние? Сколько из этих артефактов, которые потенциально могут быть повреждены, например вредоносные файлы, изменения, произошедшие в реестре, — сколько из них я могу отменить?»

Атаки с компрометацией корпоративной электронной почты часто включают создание правил переадресации электронной почты, которые позволяют злоумышленнику отвечать от имени пользователя и запрашивать перевод ему денег.

Избегайте ложных срабатываний

Хотя автоматизация является мощным инструментом, ее неправильный подход может быть столь же разрушительным, как и фактическая атака, поэтому Microsoft внедряет ее с осторожностью.

«Мы должны быть осторожны там, где мы его запускаем, потому что это здорово, когда мы запускаем сбои и не даем программам-вымогателям, управляемым людьми, шифровать все ваши устройства», — отметил Тамир. «Если я прав и остановлю программы-вымогатели, все будут аплодировать, потому что я только что сэкономил этому предприятию много денег. Однако, если я допустил ошибку и изолировал эти машины, потому что я думаю, что это программа-вымогатель, но это не так, то я просто значительно нарушил работу».

Именно по этой причине ключевые системы недоступны для автоматического прерывания работы Defender. Из-за этого автоматическое прерывание атаки в настоящее время работает только для двух сценариев, которые Microsoft считает наиболее важными для предотвращения:

    Кампании по компрометации корпоративной электронной почты. Атаки программ-вымогателей, управляемых людьми.

Обе атаки наносят значительный ущерб, поскольку затрагивают широкий круг ресурсов и людей. Для них требуется сквозное представление, но они могут быть нарушены в рамках всей организации.

Защита большего количества устройств

Сбой зависит от того, получает ли Защитник Microsoft 365 достаточно сигналов, поэтому он будет более эффективным, если вы используете несколько продуктов Защитника.

«Чем больше у нас датчиков, тем лучше мы узнаем, что происходит», — сказал Тамир. «Чем больше у вас продукции, тем лучше молотки у нас. Чем больше наших продуктов вы развернете, тем больше у вас будет информации, тем больше у нас будет инструментов, чтобы попытаться взломать систему, и наши революционные изменения станут лучше».

Сетевая изоляция теперь доступна для устройств Linux, на которых работает Defender for Endpoint, хотя она не может обеспечить полное сдерживание устройства. Эта функция находится в общедоступной предварительной версии, поэтому ожидайте, что со временем она будет развиваться.

«Изоляция Linux — это еще один молот для меня, — сказал Тамир. «Если эта атака пройдет через устройство Linux, у меня есть способ повлиять на нее».

В долгосрочной перспективе он надеется добиться паритета между несколькими операционными системами.

«Я хочу использовать одни и те же наборы инструментов для всего, чтобы моя автоматизация могла пытаться пресекать атаки повсюду», — продолжил он.

Тамир также хочет расширить места, где Защитник может автоматически защищаться от атак, помимо того, что вы обычно считаете системой безопасности. Это включает в себя работу с командой ядра Windows, чтобы получить больше информации, чем было в журналах устройств, а также работу с командой Azure AD для автоматического управления доступом к устройствам.

«Я хочу контролировать не только конечную точку, но и брандмауэр конечной точки, — сказал Тамир. «Мне нужен контроль над системой идентификации: мне нужен прямой контроль над условным доступом, и Azure AD фактически дает нам это. Я хочу иметь то же самое в Active Directory, даже если у клиента нет Azure AD. Я хочу контролировать практически любой объект, который только могу, и моя мечта состоит в том, что однажды я смогу использовать наше решение SIEM, Sentinel, чтобы распространить его на другие продукты, не являющиеся продуктами Microsoft».

Тамир также хочет решить одну из основных проблем: насколько сложной и трудоемкой является правильная настройка устройств и служб вручную.

«Конфигурация нуждается в капитальном ремонте», — сказал он. «Тот факт, что все делается вручную, ужасен. Это должно прекратиться, и я работаю над тем, чтобы это исправить».


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE