Trace Id is missing
Преминаване към основното съдържание
Security Insider

Защитата е толкова добра, колкото е добро вашето разузнаване за заплахи

Споделяне
Син щит с бял катинар върху него

Сега още по-силен с ИИ

Дългогодишните наблюдатели на киберсигурността знаят колко разочароваща може да бъде борбата за напредък. Нашата професия изисква постоянна бдителност, а увереността в добре свършената работа може да бъде нищожна или една забележима. Лошите новини преобладават в заглавията на вестниците и в отчетите има изобилие от песимизъм, но всеки ден виждаме успешни истории в областта на киберсигурността.

Всеки ден нашите защитници тихо споделят информация. Всеки ден те затрудняват престъпленията за нападателите и техните огромни престъпни синдикати. Всеки ден те използват значителните си умения и талант, за да откриват престъпниците по-бързо и да ги изгонват по-бързо.

Разузнаването на заплахите (TI) действа, а средното време за престой на противника продължава да намалява. Сегашното 20-дневно ниво отбелязва значителна промяна в сравнение с времето, когато нападателите можеха да останат незабелязани в продължение на месеци.

За тази разлика можем да благодарим на подобреното разузнаване за заплахи. Можем да благодарим на подобрените инструменти. Можем да благодарим на подобрените ресурси. И когато обединим тези сили – по-конкретно разузнаването на заплахите (TI), данните в мащаб и изкуствения интелект (ИИ) – нашето въздействие като защитници ще се ускори и засили.

Данните са начинът, по който защитниците виждат, а нашата виждане никога не е било по-добро. Конкуренцията в облака значително намали разходите за съхранение и търсене на данни, което доведе до огромен напредък в иновациите. По-ниските разходи позволиха да се внедряват сензори с по-висока разделителна способност в целия цифров масив. Възходът на разширеното откриване и реакция (XDR) в комбинация с информация за защита и управление на събития (SIEM) разшири обхвата на данните и сигналите от крайната точка до приложението, идентичността и облака.

По-големият брой сигнали осигурява по-голяма повърхност за разузнаването на заплахите (TI). След това разузнаването на заплахите (TI) захранва ИИ. Разузнаването на заплахите (TI) действа като етикети и данни за обучение на моделите на изкуствения интелект, за да предскажат следващата атака.

Това, което TI може да открие, може да бъде мащабирано с помощта на ИИ.

Интуицията и опитът, които стоят зад интелигентността, могат да бъдат моделирани цифрово с милиони параметри чрез съпоставяне с нашите 65 трилиона сигнала.

Microsoft прилага ориентиран към противника подход към разузнаването на заплахите. Активно проследяваме повече от 300 уникални извършители, представляващ заплаха, включително повече от 160 групи, свързани с атаки, насочвани от държави, както и повече от 50 групировки за рансъмуер.

Тази работа изисква креативност и иновативност, както и приноса на голям брой многопрофилни сътрудници. Доброто разузнаване за заплахи обединява експерти по киберсигурност и приложни учени, които работят заедно с органи в областта на геополитиката и дезинформацията, за да осмислят цялостния облик на своите противници, така че да могат да разберат какво представлява дадена атака, когато тя се случи, и да разберат защо, къде и какви последствия може да има тя.

Доклад на Security Insider

За да видите най-доброто разузнаване за заплахи в действие, изтеглете Една година руска хибридна война в Украйна.

Изкуственият интелект (ИИ) помага за увеличаване на мащаба на защитата според степента на атаката. С помощта на ИИ управляваните от човека атаки с рансъмуер могат да бъдат прекъснати още по-рано, превръщайки сигналите с ниска степен на достоверност в система за ранно предупреждение.

Разследващият персонал свързва отделни улики, за да се установи, че се извършва атака. Това отнема време. Но в ситуации, в които времето е оскъдно, процесът на определяне на злонамереност може да се извърши със скоростта на ИИ. Изкуственият интелект дава възможност за свързване на контекста.

Подобно на начина, по който разследващият персонал мисли на множество нива, можем да комбинираме три вида входни данни, базирани на ИИ, за да откриваме атаки с рансъмуер в началото на ескалирането им.

  • На ниво организация ИИ използва времеви поредици и статистически анализ на аномалии
  • На мрежово ниво ИИ изгражда графичен изглед, за да идентифицира злонамерена дейност в различни устройства
  • На ниво устройство ИИ използва мониторинг на поведението и TI, за да се идентифицира активност с висока степен на достоверност

Акцент върху рансъмуера: Разговор с Джесика Пейн

Най-добрата новина за рансъмуера е, че той до голяма степен е предотвратима заплаха. Голям брой съобщения за рансъмуер се фокусират върху полезните товари на рансъмуера, което може да го направи да изглежда като безкрайно нарастваща заплаха от десетки нападатели, но всъщност това е подгрупа от нападатели, които използват едни и същи техники, превключвайки между наличните полезни товари на рансъмуер като услуга.

Като се фокусираме върху участниците в атаките в сравнение с полезните товари, можем да покажем, че повечето нападатели, които разпространяват рансъмуер, не използват магически умения и не разработват специални програмни средства от типа „уязвимост от нулевия ден“; те се възползват от общи слабости в сигурността.

Голяма част от нападателите използват едни и същи техники, така че можете да видите къде заплахите се припокриват и да приложите мерки за намаляване на риска от тях. Почти всяка атака с рансъмуер е свързана с атакуващи, които получават достъп до идентификационни данни от високо привилегировано ниво, например администратор на домейн или акаунт за внедряване на софтуер, но това е нещо, което можете да решите с помощта на вградени инструменти като групови правила, регистри на събитията, както и правила за намаляване на повърхността на атака (НПА).

В някои организации, които са активирали правилата за НПА, инцидентите са намалели със 70%, което означава по-малка натоварване на SOC и по-малко шансове за нападателите да получат първоначален достъп, за да разрушат защитата им. Организациите, които се справят успешно с рансъмуер, са тези, които се фокусират върху този тип засилване на защитата.

Превантивната работа е от съществено значение.

Едно от нещата, които обичам да казвам, е, че превенцията и откриването не са равностойни. Превенцията е настойник на откриването, защото успокоява мрежата и ви дава възможност да откриете най-важните неща.

Като цяло разузнаването на заплахите в правилните ръце прави разликата при предотвратяването на атака или автоматичното и прекъсване.

Научете повече за това как да защитите организацията си от ransomware и прочетете пълния доклад.

Група хора, които се разхождат по цветни блокчета
Актуални

Ориентиране в киберзаплахите и укрепване на защитата в ерата на ИИ

Напредъкът в областта на изкуствения интелект (ИИ) представлява както нови заплахи, така и възможности за киберсигурността. Открийте как извършителите, представляващи заплаха, използват ИИ, за да извършват по-сложни атаки, след което прегледайте най-добрите практики, които помагат за защита срещу традиционни киберзаплахи и киберзаплахи, активирани с помощта на ИИ.
Научете повече

Днес навлизаме в нова ера в подобряването на защитата с помощта на ИИ. Машинното обучение е често срещано явление в технологиите за защита днес. Но досега ИИ се използваше предимно дълбоко в технологиите. Клиентите се възползваха от ролята му за защита, но не можеха да взаимодействат директно с него, и това сега се промени.

Преминаваме от свят на ИИ, базиран на задачи, в който той е добър в откриването на фишинг или атака с „пръскане с пароли“, към свят на генеративен ИИ, изграден на основата на модели, които повишават квалификацията на защитниците навсякъде.

Комбинацията от TI и ИИ помага на защитниците да работят по-бързо от когато и да било преди. С нетърпение очаквам да видя какво ще правите с нея. Каквото и да стане, зная, че заедно ще защитим по-добре планетата.

Свързани статии

В защита на Украйна: Първи поуки от кибервойната

Последните констатации в продължаващите ни усилия за разузнаване на заплахите по време на войната между Русия и Украйна, както и поредица от изводи от първите четири месеца, засилват необходимостта от постоянни и нови инвестиции в технологии, данни и партньорства в подкрепа на правителствата, компаниите, неправителствените организации и университетите.
Научете повече

Три начина да се защитите от рансъмуер

Съвременната защита срещу рансъмуер изисква много повече от просто взимане на мерки за откриване. Открийте най-добрите три начина, по които можете да засилите защитата на мрежата си срещу рансъмуер днес.
Научете повече

Научете основите на проактивното търсене на заплахи

Когато става въпрос за киберзащита, бдителността ви помага. Ето как да откривате проактивно, да идентифицирате и да смекчавате нови и възникващи заплахи.
Научете повече

Следвайте Microsoft Security