Trace Id is missing
Přeskočit na hlavní obsah
Insider zabezpečení

Zabezpečení je jen tak dobré, jak dobrá je vaše analýza hrozeb

Sdílet
Modrý štít s bílým zámkem

Nyní ještě silnější díky AI

Lidé, kteří dlouhodobě sledují kybernetickou bezpečnost, vědí, jak frustrující může být boj o pokrok. Naše profese vyžaduje neustálou ostražitost a jistota dobře odvedené práce může být jen těžko dosažitelná. V novinových titulcích převažují špatné zprávy a hojně se objevují zprávy o zkáze, ale přesto se každý den setkáváme s příběhy o úspěších v oblasti kybernetické bezpečnosti.

Naši obránci každý den v tichosti sdílejí informace. Každý den zvyšují náklady na páchání trestné činnosti pro útočníky a jejich rozsáhlé zločinecké syndikáty. Každý den využívají své značné schopnosti a talent, aby zločince nacházeli rychleji a dříve jim zamezovali v činnosti.

Analýza hrozeb (TI) funguje a průměrná doba pobytu nežádoucích osob se neustále snižuje. Současná dvacetidenní úroveň představuje výraznou změnu oproti době, kdy útočníci mohli nepozorovaně číhat celé měsíce.

Za tento rozdíl můžeme poděkovat lepší analýze hrozeb. Můžeme poděkovat lepším nástrojům. Můžeme poděkovat lepším zdrojům. A když tyto síly spojíme dohromady – konkrétně analýzu hrozeb (TI), rozsáhlá data a umělou inteligenci (AI) – náš vliv v roli obránců se zrychlí a zesílí.

Obránci vidí díky datům a naše vidění nikdy nebylo lepší. Konkurence v oblasti cloudů výrazně snížila náklady na uchovávání dat a dotazování se na tato data, což umožnilo obrovský skok v inovacích. Nižší náklady umožňují nasazení senzorů s vyšším rozlišením napříč všemi digitálními prostředky. Vzestup používání rozšířené detekce a reakce (XDR) a správy akcí a informací o zabezpečení (SIEM) rozšířil práci s daty a signály z koncových bodů do aplikací, identit a cloudu.

Více signálů umožňuje analýze hrozeb (TI) sledovat více možností útoků. Analýza hrozeb (TI) pak poskytuje informace umělé inteligenci (AI). Analýza hrozeb (TI) slouží jako zdroj popisků a trénovacích dat pro modely AI, které předpovídají další útok.

To, co TI dokáže zjistit, může AI pomoct využít ve velkém.

Tuto intuici a zkušenosti, které stojí za vítězstvím analytických funkcí, lze modelovat digitálně s využitím milionů parametrů na základě našich 65 bilionů signálů.

Microsoft přistupuje k analýze hrozeb tak, že se zaměřuje na nežádoucí osoby. Aktivně sledujeme více než 300 jedinečných aktérů hrozeb, včetně více než 160 skupin napojených na státní aktéry a více než 50 ransomwarových gangů.

Tato práce vyžaduje kreativitu a inovace a přispění mnoha spolupracovníků z různých oborů. Kvalitní analýza hrozeb spojuje různé lidi – odborníky na kybernetickou bezpečnost a aplikované vědce, kteří spolupracují s úřady v oblasti geopolitiky a dezinformací, aby mohli zvážit celkový kontext, ve kterém se nežádoucí osoby pohybují, a dokázali pochopit, co je příčinou útoku, když k němu dochází, a vytušit, proč a kde by se mohlo stát něco dalšího.

Studie Security Insider

Pokud se chcete podívat na příklad špičkové analýzy hrozeb v praxi, stáhněte si studii A year of Russian hybrid warfare in Ukraine.

Umělá inteligence (AI) pomáhá rozšiřovat obranu podle rychlosti útoku. Díky AI můžou být ransomwarové útoky řízené lidmi narušeny ještě dříve a signály s nízkou důvěryhodností se můžou stát systémem včasného varování.

Lidé musí při prověřování skládat jednotlivé stopy, aby si uvědomili, že dochází k útoku. To vyžaduje čas. Ale v situacích, kdy je čas vzácný, může být proces určování zlého úmyslu proveden rychlostí umělé inteligence. Umělá inteligence umožňuje propojovat kontext.

Stejně jako lidé uvažují při prověřování na více úrovních, můžeme kombinovat tři druhy vstupů poskytovaných AI, abychom našli ransomwarové útoky na začátku jejich eskalace.

  • Na úrovni organizace využívá AI časové řady a statistickou analýzu anomálií.
  • Na úrovni sítě vytváří grafické zobrazení pro identifikaci škodlivých aktivit napříč zařízeními.
  • Na úrovni zařízení využívá monitorování chování a analýzu hrozeb k identifikaci aktivit s vysokou důvěryhodností.

Ransomware v centru pozornosti: rozhovor s Jessicou Payne

Nejlepší zprávou týkající se ransomwaru je, že lze této hrozbě do velké míry předcházet. Mnoho zpráv o ransomwaru se soustředí na škodlivou činnost ransomwaru, takže to může působit jako nekonečně se rozšiřující hrozba desítek útočníků. Ve skutečnosti se jedná o podskupinu útočníků, kteří používají stejné techniky, ale přecházejí mezi dostupnými možnostmi služeb typu Ransomware-as-a-Service.

Pokud se zaměříme na aktéry stojící za útoky a na škodlivou činnost těchto útoků, můžeme ukázat, že většina útočníků, kteří nasazují ransomware, nevyužívá žádné kouzelné dovednosti ani nevyvíjí na míru vytvářené útoky nultého dne, ale že využívají běžná slabá místa zabezpečení.

Mnoho útočníků používá stejné techniky, takže můžete zjistit, kde se hrozby překrývají, a použít proti nim prostředky pro zmírnění. Téměř každý útok ransomwaru je založen na tom, že útočníci získají přístup k vysoce privilegovaným přístupovým oprávněním, jako je účet správce domény nebo účet pro nasazování softwaru. To můžete ošetřit pomocí integrovaných nástrojů, jako jsou zásady skupiny, protokoly událostí a pravidla pro omezení potenciální oblasti útoku.

V některých organizacích, které zavedly používání pravidel pro omezení potenciální oblasti útoku, došlo k 70% snížení počtu incidentů, což znamená menší únavu týmu SOC a menší šanci útočníků získat počáteční přístup a narušit obranu. Organizace, které jsou úspěšné v boji proti ransomwaru, se zaměřují na tento typ posílení zabezpečení.

Zásadní je prevence.

Jednou z věcí, které s oblibou říkám, je, že prevence a detekce nejsou na stejné úrovni. Prevence je strážcem detekce, protože uklidňuje prostředí sítě a dává vám prostor k nacházení těch nejdůležitějších věcí.

Celkově lze říci, že analýza hrozeb ve správných rukou rozhoduje o tom, jestli útoku zabráníte nebo ho automaticky přerušíte.

Získejte další informace o tom, jak můžete chránit organizaci před ransomwarem, a přečtěte si celou studii.

Skupina lidí kráčející po barevných blocích
Doporučené

Navigace světem kybernetických hrozeb a posílení obrany v éře AI

Pokroky v oblasti umělé inteligence (AI) představují nové hrozby a tím i příležitosti pro kybernetickou bezpečnost. Zjistěte, jak aktéři hrozeb využívají AI k provádění sofistikovanějších útoků, a pak si projděte osvědčené postupy, které pomáhají chránit před tradičními kybernetickými hrozbami a hrozbami využívajícími AI.
Další informace

V dnešní době vstupujeme do nové éry zlepšování zabezpečení pomocí AI. Využívání strojového učení je dnes v obranných technologiích běžné. AI se však doposud používala především hluboko v technologiích. Zákazníci měli prospěch z její role v rámci ochrany, ale nemohli s ní přímo komunikovat. To se změnilo.

Ze světa AI založené na úkolech, která umí dobře odhalovat útoky phishing nebo password spray, se posunujeme do světa generativní AI postavené na základních modelech, které zvyšují schopnosti obránců ve všech oblastech.

Spojení analýzy hrozeb (TI) a umělé inteligence (AI) pomáhá obráncům jednat rychleji než kdykoli dříve. Už se těším na to, co s těmito možnostmi uděláte. Ať už je to cokoli, vím, že společně dokážeme lépe chránit planetu.

Související články

Obrana Ukrajiny: První lekce z kybernetické války

Nejnovější poznatky v rámci naší přetrvávající snahy o analýzu hrozeb ve válce mezi Ruskem a Ukrajinou spolu se závěry z prvních čtyř měsíců války posilují potřebu nových investic do technologie, dat a spolupráce s cílem podpořit vlády, firmy, nestátní neziskové organizace a univerzity.
Další informace

Tři způsoby ochrany před ransomwarem

Moderní obrana proti ransomwaru vyžaduje mnohem více než jen nastavení opatření na detekci. Objevte tři hlavní způsoby, jak můžete okamžitě posílit zabezpečení své sítě proti ransomwaru.
Další informace

Seznamte se se základy proaktivního vyhledávání hrozeb

Kybernetická bezpečnost se neobejde bez ostražitosti. Zde se dozvíte, jak proaktivně vyhledávat, identifikovat a zmírňovat nové a vznikající hrozby.
Další informace

Sledujte Microsoft