Trace Id is missing
Salt la conținutul principal
Security Insider

Securitatea nu poate fi mai bună decât investigarea amenințărilor

Distribuiți
Un scut albastru cu un lacăt alb pe el

Acum și mai puternic cu inteligență artificială

Experții în securitate cibernetică știu cât de frustrantă poată fi lupta pentru progres. Profesia noastră cere vigilență constantă, iar siguranța că treaba este bine făcută poate fi, mai presus de toate, înșelătoare. Veștile proaste domină titlurile principale, iar rapoartele pesimiste abundă, dar vedem în fiecare zi povești de succes în domeniul securității cibernetice.

În fiecare zi, apărătorii noștri distribuie discret informații. În fiecare zi, aceștia cresc costul infracțiunii pentru atacatori și vastele lor sindicate infracționale. În fiecare zi, își valorifică talentul și competențele extraordinare pentru a găsi infractorii mai rapid și a-i evacua mai devreme.

Investigarea amenințărilor (TI) funcționează, iar durata medie de influență a adversarilor continuă să scadă. Nivelul actual de 20 de zile reprezintă o schimbare majoră față de vremurile în care atacatorii stăteau la pândă nedetectați cu lunile.

Putem mulțumi informațiilor mai bune pentru această diferență. Putem mulțumi instrumentelor mai bune. Putem mulțumi resurselor mai bune. Iar atunci când aducem laolaltă aceste forțe, mai ales TI, date la scară largă și inteligență artificială (AI), impactul nostru ca apărători va accelera și se va amplifica.

Datele depind de cum văd apărătorii, iar vederea noastră nu a fost niciodată mai bună de-atât. Competiția din cloud a tras în jos considerabil costul deținerii și interogării datelor, permițând salturi uriașe în materie de inovații. Costurile reduse au făcut posibilă implementarea unor senzori cu rezoluție mai bună în mediul digital. Ascensiunea XDR+SIEM a extins datele și semnalele de la punctul final la aplicații, identitate, cloud.

Cu cât sunt mai mulți furnizori de semnale, cu atât este mai mare aria suprafeței pentru investigarea amenințărilor. Această investigare a amenințărilor alimentează apoi inteligența artificială. Investigarea amenințărilor se comportă ca etichete și date de instruire pentru ca modelele de inteligență artificială să prezică următorul atac.

Ce poate descoperi investigarea amenințărilor, inteligența artificială poate scala.

Intuiția și experiența din spatele unei reușite a inteligenței pot fi modelate digital cu milioane de parametri pe fondul a 65 de mii de miliarde de semnale pe care le avem.

Microsoft are o abordare centrată pe adversar în materie de investigarea amenințărilor. Monitorizăm activ peste 300 de actori de amenințare unici, inclusiv peste 160 de grupuri afiliate statelor naționale și peste 50 de bande ransomware.

Această muncă presupune creativitate, inovație și contribuțiile multor colaboratori multidisciplinari. O bună investigare a amenințărilor aduce laolaltă experții în securitate cibernetică și oamenii de științe aplicate, care lucrează cu autoritățile din geopolitică și dezinformare pentru a avea o privire de ansamblu asupra dușmanilor și pentru a putea înțelege dedesubturile unui atac atunci când are loc și pentru a intui de ce și unde s-ar putea repeta.

Raport Security Insider

Pentru a vedea cea mai bună investigare a amenințărilor la lucru, descărcați Un an de război rusesc hibrid în Ucraina.

Inteligența artificială contribuie la scalarea apărării la rata atacurilor. Cu inteligența artificială, atacurile ransomware operate de oameni pot fi întrerupte și mai devreme, transformând semnalele cu grad scăzut de încredere într-un sistem timpuriu de avertizare.

Investigatorii umani pun cap la cap indicii individuale pentru a-și da seama când are loc un atac. Asta durează. Dar, în situațiile în care timpul este limitat, procesul de determinare a intențiilor rele se poate realiza cu viteza inteligenței artificiale. Inteligența artificială face posibilă conectarea și asamblarea contextului.

Așa cum investigatorii umani gândesc pe mai multe niveluri, putem combina trei feluri de intrări informate de inteligență artificială pentru a găsi atacurile ransomware înainte să escaladeze.

  • La nivelul organizației, inteligența artificială folosește seria cronologică și analiza statistică a anomaliilor
  • La nivelul rețelei, construiește o vizualizare grafică pentru a identifica activitatea rău intenționată pe toate dispozitivele
  • La nivelul dispozitivului, folosește monitorizarea comportamentului și identificarea amenințărilor pentru a identifica activitatea cu grad de încredere ridicat

Ransomware în prim plan: O conversație cu Jessica Payne

Cea mai bună veste despre ransomware este aceea că, în mare parte, reprezintă o amenințare ce poate fi prevenită. O mare parte din raportarea despre ransomware se concentrează pe sarcini malware, ceea ce poate da impresia unei amenințări care crește la nesfârșit, cu zeci de atacatori. În realitate, este vorba despre un grup redus de atacatori care folosesc aceleași tehnici, dar trec de la o sarcină disponibilă de ransomware ca serviciu la alta.

Concentrându-ne pe actorii din spatele atacurilor în loc de sarcini, putem arăta că majoritatea atacatorilor care implementează ransomware nu folosesc puteri magice și nu dezvoltă exploatări cu vulnerabilitate ziua 0 la comandă, ci profită de punctele slabe comune în materie de securitate.

Mulți atacatori folosesc aceleași tehnici, așa că puteți vedea unde se suprapun amenințările și puteți aplica reduceri ale riscului pentru acestea. Aproape fiecare atac ransomware implică obținerea accesului de către atacatori la o informație de conectare de rang înalt, cum ar fi administratorul unui domeniu sau un cont de implementare software, iar asta e ceva ce puteți rezolva cu instrumente încorporate cum ar fi politicile de grup, jurnalele de evenimente și regulile pentru reducerea suprafeței de atac (ASR).

Unele organizații care au implementate reguli ASR au văzut o scădere de 70% a numărului de incidente, ceea ce înseamnă mai puțină uzură a centrelor de operațiuni de securitate și mai puține șanse ca atacatorii să obțină accesul inițial pentru a le știrbi puțin câte puțin apărarea. Organizațiile care au succes în fața ransomware-ului sunt cele care se concentrează pe acest tip de întărire.

Activitatea de prevenire este esențială.

Am spus-o și o mai spun o dată: prevenția și detectarea nu trebuie confundate. Prevenția este gardianul detectării, pentru că liniștește rețeaua și vă oferă spațiul necesar pentru a găsi ce contează.

Pe scurt, investigarea amenințărilor, atunci când este pe mâini bune, face diferența în prevenirea unui atac sau întreruperea sa automată.

Aflați mai multe despre cum să vă protejați organizația de ransomware și citiți raportul complet.

Un grup de persoane mergând pe blocuri colorate
Recomandări

Navigarea printre amenințările cibernetice și întărirea apărării în epoca inteligenței artificiale

Avansurile în inteligența artificială prezintă noi amenințări (și oportunități) pentru securitatea cibernetică. Descoperiți cum folosesc actorii de amenințare inteligența artificială pentru a desfășura atacuri mai sofisticate, după care examinați cele mai bune practici care ajută la protejarea împotriva amenințărilor cibernetice tradiționale și pe bază de inteligență artificială.
Aflați mai multe

Astăzi, intrăm într-o nouă epocă în care inteligența artificială îmbunătățește securitatea. Învățarea programată este ceva obișnuit în tehnologia defensivă din zilele noastre. Dar, până acum, inteligența artificială a fost în principal ascunsă adânc în tehnologie. Clienții beneficiau de pe urma rolului ei în protecție, dar nu puteau interacționa cu ea direct, iar acest lucru s-a schimbat.

Trecem de la o lume a inteligenței artificiale pe bază de sarcini, bună pentru detectarea phishing-ului și a spray-ului de parole, la o lume a inteligenței artificiale generative, construită pe modele de bază care îmbunătățesc competențele apărătorilor de pretutindeni.

Investigarea amenințărilor și inteligența artificială se combină pentru a ajuta apărătorii să avanseze mai rapid ca niciodată. M-ar încânta să văd ce veți face cu asta. Orice-ar fi, știu că împreună vom proteja mai bine planeta.

Articole asociate

Apărând Ucraina: Primele lecții din războiul cibernetic

Cele mai recente descoperiri în efortul nostru continuu de investigare a amenințărilor în războiul dintre Rusia și Ucraina, precum și o serie de concluzii din primele patru luni ale acestuia, subliniază nevoia unor investiții noi și constante în tehnologie, date și parteneriate pentru a sprijini guvernele, companiile, ONG-urile și universitățile.
Aflați mai multe

Trei moduri prin care vă puteți proteja de ransomware

Apărarea modernă împotriva ransomware-ului necesită mai mult decât configurarea măsurilor de detectare. Descoperiți principalele trei moduri prin care puteți să vă întăriți astăzi securitatea rețelei împotriva ransomware-ului.
Aflați mai multe

Învățați ABC-ul căutării active a amenințărilor

Când vine vorba de securitatea cibernetică, vigilența ajută. Iată cum să căutați activ, să identificați și să reduceți riscul unor noi amenințări.
Aflați mai multe

Urmăriți Microsoft