直接從 Microsoft 威脅情報播客上的專家那裡獲得見解。 立即收聽.
長期關注網路安全性的觀察家都知道,爭取進度的鬥爭能多麼令人沮喪。我們的職業需要時刻保持警惕,也難以確定工作是否做得好。壞消息佔據了頭條新聞,厄運和悲觀的報導比比皆是,但我們每天都能看到網路安全的成功案例。
每天,我們的防禦者都會悄悄地分享資訊。他們每天都在提高攻擊者及其龐大的犯罪集團的犯罪成本。每天,他們都利用自身專精的技能和才能更快地找到罪犯並更快地驅逐他們。
威脅情報 (TI) 有效,對手停留時間的中位數繼續下降。與攻擊者可能潛伏數月未被發現時相比,目前的 20 天水準意味著顯著變化。
我們可將這種差異歸功於更好的情報。我們可以感謝更好的工具。我們可以感謝更好的資源。當我們將這些力量集聚之時——特別是 TI、大規模數據和人工智慧 (AI),我們作為防禦者的影響將加速和擴大。
資料是防禦者的視度,我們的視野從未如此美好。雲競爭大大降低了保存和查詢資料的成本,從而實現了創新的巨大飛躍。較低的成本使得在整個數字資產中部署更高解析度的感應器成為可能。XDR+SIEM 的興起將資料和訊號從端點擴展到應用程式、身分識別和雲。
訊號越多,TI 的介面區就越大。然後,該 TI 為 AI 提供資訊。TI 充當 AI 模型的標籤和訓練資料,以預測下一次攻擊。
TI 能找到什麼,AI 就可幫助擴展什麼。
針對我們的 65 萬億個訊號,智慧勝利背後的直覺和經驗可以使用數百萬個參數進行數位建模。
Microsoft 採用以對手為中心的威脅情報方法。我們積極跟蹤 300 多個獨特的威脅執行者,包括 160 多個與民族國家有聯繫的群組和 50 多個勒索軟體集團。
這項工作需要創造力和創新,以及多位多學科參與者的貢獻。良好的威脅情報將人們集聚一堂,網路安全專家和應用科學家與地緣政治和虛假資訊領域的權威合作,從整體上考慮他們的對手,這樣他們就可以了解攻擊發生時的情況,並直觀地知道接下來可能發生的情況的原因和地點。
人工智慧 (AI) 有助於以攻擊速度擴展防禦。借助人工智慧,人為操作的勒索軟體攻擊可以更快地被破壞,將低置信度信號轉化為早期預警系統。
人工調查人員將各個線索拼湊在一起,以意識到攻擊正在發生。這需要時間。但在時間緊迫的情況下,確定惡意意圖的過程可以 AI 的速度完成。人工智慧使將連結執行內容成為可能。
就像人工調查人員在多個層面上思考一樣,我們可以結合三種基於人工智慧的輸入,在升級開始時發現勒索軟體攻擊。
關於勒索軟體最好的消息是,它在很大程度上是一種可預防的威脅。許多關於勒索軟體的報告都集中在勒索軟體承載上,這可能使它看起來像是數十名攻擊者的無休止的擴展威脅,然而實際上,它是攻擊者的子集,他們使用相同的技術,但在可用的勒索軟體即服務有效承載之間切換。
通過關注攻擊背後的執行者與承載,我們可以表明,大多數部署勒索軟體的攻擊者並沒有使用魔法技能或開發定製的零時差惡意探索;他們正在利用常見的安全漏洞。
許多攻擊者使用相同的技術,因此您可以查看威脅重疊的位置並針對它們應用緩解措施。幾乎每一次勒索軟體攻擊都涉及攻擊者獲得對高權限登入資訊(如域管理員或軟體部署帳戶)的訪問權限,而這可以通過群組策略、事件記錄檔和受攻擊面縮小 (ASR) 規則等內置工具解決。
在一些啟用了 ASR 規則的組織中,他們發現事件減少了 70%,這意味著 SOC 疲勞更少,攻擊者獲得初始登入權限以削弱其防禦的機會也更少。成功抵禦勒索軟體的組織是專注於這類強化的組織。
防護工作至關重要。
我想說的一件事是,防護和檢測不是對等的。防護是檢測的守護者,因為它使網路安靜下來,給您留出空白,並查找最重要的事情。
總而言之,威脅情報掌握在正確的人員手中,在防止攻擊或自動中斷攻擊方面發揮了重要作用。
深入了解如何保護您的組織免受勒索軟體的侵害,並閱讀完整報告。
今天,我們正步入人工智慧提高安全性的新時代。機器學習在當今的防禦技術中司空見慣。但迄今為止,人工智慧主要深入到技術內部。客戶從其保護作用中受益,但無法直接與之交互,而這種情況已經改變。
我們正在從一個擅長檢測網路釣魚或密碼噴灑的基於任務的人工智慧世界轉變為一個基於基礎模型的生成式 AI 世界,這些模型可以提高各地防禦者的技能。
TI 和 AI 相結合,幫助防禦者比以往任何時候都搶先一步。我很想知道您會用它做什麼。不管如何,我知道,我們團結一致,將更好地保護地球。
關注 Microsoft