Microsoft rozszerza ochronę i zautomatyzowane zapobieganie atakom na kampanie wykorzystujące metody BEC i ransomware

Na zeszłorocznych targach Ignite, Microsoft opowiedział o możliwości swojego programu 365 Defender, który automatycznie wykrywa i przerywa cyberatak, gdy jest on jeszcze w toku, mając nadzieję, że zatrzyma lub zmniejszy powstałe szkody. Teraz rozszerza tę funkcję na dodatkowe obszary ryzyka.

Funkcja automatycznego przerywania ataków adresowana do korporacyjnych centrów operacyjnych bezpieczeństwa (SOC) wykorzystuje miliony punktów danych i sygnałów, aby zidentyfikować aktywne kampanie złośliwego oprogramowania – w tym ransomware – i podjąć kroki w celu automatycznego odizolowania atakowanego urządzenia od sieci oraz zawieszenia kont naruszonych przez napastników. Microsoft zwiększył możliwości automatycznego przerywania ataków, aby objęły też ataki typu business email compromise (BEC) i human-operated ransomware (HumOR).

„Business email compromise i ataki human-operated ransomware to dwa powszechne scenariusze ataków, które są teraz wspierane przez funkcje automatycznego przerywania ataków Microsoft 365 Defender, aby zmniejszyć ich wpływ na organizację” – napisał w poście Eval Haik, starszy menedżer produktu w Microsoft.

Przestępcy prowadzący kampanie BEC biorą na cel organizacje i wykorzystują techniki inżynierii społecznej, aby podstępnie zmusić ofiary w firmie do nieumyślnego pobrania złośliwego oprogramowania, żądania płatności od sprzedawców lub przelania środków na konto kontrolowane przez napastnika. Raport FBI z zeszłego roku mówił, że w latach 2016-2021 na całym świecie doszło do 241 206 incydentów BEC, które kosztowały organizacje ponad 43,3 mld dolarów.

W atakach HumOR – w przeciwieństwie do zautomatyzowanych kampanii ransomware – przestępcy dostają się do firmowych systemów on-premises lub infrastruktury chmury, podnoszą uprawnienia, przemieszczają się na boki i wdrażają ransomware na masową skalę. Ataki są skierowane raczej na całą organizację niż na pojedyncze urządzenia i obejmują kradzież danych uwierzytelniających oraz wdrożenie oprogramowania ransomware.

Firma Microsoft odkryła, że gdy tylko haker wdroży w sieci oprogramowanie ransomware, analityka SOC ma mniej niż 20 minut na złagodzenie ataku. Od momentu, gdy pracownik kliknie na link phishingowy do momentu, gdy atakujący uzyska pełny dostęp do skrzynki odbiorczej użytkownika i będzie przemieszczał się przez sieć, może minąć mniej niż nawet dwie godziny.

„Ten wąski przedział czasowy, w połączeniu z wysokimi umiejętnościami technicznymi i czasem wymaganym do przeprowadzenia analizy, sprawia, że ręczne reagowanie jest prawie niemożliwe” – napisał Eval Haik.

Microsoft Defender 365 wykorzystuje możliwości wykrywania oparte na sztucznej inteligencji, aby skorelować szereg sygnałów rozszerzonego wykrywania i reagowania (XDR) w punktach końcowych, tożsamościach, poczcie elektronicznej i aplikacjach typu software-as-a-service (SaaS) w celu zidentyfikowania cyberataków. Dostępne są również analizy identyfikujące złośliwe działania, począwszy od kradzieży danych uwierzytelniających, poprzez ruchy boczne, aż po manipulowanie produktami.