I kampen mod ransomware har forsvarere brug for enhver fordel, de kan få. Microsoft har for nyligt meddelt at Microsoft Defender for Endpoint nu automatisk vil kunne forhindre menneskestyret angreb så som ransomware meget tidligt i angrebskæden uden behov for at implementere andre kapaciteter.

Organisationer behøver nu kun at implementere deres enheder i Defender for Endpoint for at begynde at realisere fordelene ved angrebsforstyrrelse, hvilket bringer denne udvidede detektion og respons (XDR) AI-drevne kapacitet inden for rækkevidde af endnu flere.

Hvordan klarer Microsoft Defender helt præcist dette?

Den automatiske angrebsforstyrrelse bruger signaler på tværs af Microsoft 365 Defender arbejdsbyrder (identiteter, slutpunkter, e-mail og software som en service [SaaS] apps) til at forstyrre avancerede angreb med høj sikkerhed.

Kort sagt, hvis begyndelsen af et menneskestyret angreb opdages på en enkelt enhed, vil angrebsforstyrrelse samtidig stoppe kampagnen på den enhed og vaccinere alle andre enheder i organisationen. Angriberen har ingen steder at gå hen.

Angrebsforstyrrelse opnår dette resultat ved at begrænse kompromitterede brugere på tværs af alle enheder for at overgå angribere, før de får chancen for at handle ondsindet, såsom at bruge konti til at bevæge sig lateralt, udføre stjålet legitimationsoplysninger, dataeksfiltrering og kryptering eksternt. Denne som standard aktiverede kapacitet vil identificere, hvis den kompromitterede bruger har nogen tilknyttet aktivitet til nogen anden slutpunkt og straks afbryde al ind- og udgående kommunikation, i det væsentlige indeslutte dem.

Selv hvis en bruger har den højeste tilladelsesniveau og normalt ville være uden for en sikkerhedskontrols rækkevidde, vil angriberen stadig være begrænset fra at få adgang til nogen enhed i organisationen. Som et resultat af denne decentraliserede beskyttelse har angrebsforstyrrelse reddet 91 procent af målrettede enheder fra krypteringsforsøg.

Indtil nu har det været en betydelig udfordring for virksomheder at at opdage disse kampagner tidligt, da angribere typisk udfører aktiviteter forklædt som normal brugeradfærd. Så eftersigende såkan Microsoft 365 Defender altså automatisk forstyrre dem døgnet rundt, selv når dit sikkerhedsteam måske er offline.

Understøttet af Microsofts brede vifte af signaler og dyb brugeradfærdanalyse har sikkerhedsteams nu et robust nyt værktøj til nemt at stoppe sofistikerede ransomware-angribere i skala.

Ransomware er en af de mest almindelige menneskestyrede angreb som organisationer står over for. I 2022 var der næsten 236,7 millioner ransomware-angreb på verdensplan. Med stigende volumen og indvirkning af angreb som ransomware har sikkerhedsanalytikere brug for den sofistikerede automatisering af tidligere manuelle reaktioner, som angrebsforstyrrelse tilbyder for effektivt at skalere deres forsvar.

Udover ransomware dækker angrebsforstyrrelse de mest udbredte komplekse angreb, herunder forretnings-e-mail-kompromis og modstander-i-midten. Disse scenarier involverer hver en kombination af angrebsvektorer som slutpunkter, e-mail, identiteter og apps, hvilket udgør en betydelig udfordring for sikkerhedsteams at præcist pege på, hvor angrebet kommer fra. De fleste sikkerhedsleverandører mangler den højfidelitetssignal til nøjagtigt at identificere, om et angreb overhovedet finder sted, og kan endnu mindre tage forstyrrelsesforanstaltninger.

Automatisk angrebsforstyrrelse løser dette problem ved selvsikkert at opdage og forstyrre ved angrebskilden og giver forsvarere tid til at reagere, før angriberen kan påføre skade. Så det bliver spænende at se den praktisk anvendelse af disse nye features, og vi følger spændte med.