Blog's

Microsoft mejora las protecciones basadas en IA en Microsoft Defender para Endpoint con una gama de técnicas especializadas de aprendizaje automático

Estás leyendo la publicación: Microsoft mejora las protecciones basadas en IA en Microsoft Defender para Endpoint con una gama de técnicas especializadas de aprendizaje automático

La superficie de ataque del ransomware para las empresas es amplia y se expande y cambia rápidamente. Para cuantificar el riesgo de manera efectiva, se deben procesar hasta varios cientos de miles de millones de señales variables en el tiempo, según el tamaño de su negocio.

Limitar el impacto de los ataques de ransomware en las empresas objetivo, incluidos los trastornos económicos y la extorsión, requiere una detección y prevención tempranas de estos ataques. Microsoft mejora constantemente las soluciones que ofrece para proteger a los clientes en función de su comprensión integral de los ataques de ransomware operados por humanos, que cuentan con el respaldo de una sólida economía de conciertos para el ciberdelito. Tienen una comprensión única de estos riesgos debido a su hábil observación de los actores de amenazas, la investigación de ataques reales de ransomware y el conocimiento obtenido de los miles de millones de señales que la nube de Microsoft analiza diariamente. Por ejemplo, rastrean las operaciones de ransomware operadas por humanos como una serie de comportamientos dañinos que terminan con la distribución de ransomware en lugar de cargas útiles de malware individuales.

Microsoft mejoró las protecciones basadas en IA en Microsoft Defender para Endpoint con varias técnicas especializadas de aprendizaje automático que encuentran e incriminan rápidamente, es decir, determinan la intención maliciosa con alta confianza, archivos, procesos o comportamientos maliciosos observados durante los ataques activos. Esto se hizo para detener los ataques de ransomware operados por humanos lo antes posible.

Una estrategia de mitigación compleja que requiere un análisis del contexto del ataque y las acciones relacionadas, ya sea en el dispositivo objetivo o dentro de la organización, es la incriminación temprana de entidades, incluidos archivos, cuentas de usuario y dispositivos. Para evaluar si una entidad está conectada a un ataque de ransomware en curso, Defender for Endpoint integra tres niveles de entradas informadas por IA, cada una de las cuales produce una puntuación de riesgo:

  • Analizar alertas a lo largo del tiempo y estadísticamente para buscar anormalidades a nivel organizacional
  • Agregación de eventos sospechosos en todos los dispositivos de la empresa mediante un marco gráfico para detectar comportamientos maliciosos en un grupo de dispositivos
  • Supervisión a nivel de dispositivo para detectar con confianza comportamientos sospechosos
🔥 Recomendado:  Nueva herramienta mejora las pinzas robóticas para la fabricación

Defender for Endpoint, por ejemplo, pudo identificar e incriminar un ataque de ransomware al principio de su proceso de encriptación cuando los atacantes solo tenían archivos encriptados en menos del cuatro por ciento (4 %) de los dispositivos de la organización, lo que demuestra una capacidad mejorada para detener un ataque. y salvaguardar los dispositivos restantes de la organización. Este incidente sirve como un excelente ejemplo de la importancia de condenar rápidamente a las partes sospechosas y detener en seco una operación de ransomware operada por humanos.

Figura 1. Un gráfico que demuestra cómo Microsoft Defender para Endpoint detectó un ataque de ransomware cuando el 3,9 % de las máquinas de la organización tenían datos cifrados. Fuente: https://www.microsoft.com/security/blog/2022/06/21/improving-ai-based-defenses-to-disrupt-human-operated-ransomware/

Este evento demuestra cómo se pueden reducir los ataques de ransomware dentro de una organización mediante la identificación rápida de archivos y procesos sospechosos. Después de una acusación contra un objetivo, Microsoft Defender for Endpoint detiene el ataque a través del bloqueo de bucle de retroalimentación, que emplea Microsoft Defender Antivirus para detener la amenaza en los puntos finales dentro de la empresa. Defender for Endpoint luego defiende a otras empresas utilizando la información de amenazas obtenida durante el ataque del ransomware.

Fig. 2. Descripción general del bloqueo y la incriminación del antivirus de Microsoft Defender utilizando clasificadores de aprendizaje automático basados ​​en la nube | Fuente: https://www.microsoft.com/security/blog/2022/06/21/improving-ai-based-defenses-to-disrupt-human-operated-ransomware/

Detección de anomalías de alarma a nivel de organización

Un ataque de ransomware operado por humanos provoca una gran conmoción en el sistema. Soluciones como Defender para Endpoint activan varias alarmas durante este período después de ver numerosos artefactos maliciosos y actividad en múltiples dispositivos, lo que provoca un pico de alerta. Una sola organización fue el objetivo del ataque que se muestra en la Figura 3.

Fig. 3. Gráfico que muestra un aumento de alarmas durante un ataque de ransomware | Fuente: https://www.microsoft.com/security/blog/2022/06/21/improving-ai-based-defenses-to-disrupt-human-operated-ransomware/

Defender for Endpoint utiliza análisis estadísticos para encontrar cualquier aumento sustancial en el volumen de alertas y análisis de series de tiempo para rastrear la agregación de alertas para ver un ataque a nivel de organización. Cuando las alertas aumentan, Defender for Endpoint examina las advertencias asociadas y aplica un sofisticado modelo de aprendizaje automático para separar los ataques de ransomware genuinos de los picos de alerta ficticios.

🔥 Recomendado:  El glosario de Google Analytics: más de 55 términos y definiciones

Defender for Endpoint busca entidades sospechosas para implicar en función de la relevancia del ataque y se propagan por toda la empresa si las alertas implican actividad indicativa de un ataque de ransomware. La detección a nivel de organización se muestra en la Figura 4.

Fig 4. Introducción a la detección de anomalías organizativas | Fuente: https://www.microsoft.com/security/blog/2022/06/21/improving-ai-based-defenses-to-disrupt-human-operated-ransomware/

Detección de actividades sospechosas en un solo dispositivo con alta confianza

Encontrar un comportamiento sospechoso en un solo dispositivo es la última categoría de detección. Cuando un ataque de ransomware emplea estrategias de evasión, como propagar la actividad a lo largo del tiempo y entre procesos no relacionados, como cuando utiliza señales sospechosas de un solo dispositivo, es posible detectar el ataque. Si las defensas no perciben estos procesos como conectados, un ataque similar puede pasar desapercibido. No se generarán alertas si las señales no son lo suficientemente fuertes para cada eslabón de la cadena del proceso.

Fig. 5. Dos cadenas de procesos distintas que tuvieron lugar en varios períodos conformaron la acción de evasión.

https://www.microsoft.com/security/blog/uploads/securityprod/2022/06/fig7-evasion-actividad.png

Conclusión

La inteligencia artificial y el aprendizaje automático brindan formas creativas de identificar amenazas complejas conocidas por utilizar herramientas y estrategias de vanguardia para permanecer persistentes y esquivas. Los atacantes de campaña operados por humanos juzgan en función de lo que aprenden de sus configuraciones de infiltración. Estos ataques incluyen un componente humano, lo que lleva a varias estrategias de ataque que se desarrollan en función de las posibilidades particulares que los atacantes ven para la escalada de privilegios y el movimiento lateral. Este método de detección avanzado refuerza las defensas contra ransomware ya existentes proporcionadas por Microsoft 365 Defender. Esta creciente capacidad de interrupción de ataques es un excelente ejemplo de la dedicación de Microsoft a usar IA para investigar técnicas de detección de amenazas de vanguardia y fortalecer las defensas organizacionales contra un panorama de amenazas en constante cambio.

🔥 Recomendado:  7 consejos para construir una fuerte cultura de aprecio

Este artículo está escrito como un artículo de resumen por el personal de Marktechpost basado en Microsoft artículo: ‘Mejora de las defensas basadas en IA para interrumpir el ransomware operado por humanos‘. Todo el crédito de esta investigación es para los investigadores de este proyecto. Revisar la entrada en el blog.

Por favor, no olvides unirte a nuestro Subreddit de aprendizaje automático

Echa un vistazo a https://aitoolsclub.com para encontrar 100 de Cool AI Tools

Otros temas interesantes: