in

Microsoft Defender 365: Automatización para combatir ataques automatizados

El logotipo de Microsoft 365 Defender en una computadora.

El logotipo de Microsoft 365 Defender en una computadora.
Imagen: monticellllo/Adobe Stock

Cuando piensa en todo en su organización que necesita para defenderse de los atacantes, es fácil generar una lista de servidores, PC, almacenes de archivos, usuarios y más que podrían verse afectados, pero los atacantes los ven como un gráfico de recursos. que están todos conectados. Comprometer uno de ellos conduce a otras partes de su infraestructura. Cada vez más, los atacantes se mueven a través de sus herramientas conectadas con kits de herramientas automatizados, scripts y recursos en la nube.

Ahora, los equipos de seguridad pueden hacer lo mismo, porque Microsoft 365 Defender crea una imagen de cómo un ataque afecta su sistema y la usa para intentar apagarlo, automáticamente y en tiempo real.

Salta a:

Defender interrumpe automáticamente los ataques

En lugar de dejar la intervención a los administradores de seguridad, Microsoft 365 Defender intentará interrumpir automáticamente los ataques que detecte. Su objetivo es contener los ataques mientras están en curso, utilizando la IA para observar las señales y aislar los activos que ya se han visto afectados.

Eso podría significar suspender a un usuario comprometido cuya cuenta está siendo utilizada por un atacante, restablecer su contraseña para limitar el acceso, bloquear las URL en el correo electrónico, eliminar mensajes y poner los archivos adjuntos en cuarentena, aislar automáticamente los dispositivos infectados o eliminarlos por completo.

Aislar el dispositivo sospechoso lo desconecta de todo excepto de la conexión al servicio Defender, de modo que puede usar la conexión para una limpieza automática después o para volver a conectar el dispositivo si resulta ser un falso positivo (Figura A).

Defender le muestra todas las etapas de un ataque de ransomware para que pueda comprender qué vulnerabilidades o configuraciones incorrectas podrían haberlo expuesto.
Imagen: Microsoft. Defender le muestra todas las etapas de un ataque de ransomware para que pueda comprender qué vulnerabilidades o configuraciones incorrectas podrían haberlo expuesto.

Una avalancha de ataques significa menos defensa contextual

Pueden pasar menos de dos horas desde el momento en que se engaña a un empleado para que haga clic en un enlace de phishing hasta que el atacante obtiene acceso completo a su bandeja de entrada. A partir de ahí, el atacante puede establecer reglas de reenvío para enviar correos electrónicos solicitando dinero o información confidencial que parece provenir de un empleado legítimo.

El atacante luego pasa a atacar otros sistemas internos. Un operador de ransomware puede tardar solo unos minutos en cifrar cientos de dispositivos.

Los defensores nunca se mantendrán al día respondiendo manualmente a la avalancha de alertas. La mayoría de las organizaciones ni siquiera sabrán que han sido violadas hasta mucho más tarde. Incluso si recibe una alerta de sus herramientas de seguridad sobre un comportamiento sospechoso, ¿puede estar seguro de haber notado cada ataque y bloqueado cada superficie vulnerable, dado lo aisladas que están muchas herramientas de seguridad?

“La mayor parte del tiempo, básicamente jugamos a Whack a Mole con el atacante”, dijo Raviv Tamir, vicepresidente de Microsoft 365 Defender. “Estoy sentado en un punto final, veo algo sospechoso, lo golpeo con mi martillo y trato de detenerlo. Digamos que lo hice, y luego veo algo más en otro punto final y lo golpeo. Entonces veo algo más. Incluso si detuviéramos todas estas cosas, ¿significa que detuvimos el ataque? La respuesta es que no sabemos, porque estamos jugando al nivel de los ladrillos y ellos tienen todo el set de Lego”.

VER: Política de seguridad de dispositivos móviles (Premium de TechRepublic)

Defender va más allá de las capacidades XDR

La idea detrás de la detección y respuesta extendidas era tomar las múltiples herramientas de seguridad y otras fuentes de información y hacer que no solo compartieran información sino que supieran qué fuente de información tiene autoridad. El software antimalware que protege una computadora portátil puede detectar que el dispositivo se ha visto comprometido, y eso debería ser más significativo que el servicio de identidad que dice que todo está bien con la cuenta en esa computadora portátil.

“En lugar de simplemente chatear entre ellos, las herramientas de seguridad deben tener una fuente de verdad que todos vean”, dijo Tamir.

Defender ahora tiene fuentes centrales de la verdad para el estado de los dispositivos, identidades, archivos y URL que sus modelos de aprendizaje automático pueden usar para correlacionar alertas y eventos sospechosos en un incidente que corresponde a un ataque completo a medida que ocurre.

“Ahora puedo comenzar a hacer la pregunta realmente difícil: ¿De dónde vino?” preguntó Tamir. “¿Cuál fue la causa raíz? ¿Es alguna mala configuración? ¿Es una vulnerabilidad? ¿Está el usuario siendo diseñado socialmente para hacer algo? ¿Lo detuvimos? ¿Intervenimos? Más importante aún, ¿logré detenerlo o progresó después de que intervine y sigo jugando Whack a Mole? Este es el nivel realmente emocionante del juego, porque ahora realmente estamos jugando al mismo nivel que los atacantes”.

Las capacidades de Defender le permiten comprender y reaccionar ante el ataque en sí, no solo los resultados individuales de ese ataque en diferentes recursos.

Defensa de todos los endpoints: Incluso los no administrados

Debido a que Defender no administra directamente todos los dispositivos, no puede confiar en que Defender pueda bloquearlos directamente si están comprometidos.

“Obviamente, puedo controlar todos los puntos finales donde se encendió el sensor”, dijo Tamir. “Si implementas Microsoft Defender para Endpoint, tengo el control. ¿Qué pasa con los puntos finales donde no lo hizo? Tal vez sea un dispositivo BYOD o un dispositivo IoT empresarial. Tal vez sea un dispositivo que simplemente no estaba integrado y está sentado en la red. Claramente, el atacante irá por ese dispositivo”.

Defender también intenta contener un dispositivo comprometido usando una técnica que él llama aislamiento inverso.

“Tenemos capacidades de aislamiento en el firewall”, dijo Tamir. “Básicamente, le estamos diciendo a todos nuestros dispositivos que no se comuniquen con ese dispositivo. Simplemente no confiamos en esa cosa: no acepte ninguna solicitud de ella y no se comunique con ninguna de sus solicitudes. Ciérralo de la red”.

Además de interrumpir los ataques, Defender intentará deshacer cualquier daño, con una función que Microsoft llama autocuración.

“Si logré intervenir y detener el ataque: ¿puedo revertir las cosas malas que han pasado?” preguntó Tamir. “Si creo que una máquina está comprometida, ¿puedo ayudarla a volver a funcionar? ¿Cuántos de estos artefactos que potencialmente están fallando, como archivos maliciosos, cambios que ocurrieron en el registro, cuántos de ellos puedo revertir?

Los ataques de compromiso de correo electrónico comercial a menudo implican la creación de reglas de reenvío de correo electrónico que permiten al atacante responder en nombre del usuario y solicitar que se le transfiera dinero.

Evitar falsos positivos

Si bien la automatización es una herramienta poderosa, equivocarse podría ser tan disruptivo como un ataque real, por lo que Microsoft está implementando esto con cautela.

“Debemos tener cuidado donde lo ejecutamos, porque es increíble cuando ejecutamos la interrupción y evitamos que el ransomware operado por humanos cifre todos sus dispositivos”, señaló Tamir. “Si tengo razón y detengo el ransomware, todos aplaudirán porque acabo de ahorrar mucho dinero a esa empresa. Sin embargo, si cometí un error y estoy aislando estas máquinas porque creo que es ransomware pero no lo es, entonces interrumpí significativamente las operaciones”.

Los sistemas clave están fuera de los límites de la interrupción automática de Defender exactamente por esta razón. Por eso, la interrupción automática de ataques actualmente funciona solo para dos escenarios que Microsoft considera los más importantes para detener:

  1. Campañas de compromiso de correo electrónico empresarial.
  2. Ataques de ransomware operados por humanos.

Ambos ataques causan un daño significativo porque afectan a una amplia gama de recursos e individuos. Requieren una vista de un extremo a otro, pero pueden interrumpirse en toda la organización.

Defendiendo más dispositivos

La interrupción depende de que Microsoft 365 Defender reciba suficientes señales, por lo que será más eficaz si usa varios productos de Defender.

“Cuantos más sensores tengamos, mejor seremos para descubrir qué está pasando”, dijo Tamir. “Cuantos más productos tengas, mejores martillos tendremos. Cuantos más productos implemente, más visibilidad obtendrá, más herramientas obtendremos para tratar de solucionar el problema y nuestra disrupción mejorará”.

El aislamiento de red ahora está disponible para dispositivos Linux que ejecutan Defender para Endpoint, aunque no puede realizar la contención completa del dispositivo. La característica está en versión preliminar pública, así que espere que se desarrolle con el tiempo.

“El aislamiento de Linux es otro martillo que puedo usar”, dijo Tamir. “Si ese ataque atraviesa un dispositivo Linux, tengo una forma de tratar de influir en él”.

A la larga, espera lograr la paridad en varios sistemas operativos.

“Quiero obtener los mismos conjuntos de herramientas en todo para que mi automatización pueda intentar interrumpir los ataques en todas partes”, continuó.

Tamir también quiere ampliar los lugares donde Defender puede defenderse automáticamente contra ataques más allá de lo que normalmente se considera un sistema de seguridad. Eso incluye trabajar con el equipo del kernel de Windows para obtener más información de la que estaba en los registros del dispositivo, y también incluye trabajar con el equipo de Azure AD para administrar automáticamente el acceso al dispositivo.

“Quiero control no solo en el punto final, sino también en el firewall del punto final”, dijo Tamir. “Quiero control sobre el sistema de identidad: quiero control directo sobre el acceso condicional, y Azure AD nos lo está dando. Quiero tener las mismas cosas en Active Directory incluso si el cliente no tiene Azure AD. Quiero controlar básicamente cualquier entidad que pueda, y mi sueño es que algún día pueda usar nuestra solución SIEM, Sentinel, para extenderla también a otros productos que no sean productos de Microsoft”.

Tamir también quiere abordar uno de los problemas subyacentes: lo complejo y lento que es configurar manualmente los dispositivos y servicios correctamente.

“La configuración necesita pasar por una gran revisión”, dijo. “El hecho de que todo sea manual es horrible. Debería detenerse y estoy trabajando para solucionarlo”.

Fuente

¿Los archivos de música aparecen como archivos PDF en la aplicación Música? Es hora de volver a crear tu biblioteca

Jaula de Vida Silvestre Karakuri Talento en Corazones Salvajes

Cómo domesticar animales en Wild Hearts