0
0
No ano passado, a Microsoft anunciou recursos de interrupção automática de ataques no Microsoft 365 Defender, seu pacote de defesa empresarial. Na quarta-feira, anunciou que esses recursos agora ajudarão as organizações a interromper dois cenários de ataque comuns: BEC (compromisso de e-mail comercial) e ataques de ransomware operados por humanos.
A velocidade de reação é fundamental para interromper os ataques
Uma resposta defensiva rápida aos ataques cibernéticos iniciados está se tornando cada vez mais crucial para as organizações: de acordo com a equipe X-Force da IBM Security, o tempo médio para concluir um ataque de ransomwarecaiu de 2 meses para menos de 4 dias e a taxa na qual os invasores atacam os funcionários por meio de contas de e-mail comprometidas e explorando tópicos de e-mail existentes dobrou.
Em um mundo ideal, todas as organizações teriam a tecnologia certa implantada e um centro de operações de segurança (SOC) bem equipado, capaz de detectar os primeiros sinais de um ataque em andamento. Neste mundo imperfeito, porém, os analistas SOC são poucos, sobrecarregados e esgotados , sobrecarregados com alertas e vagando por um mar de falsos positivos – e muitas vezes encontrando pistas cruciais tarde demais.
A solução, de acordo com muitos fornecedores de segurança, é a automação. Segundo a Microsoft, é automação e reação na velocidade da máquina.
Interrupção de ataque de BEC e ransomware
Os sinais nos quais o Microsoft 365 Defender realiza ações automatizadas de interrupção são coletados de endpoints, identidades, email, colaboração e aplicativos SaaS. Eles são então agregados e automaticamente analisados e – se um alto nível de confiança for estabelecido – acionados.
“A intenção é sinalizar os ativos responsáveis pela atividade maliciosa”, diz Eyal Haik, gerente sênior de produtos da Microsoft.
Na visualização pública atual, os recursos de interrupção de ataque automático incluem:
- Suspender a conta no Active Directory e no Azure AD do usuário que está realizando o ataque (se o usuário tiver sido integrado ao Microsoft Defender for Identity)
- Contendo dispositivos para impedir que eles se comuniquem com a máquina comprometida (possível para ambientes que usam o Defender for Endpoint)
Dicas visuais sobre ações automatizadas executadas são óbvias no painel e, mais importante, as ações podem ser revertidas no Microsoft 365 Defender Portal.
As equipes de segurança podem personalizar a configuração para interrupção automática de ataques. Além disso, “para garantir que as ações automáticas não afetem negativamente a integridade de uma rede, o Microsoft 365 Defender rastreia automaticamente e se abstém de conter ativos críticos de rede e criou mecanismos de segurança contra falhas do lado do cliente no ciclo de vida de contenção”.
FONTE: HELPNET SECURITY