Прогнозное экранирование в Microsoft Defender (предварительная версия)

Прогнозное экранирование (предварительная версия) — это стратегия упреждающей защиты, предназначенная для прогнозирования и устранения угроз в рамках продолжающейся атаки. Прогнозное экранирование расширяет стек автономной защиты Microsoft Defender, расширяя возможности автоматического нарушения атак с помощью упреждающих мер.

В этой статье представлен обзор прогнозного экранирования, чтобы вы могли понять его возможности и то, как он повышает уровень безопасности.

Узнайте, как работает прогнозное экранирование или как управлять прогнозным экранированием в Microsoft Defender.

Как прогнозное экранирование расширяется при автоматическом прерывании атак

Развивающийся ландшафт угроз создает дисбаланс: защитники должны защищать каждый ресурс, а злоумышленникам требуется только одно открытие. Традиционная защита реагирует на реагирование после начала вредоносных действий. Такой подход оставляет защитников преследовать злоумышленников, которые часто действуют слишком быстро или тонко, чтобы обнаружить в режиме реального времени. Хотя некоторые действия злоумышленников должны быть заблокированы напрямую, статическое предотвращение нарушает производительность и увеличивает эксплуатационные издержки.

Для решения этих проблем прогнозное экранирование улучшает автономный стек защиты Defender, расширяя возможности атак , чтобы включить упреждающие меры во время атаки, предвидеть риски и применять целевые средства защиты только при необходимости.

Такой упреждающий подход сокращает реактивную охоту, сводит к минимуму рабочую нагрузку, поддерживает удобство использования и защищает среду до того, как злоумышленники смогут продвинуться вперед.

В то время как нарушение атаки идентифицирует и содержит скомпрометированные ресурсы, прогнозное экранирование предвидит потенциальное развитие атаки и заблаговременно ограничивает уязвимые ресурсы или пути. Например, в то время как автоматическое нарушение атаки изолирует скомпрометированное устройство, прогнозное экранирование может упреждающее ограничение доступа к конфиденциальным данным для устройств с риском.

Принцип работы прогнозного экранирования

Прогнозная экранирование использует прогнозную аналитику и аналитические сведения в режиме реального времени для динамического выявления возникающих рисков и применения целевых средств защиты.

Прогнозное экранирование интегрирует состояние, действия и контекст сценария для выявления потенциальных путей и целей атаки, выборочного усиления защиты критически важных ресурсов или ограничения путей атаки точно вовремя.

Такой подход сводит к минимуму операционные издержки и предоставляет группам безопасности больше времени для реагирования. Например, прогнозное экранирование может динамически ограничивать доступ к конфиденциальным данным для устройств, определенных как подверженные риску, что снижает потребность в широких ограничениях для всей среды.

Прогнозное экранирование основано на двух основных принципах:

• Предсказание
  • Включает анализ аналитики угроз, поведения злоумышленников, прошлых инцидентов и уязвимости организации.
  • Defender использует эти данные прогнозирования для выявления возникающих рисков, для понимания вероятного развития атак и для вывода риска для некомпрометизированных ресурсов.
• При принудительном применении применяются профилактические защитные элементы управления для нарушения потенциальных путей атаки в режиме реального времени.

Этот двойной подход гарантирует, что защита является точной и своевременной.

Логика прогнозирования

Прогнозирование позволяет организациям выявлять активы, подверженные риску, и применять специализированные средства защиты в режиме реального времени. Прогнозирование сосредоточено на возникающих рисках, а не на статическом предотвращении, что сводит к минимуму операционные трудности и гарантирует, что меры безопасности применяются точно там, где это необходимо. Например, при обнаружении определенного средства злоумышленника прогнозное экранирование может вывести следующую вероятную цель на основе прошлых шаблонов атак.

Defender использует несколько уровней аналитики для создания точных прогнозов:

• Аналитика угроз сопоставляет наблюдаемую активность с известными инструментами и тактиками злоумышленников.
• Знания из прошлых инцидентов используются для распознавания статистических закономерностей и экстраполяция наиболее вероятных дальнейших шагов.
• Данные о воздействии в организации используются для сопоставления структуры среды— связанных ресурсов и удостоверений, разрешений этих удостоверений, уязвимостей или неправильных настроек, а также того, как риск может распространяться на них.

Вместе эти аналитические сведения создают динамическое понимание среды и ее рисков.

Логика на основе графов

Логика прогнозирования на основе графов устраняет разрыв между системами до нарушения и после взлома, обеспечивая единое представление о действиях злоумышленников в топологии организации. Это единое представление включает ресурсы, подключения и уязвимости организации. Логика на основе графов объединяет данные о действиях в реальном времени со структурной картой среды.

Эта интеграция позволяет Defender динамически корректировать защиту на основе наиболее критических уязвимостей, обеспечивая определение приоритетов защиты в режиме реального времени и останавливая злоумышленников, прежде чем они достигнут критически важных ресурсов.

Этот процесс состоит из трех ключевых этапов:

1. Defender накладывает действия после нарушения безопасности на график воздействия организации, создавая комплексное представление возможных путей атаки.
2. Defender определяет радиус взрыва — связанные ресурсы, на которые может повлиять идентифицированное действие.
3. Модели логики предсказывают пути, которые злоумышленники, скорее всего, будут использовать, учитывая предыдущее поведение, характеристики активов и уязвимости окружающей среды.

Это динамическое понимание позволяет Defender выйти за рамки реактивных ответов, обеспечивая JIT-защиту, которая останавливает злоумышленников, прежде чем они достигнут критически важных ресурсов.

Прогнозные действия экранирования

Прогнозное экранирование использует действия Defender для конечной точки. Для использования этих действий требуется лицензия Defender для конечной точки.

• Защита safeboot — защищает устройство от загрузки в безопасном режиме. Загрузка в безопасном режиме — это распространенная тактика, используемая злоумышленниками для обхода элементов управления безопасностью и поддержания сохраняемости в скомпрометированных системах.

• Усиление защиты объектов групповой политики— усиление групповая политика объектов (GPO), чтобы предотвратить использование злоумышленниками неправильной конфигурации или слабых мест в параметрах объекта групповой политики для повышения привилегий или бокового перемещения по сети.

• Упреждающее сдерживание пользователей (contain user) — добавляет данные о действиях данными о воздействии для выявления предоставленных учетных данных, которые рискуют быть скомпрометированы и повторно использованы для совершения вредоносных действий. Заблаговременно ограничивает действия пользователей, связанных с этими учетными данными.

  Примечание.

  Хотя действие contain user используется как для прерывания атаки, так и для прогнозного экранирования, это действие применяется по-разному в каждом контексте. При прогнозном экранирование действие пользователя contain применяет ограничения более выборочно, с акцентом на пользователей, определенных как высокий риск с помощью логики прогнозирования. Это действие предотвращает создание новых сеансов, а не прекращение существующих сеансов.

Дальнейшие действия

• Управление прогнозным экранированием в Microsoft Defender. Узнайте, как управлять действиями прогнозного экранирования и исследовать их влияние на среду.
• Автоматическое прерывание атак в Microsoft Defender. Узнайте, как автоматическое нарушение атаки работает для выявления и нейтрализации подтвержденных вредоносных действий.