Блокировка с учетом поведения и автономность

Что такое блокировка и сдерживание с учетом поведения?

Сегодняшняя среда угроз переполнена бесфайловыми вредоносными программами , которые живут вне земли, высокополиморфными угрозами, которые изменяются быстрее, чем традиционные решения, и управляемыми человеком атаками, которые адаптируются к тому, что злоумышленники находят на скомпрометированных устройствах. Традиционных решений безопасности недостаточно для того, чтобы остановить такие атаки; вам нужны возможности искусственного интеллекта (ИИ) и машинного обучения (ML), такие как блокировка поведения и сдерживание, включенные в Defender для конечной точки.

Возможности блокировки поведения и сдерживания помогают выявлять и останавливать угрозы на основе их поведения и деревьев процессов, даже если угроза уже запущена. Компоненты и функции защиты следующего поколения, EDR и Defender для конечной точки работают вместе в возможностях блокировки поведения и сдерживания.

Возможности поведенческой блокировки и сдерживания работают с несколькими компонентами и функциями Defender для конечной точки, чтобы немедленно остановить атаки и предотвратить атаки.

  • Защита следующего поколения (которая включает Microsoft Defender антивирусная программа) может обнаруживать угрозы путем анализа поведения и прекращать выполнение угроз.

  • Обнаружение и ответ конечной точки (EDR) получает сигналы безопасности в сети, устройствах и по поведении ядра. При обнаружении угроз создаются оповещения. Несколько оповещений одного типа объединяются в инциденты, что упрощает анализ и реагирование команды по обеспечению безопасности.

  • Defender для конечной точки имеет широкий спектр возможностей для удостоверений, электронной почты, данных и приложений, а также сигналов о поведении сети, конечной точки и ядра, получаемых через EDR. Компонент Microsoft Defender XDR, Defender для конечной точки обрабатывает и сопоставляет эти сигналы, создает оповещения об обнаружении и подключает связанные оповещения в инцидентах.

С помощью этих возможностей можно предотвратить или заблокировать больше угроз, даже если они запускаются. При обнаружении подозрительного поведения угроза сдерживается, оповещения создаются, а угрозы останавливаются в их отслеживании.

На следующем рисунке показан пример возможностей блокировки поведения и сдерживания, активирующих оповещение:

Снимок экрана: страница

Предварительные условия

Поддерживаемые операционные системы

  • Windows

Компоненты поведенческой блокировки и сдерживания

Ожидается, что больше будет в области поведенческих блокировок и сдерживания, так как Корпорация Майкрософт продолжает совершенствовать функции и возможности защиты от угроз. Чтобы узнать, что планируется и развернуть сейчас, ознакомьтесь с дорожной картой Microsoft 365.

Примеры блокировки поведения и сдерживания в действии

Возможности поведенческой блокировки и сдерживания заблокировали следующие методы злоумышленника:

  • Дамп учетных данных из LSASS
  • Внедрение между процессами
  • Обработка выпадения
  • Обход контроля учетных записей пользователей
  • Незаконное изменение антивирусной программы (например, отключение или добавление вредоносной программы в качестве исключения)
  • Обращение к команде и управлению (C&C) для скачивания полезных данных
  • Добыча монет
  • Изменение загрузочной записи
  • Сквозные хэш-атаки
  • Установка корневого сертификата
  • Попытка эксплуатации для различных уязвимостей

Ниже приведены два реальных примера блокировки поведения и сдерживания в действии.

Пример 1. Атака на кражу учетных данных против 100 организаций

Как описано в разделе По горячим следам за неуловимыми угрозами: блокировка на основе ИИ на основе поведения останавливает атаки по их следам, поведенческие возможности блокировки и сдерживания остановили атаку на кражу учетных данных против 100 организаций по всему миру. В целевые организации были отправлены сообщения электронной почты с фишингом с использованием spear-фишинга, содержащие документ приманки. Если получатель открыл вложение, связанный удаленный документ смог выполнить код на устройстве пользователя и загрузить вредоносную программу Lokibot, которая похитила учетные данные, выдала украденные данные и ждала дальнейших инструкций с сервера команд и управления.

Модели машинного обучения на основе поведения в Defender для конечной точки перехватили и остановили методы злоумышленника в двух точках цепочки атак:

  • Первый уровень защиты обнаружил поведение эксплойтов. Классификаторы машинного обучения в облаке правильно определили угрозу и немедленно поручили клиентскому устройству заблокировать атаку.
  • Второй уровень защиты, который помог остановить случаи, когда атака прошла мимо первого слоя, обнаружила поломку процесса, остановила этот процесс и удалила соответствующие файлы (например, Lokibot).

Во время обнаружения и остановки атаки на портале Microsoft Defender активировались такие оповещения, как "первоначальное оповещение о доступе".

Снимок экрана: оповещение о первоначальном доступе на портале Microsoft Defender.

В этом примере показано, как модели машинного обучения на основе поведения в облаке добавляют новые уровни защиты от атак даже после их выполнения.

Пример 2. Ретранслятор NTLM — вариант вредоносной программы Juicy Potato

Как описано в недавней записи блога "Поведенческая блокировка и сдерживание: преобразование оптики в защиту", в январе 2020 г. Defender для конечной точки обнаружил действие повышения привилегий на устройстве в организации. Было активировано оповещение с именем "Возможная эскалация привилегий с помощью ретранслятора NTLM".

Оповещение NTLM о вредоносных программах Juicy Potato

Угроза оказалась вредоносной программой; это был новый, невидимый ранее вариант пресловутого хакерского инструмента под названием Juicy Potato, который используется злоумышленниками для получения повышения привилегий на устройстве.

Через несколько минут после активации оповещения файл был проанализирован и подтвержден как вредоносный. Его процесс был остановлен и заблокирован, как показано на следующем рисунке:

Снимок экрана: уведомление о блокировке артефакта, показывающее, что вредоносный процесс остановлен.

Через несколько минут после блокировки артефакта несколько экземпляров одного и того же файла были заблокированы на одном устройстве, что предотвратило развертывание на устройстве большего числа злоумышленников или других вредоносных программ.

В этом примере показано, что при использовании возможностей блокировки поведения и сдерживания угрозы обнаруживаются, содержатся и блокируются автоматически.