微软宣布Defender实现全自动勒索软件中断攻击服务

去年,微软在其企业防御套件 Microsoft 365 Defender 中宣布了自动中断攻击功能。周三,它宣布这些功能现在将帮助组织破坏两种常见的攻击场景:BEC(商业电子邮件伪造)和人为操作的勒索软件攻击。

反应速度对于破坏攻击至关重要

对发起的网络攻击的快速防御响应对组织来说变得越来越重要:根据IBM Security的X-Force团队的说法,完成勒索软件攻击的平均时间从 2 个月下降到不到 4 天,攻击者以员工为目标的速度也越来越快通过受感染的电子邮件帐户和利用现有电子邮件线程的攻击增加了一倍。

在理想的世界中,所有组织都将部署正确的技术和人员配备齐全的安全运营中心 (SOC),能够发现正在进行的攻击的最初迹象。然而,在这个不完美的世界里,SOC 分析师很少,他们工作过度、精疲力尽、被警报淹没、在误报的海洋中跋涉——而且往往发现关键线索时为时已晚。

根据许多安全供应商的说法,解决方案是自动化。根据微软的说法,它是机器速度的自动化的反应。

BEC 和勒索软件攻击中断

Microsoft 365 Defender采取自动中断操作所依据的信号是从端点、身份、电子邮件、协作和SaaS应用程序收集的。然后将它们汇总并自动分析,如果达成高水平的置信度,Defender就会采取行动阻止攻击的发生。

BEC 勒索软件攻击中断

“目的是标记对恶意活动负责的资产,”微软高级产品经理 Eyal Haik说。

在当前的公共预览版中,自动攻击中断功能包括:

  • 暂停发起攻击的用户在 Active Directory 和 Azure AD 中的帐户(如果用户已加入 Microsoft Defender for Identity)
  • 包含防止它们与受感染机器通信的设备(可能用于使用 Defender for Endpoint的环境)

有关所采取的自动操作的视觉提示在仪表板中很明显,更重要的是,可以从Microsoft 365 Defender界面还原这些操作。

安全团队可以自定义配置以实现自动中断攻击。此外,“为确保自动操作不会对网络的健康状况产生负面影响,Microsoft 365 Defender 会自动跟踪并避免包含网络关键资产,并将客户端故障安全机制构建到包含生命周期中。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4455.html

标签