Microsoft Defender krijgt AI-ondersteunde ransomware-remmen


Microsoft heeft zijn betaalde Defender for Endpoint voor de zakelijke omgeving een extra beschermingslaag gegeven. Deze moet met behulp van machine learning speciale ransomware-aanvallen beter kunnen herkennen en blokkeren.

De fabrikant beschrijft de nieuwe aanpak en de eerste resultaten als volgt: bij door mensen gecontroleerde ransomware-aanvallen gebruikten ze uiteindelijk het toetsenbord om zich over het netwerk te verplaatsen nadat ze een computer hadden binnengedrongen. Met andere woorden: aanvallers voeren opdrachten in op een opdrachtregel. De automatische cloudgebaseerde bescherming van Windows Defender heeft nu een machine learning-systeem gekregen om te beschermen tegen dergelijke aanvallen, dat de dreigingsstatus van de computer evalueert en, indien nodig, agressievere blokken gebruikt om het apparaat te beschermen en verdere stappen van de aanvaller te voorkomen .

Simpel gezegd, het cloudsysteem herkent op basis van gedrag en patronen dat het apparaat risico loopt – bijvoorbeeld door systeemcode te injecteren en vervolgens de taakplanner te gebruiken. Het regelt vervolgens de verdere (heuristische) evaluaties voor een grotere gevoeligheid. Dit blokkeert dan eigenlijk onopvallende, zogenaamd ongevaarlijke acties. De datapunten worden verzameld door de gedragsdetectiemodule van de Defender. Zonder de gevoeligheid bij te stellen, zou hij geen enkel gevaar in de individuele acties herkennen.

Omdat de adaptieve bescherming met AI werkt, is de risicobeoordeling van het apparaat niet alleen afhankelijk van individuele indicatoren. De AI gebruikt een groot aantal patronen en features om te beoordelen of het systeem op dit moment wordt aangevallen. Deze vaardigheden zijn met name geschikt voor de bestrijding van ransomware die actief door mensen wordt gecontroleerd. Zelfs als aanvallers een bestand zouden gebruiken waarvan nog niet bekend was dat het een goed of zelfs legitiem proces was, kan het systeem helpen voorkomen dat het bestand of het proces wordt gestart.

Microsoft meldt in zijn Beveiligingsblogpost over het AI-mechanisme van een specifiek geval waarin de aanpassing van de detectiegevoeligheid eindelijk een bancaire malware genaamd Cridex kon stoppen. Zonder de AI-bescherming zou de Trojan actief zijn geworden en de aanvallers toegang hebben gegeven, ze hadden verdere schade kunnen aanrichten. De blokkade slaagde erin om indicatoren in overweging te nemen die anders slechts een lage prioriteit zouden hebben gekregen voor een verdedigingsreactie.

Ondertussen bespreken specialisten in aanvalssimulaties (Red Teamer) en Incidence Response hoe de bescherming van Defender kan worden omzeild. Een beveiligingsonderzoeker laat bijvoorbeeld zien hoe hij een typisch aanvalspatroon dat daadwerkelijk is herkend, schijnbaar kan uitvoeren door simpelweg bestanden te hernoemen.

Voor de nieuwsgierigen: dit voorbeeld demonstreert een bekende aanvalstechniek genaamd Living of the Land. Inbegrepen Aanvallers misbruiken legitieme tools zoals regsrv32.exe voor uw doeleinden. In dit geval laadt de opdracht een kwaadaardig script van een externe server en voert het onmiddellijk uit. Aangezien dit gebeurt in de regsrv32-context, treden beschermende maatregelen zoals whitelisting niet in werking. Defender blokkeert de toegang bij de eerste poging; na het hernoemen slaagt de aanval. Het is echter niet duidelijk of de nieuwe AI van Microsoft al actief was in dit experiment.

Microsoft heeft nu de nieuwe Defender-functies geactiveerd voor alle zakelijke klanten. Om ze te gebruiken, moet de cloudbeveiliging worden geactiveerd als dit nog niet het geval is. Het is nog te vroeg om een ​​definitieve beoordeling te maken. Mocht echter blijken dat de beschermende functie van de AI of de rule-based heuristiek in belangrijke mate gebaseerd is op gemakkelijk te wijzigen features zoals bestandsnamen, dan zou het gebruik ervan zeer beperkt zijn. Omdat aanvallers snel zouden leren om daar omheen te komen.


(dmk)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: