This post is also available in: Português Español
Microsoft Defender contará con un sistema de detección de ransomware alimentado por IA (inteligencia artificial) y bloqueará las amenazas potenciales.
Microsoft introdujo un sistema de detección de ataques de ransomware basado en IA para clientes de Microsoft Defender for Endpoint, que complementa la protección existente en la nube, evaluando los riesgos y bloqueando los agentes en el perímetro.
Como los ataques de ransomware operados por humanos se caracterizan por un conjunto especifico de métodos y comportamientos, Microsoft apuesta a que puede usar un enfoque de IA basado en datos para detectar este tipo de ataques.
La anticipación es la clave
Los cibercriminales normalmente establecen un punto de apoyo en el sistema de destino plantando un binario de malware que proporciona un acceso remoto al dispositivo.
Sin embargo, no todos los binarios utilizados en los ataques son conocidos como maliciosos, y muchos ejecutables utilizados en los ataques son programas legítimos, incluyendo comandos integrados a Windows.
Los indicadores generados por estos binarios pueden considerarse de baja prioridad y ser ignorados por las defensas.
Por eso, añadir un sistema de protección adaptativa basado en la IA, que detectaría un comportamiento inusual – incluso de binarios legítimos -, puede desempeñar un papel crucial en la prevención de un mayor compromiso de un dispositivo y proporcionar a los equipos de respuesta, un tiempo valioso para prevenir ataques.
Microsoft explicó que en el entorno del cliente, la función de protección adaptativa impulsada por IA ha tenido especial éxito en ayudar a prevenir el acceso no autorizado a la red, interrumpiendo el binario que les otorgaría este privilegio.
Al tener en cuenta indicadores que de otro modo se considerarían poco prioritarios para su corrección, la protección adaptativa interrumpió la cadena de ataques en una etapa inicial, de forma que el impacto general del ataque fue significativamente reducido.
En la prueba realizada, la amenaza utilizada fue Cridex, un caballo de Troya bancario comúnmente usado para robo de credenciales y exfiltración de datos, que también son componentes claves en muchos ataques cibernéticos, incluyendo ransomware operado por humanos.
El nuevo sistema es adaptable, lo que significa que es posible ajustar automáticamente la “agresividad” de los bloqueos dados por la nube, con base en datos en tiempo real y aprendizaje de máquina.
Imagen/Reproducción: Microsoft.
Bloqueo de etapas de ataque subsecuentes
Aunque el algoritmo no evalúe el riesgo en su magnitud real y un agente de ransomware encuentre un camino para la red de destino, el sistema continuará siendo un obstáculo para ellos.
Como Microsoft explicó, que la protección adaptativa puede detectar y bloquear operaciones aparentemente benignas, como enumeración de red, que los agentes de ransomware usan durante la fase de reconocimiento.
De la misma manera, herramientas de código abierto son usadas comúnmente para movimiento lateral, o malware ligeramente modificado que no contiene una firma identificable, puede ser detectado y bloqueado.
La empresa además explicó que, hipotéticamente, en ataques en que las actividades de ataque no se detectan y bloquean en fase inicial o intermedia, la protección adaptativa orientada por IA, puede demonstrar un gran valor cuando se trata de la carga útil final del ransomware.
Dado que el dispositivo ya está comprometido, el sistema de protección adaptable basado en IA puede fácilmente y automáticamente mudar para el modo más agresivo y bloquear las cargas reales de ransomware, evitando que archivos y datos importantes sean encriptados para que los invasores no puedan exigir rescate para ellos.
En resumen, este nuevo enfoque puede ayudar a los usuarios a prevenir los ataques de ransomware incluso proveniente de fuentes desconocidas y fuera de las suscripciones de la empresa.
Microsoft advierte que, conforme las medidas de seguridad van aumentando y evolucionando, también los malwares se adaptan. Muchos de los malwares que existen actualmente intentan directamente desactivar todas las medidas de protección en vez de pasarlas por alto.
La recomendación para los administradores de sistemas es que comprueben regularmente que sus protecciones estén activas y actualizadas, para garantizar también la seguridad de los sistemas asociados luego.
This post is also available in: Português Español
