Geral 2min de Leitura - 19 de novembro de 2021

Microsoft Defender adiciona proteção IA contra ransomwares

IA

This post is also available in: Português

O Microsoft Defender contará com um sistema de detecção de ransomware alimentado por IA (inteligência artificial) e bloqueará ameaças potenciais.

A Microsoft introduziu um sistema de detecção de ataques de ransomware baseado em IA para clientes do Microsoft Defender for Endpoint, que complementa a proteção existente na nuvem, avaliando os riscos e bloqueando os agentes no perímetro.

Como os ataques de ransomware operados por humanos são caracterizados por um conjunto especifico de métodos e comportamentos, a Microsoft acredita que pode usar uma abordagem de IA baseada em dados para detectar esses tipos de ataques.

Antecipação é a chave

Os cibercriminosos normalmente estabelecem uma posição no sistema de destino plantando um binário de malware que fornece acesso remoto ao dispositivo.

Porém, nem todos os binários usados em ataques são conhecidos como maliciosos, e muitos executáveis usados em ataques são programas legítimos, incluindo comandos integrados do Windows.

Os indicadores gerados por esses binários podem ser vistos como de baixa prioridade e ignorados pelos defensores.

Por isso, adicionar um sistema de proteção adaptável baseado em IA, que detectaria comportamento incomum – mesmo de binários legítimos -, pode desempenhar um papel crucial na prevenção de comprometimento posterior de um dispositivo e fornecer as equipes de resposta, um tempo valioso para impedir os ataques.

A Microsoft explicou que em um ambiente de cliente, o recurso de proteção adaptativa orientado por IA foi especialmente bem-sucedido em ajudar a evitar acessos indevidos na rede, interrompendo o binário que lhes concederia este privilégio.

Ao considerar indicadores que, de outra forma, seriam considerados de baixa prioridade para correção, a proteção adaptativa interrompeu a cadeia de ataque em um estágio inicial, de forma que o impacto geral do ataque foi significativamente reduzido.

No teste realizado, a ameaça utilizada foi o Cridex, um cavalo de Troia bancário comumente usado para roubo de credenciais e exfiltração de dados, que também são componentes-chave em muitos ataques cibernéticos, incluindo ransomware operado por humanos.

O novo sistema é adaptável, o que significa que é possível ajustar automaticamente a “agressividade” dos bloqueio fornecidos pela nuvem, com base em dados em tempo real e aprendizado de máquina.

IA
Imagem/Reprodução: Microsoft.

Bloqueio de etapas de ataque subsequentes

Mesmo que o algoritmo não avalie o risco em sua magnitude real e um agente do ransomware encontre um caminho para a rede de destino, o sistema continuará sendo um obstáculo para eles.

Como a Microsoft explicou, a proteção adaptativa pode detectar e bloquear operações aparentemente benignas, como enumeração de rede, que os agentes de ransomware usam durante a fase de reconhecimento.

Da mesma forma, ferramentas de código aberto são comumente usadas para movimento lateral, ou malware ligeiramente modificado que não possui uma assinatura identificável, pode ser detectado e bloqueado.

A empresa ainda explicou que, hipoteticamente, em ataques em que as atividades de ataque no estágio inicial ou intermediário não são detectadas e bloqueadas, a proteção adaptativa orientada por IA, ainda pode demonstrar grande valor quando se trata da carga útil final do ransomware.

Dado que o dispositivo já está comprometido, o sistema de proteção adaptável baseado em IA pode facilmente e automaticamente mudar para o modo mais agressivo e bloquear as cargas reais do ransomware, evitando que arquivos e dados importantes sejam criptografados para que os invasores não possam exigir resgate para eles.

Em resumo, esta nova abordagem pode ajudar os usuários a prevenirem ataques de ransomware até de fontes ainda desconhecidas e fora de assinaturas da empresa.

A Microsoft adverte que, conforme as medidas de segurança vão aumentando e evoluindo, também os malwares se adaptam. Muitos dos malwares atualmente existentes tentam diretamente desativar todas as medidas de proteção ao invés de contornar.

A recomendação para os administradores de sistemas passa por verificarem regularmente se as suas proteções estão ativas e atualizadas, de forma a garantirem também a segurança dos subsequentes sistemas associados.

This post is also available in: Português