Blindaje predictivo en Microsoft Defender (versión preliminar)

El blindaje predictivo (versión preliminar) es una estrategia de defensa proactiva diseñada para anticipar y mitigar las amenazas como parte de un ataque en curso. El blindaje predictivo expande el Microsoft Defender pila de protección autónoma, lo que mejora las funcionalidades de interrupción automática de ataques con medidas proactivas.

En este artículo se proporciona información general sobre el blindaje predictivo para que pueda comprender sus funcionalidades y cómo mejora su posición de seguridad.

Obtenga información sobre cómo funciona el blindaje predictivo o cómo administrar el blindaje predictivo en Microsoft Defender.

Cómo se expande el blindaje predictivo en la interrupción automática de ataques

El panorama de amenazas en constante evolución crea un desequilibrio: los defensores deben proteger cada recurso, mientras que los atacantes solo necesitan una apertura. Las defensas tradicionales son reactivas y responden después de que comience la actividad malintencionada. Este enfoque deja a los defensores persiguiendo a los atacantes, que a menudo actúan con demasiada rapidez o subjetivo para detectar en tiempo real. Aunque algunos comportamientos de los atacantes deben bloquearse de forma directa, la prevención estática interrumpe la productividad y agrega sobrecarga operativa.

Para abordar estos desafíos, el blindaje predictivo mejora la pila de protección autónoma de Defender, ampliando la interrupción de ataques para incluir medidas proactivas durante un ataque, anticipando riesgos y aplicando protecciones dirigidas solo cuando sea necesario.

Este enfoque proactivo reduce la persecución reactiva, minimiza la carga operativa, mantiene la facilidad de uso y protege el entorno antes de que los atacantes puedan avanzar.

Aunque la interrupción del ataque identifica y contiene activos en peligro, el blindaje predictivo anticipa la posible progresión de ataques y restringe proactivamente los recursos o rutas vulnerables. Por ejemplo, aunque la interrupción automática de ataques aísla un dispositivo en peligro, el blindaje predictivo podría restringir proactivamente el acceso a datos confidenciales para dispositivos en riesgo.

Funcionamiento del blindaje predictivo

El blindaje predictivo usa análisis predictivos e información en tiempo real para identificar dinámicamente los riesgos emergentes y aplica protecciones dirigidas.

El blindaje predictivo integra la posición, la actividad y el contexto de escenario para identificar posibles rutas de ataque y destinos, proteger selectivamente los recursos críticos o restringir las rutas de ataque justo a tiempo.

Este enfoque minimiza la sobrecarga operativa y proporciona a los equipos de seguridad más tiempo para responder. Por ejemplo, el blindaje predictivo puede restringir dinámicamente el acceso a datos confidenciales para los dispositivos identificados como en riesgo, lo que reduce la necesidad de restricciones amplias para todo el entorno.

El blindaje predictivo se basa en dos pilares:

• Predicción
  • Implica analizar la inteligencia sobre amenazas, el comportamiento del atacante, los incidentes anteriores y la exposición de la organización.
  • Defender usa estos datos de predicción para identificar riesgos emergentes, comprender la posible progresión de ataques e inferir riesgos en los recursos no compatibles.
• La aplicación aplica controles protectores preventivos para interrumpir posibles rutas de ataque en tiempo real.

Este enfoque dual garantiza que la protección sea precisa y oportuna.

Lógica de predicción

La predicción permite a las organizaciones identificar los recursos en riesgo y aplicar protecciones personalizadas en tiempo real. La predicción se centra en los riesgos emergentes en lugar de en la prevención estática, lo que minimiza la fricción operativa y garantiza que las medidas de seguridad se apliquen con precisión cuando sea necesario. Por ejemplo, si se detecta una herramienta de atacante específica, el blindaje predictivo puede inferir el siguiente destino probable en función de patrones de ataque anteriores.

Defender usa varias capas de información para realizar predicciones precisas:

• La inteligencia sobre amenazas alinea la actividad observada con las herramientas y tácticas conocidas del atacante.
• Los aprendizajes de incidentes anteriores se usan para reconocer patrones estadísticos y extrapolar los pasos siguientes más probables.
• Los datos de exposición de la organización se usan para asignar cómo se estructura el entorno, qué recursos e identidades están conectados, qué permisos tienen estas identidades, qué vulnerabilidades o configuraciones erróneas existen y cómo el riesgo puede propagarse a través de ellas.

Juntos, estas conclusiones crean una comprensión dinámica del entorno y sus riesgos.

Lógica basada en gráficos

La lógica de predicción basada en gráficos cierra la brecha entre los sistemas anteriores y posteriores a la vulneración, lo que proporciona una vista unificada de la actividad del atacante en toda la topología de la organización. Esta vista unificada incluye los recursos, las conexiones y las vulnerabilidades de la organización. La lógica basada en gráficos combina los datos de actividad en directo con el mapa estructural del entorno.

Esta integración permite a Defender ajustar dinámicamente las protecciones en función de las vulnerabilidades más críticas, lo que permite priorizar las defensas en tiempo real y detener a los atacantes antes de que lleguen a recursos críticos.

El proceso implica tres fases clave:

1. Defender superpone la actividad posterior a la vulneración en el gráfico de exposición de la organización, lo que crea una vista completa de las posibles rutas de ataque.
2. Defender identifica el radio de expansión: los recursos relacionados a los que podría afectar la actividad identificada.
3. Los modelos de razonamiento predicen las rutas de acceso que los atacantes suelen tomar, ya que tienen en cuenta comportamientos pasados, características de recursos y vulnerabilidades ambientales.

Esta comprensión dinámica permite a Defender ir más allá de las respuestas reactivas, lo que habilita la protección Just-In-Time que detiene a los atacantes antes de que lleguen a recursos críticos.

Acciones de blindaje predictivo

El blindaje predictivo usa Defender para acciones basadas en puntos de conexión. Para usar estas acciones, necesita una licencia de Defender para punto de conexión.

• Protección de arranque seguro : protege el dispositivo contra el arranque en modo seguro. El arranque en modo seguro es una táctica común que usan los atacantes para omitir los controles de seguridad y mantener la persistencia en sistemas en peligro.

• Protección de GPO: protege los objetos de directiva de grupo (GPO) para evitar que los atacantes aprovechen configuraciones incorrectas o debilidades en la configuración de GPO para escalar privilegios o moverse lateralmente dentro de la red.

• Contención proactiva del usuario (contiene usuario): infunde datos de actividad con datos de exposición para identificar las credenciales expuestas en riesgo de verse comprometidas y reutilizadas para realizar actividades malintencionadas. Restringe proactivamente la actividad de los usuarios asociados a esas credenciales.

  Nota:

  Aunque la acción de contener usuario se usa tanto en la interrupción de ataques como en el blindaje predictivo, esta acción se aplica de forma diferente en cada contexto. En el blindaje predictivo, la acción de contener el usuario aplica restricciones de forma más selectiva, con un enfoque en los usuarios identificados como de alto riesgo a través de la lógica de predicción. Esta acción evita sesiones nuevas en lugar de terminar las existentes.

Pasos siguientes

• Administración del blindaje predictivo en Microsoft Defender: aprenda a administrar acciones de blindaje predictivo e investigar su impacto en el entorno.
• Interrupción automática de ataques en Microsoft Defender: obtenga información sobre cómo funciona la interrupción automática de ataques para identificar y neutralizar las actividades malintencionadas confirmadas.