Ochrona predykcyjna w Microsoft Defender (wersja zapoznawcza)

Ochrona predykcyjna (wersja zapoznawcza) to proaktywna strategia obrony mająca na celu przewidywanie i eliminowanie zagrożeń w ramach trwającego ataku. Ochrona predykcyjna rozszerza Microsoft Defender autonomicznego stosu ochrony, zwiększając możliwości automatycznego zakłócania ataków za pomocą proaktywnych środków.

Ten artykuł zawiera omówienie ochrony predykcyjnej, dzięki czemu można zrozumieć jej możliwości i zwiększyć poziom zabezpieczeń.

Dowiedz się, jak działa ochrona predykcyjna lub jak zarządzać osłoną predykcyjną w Microsoft Defender.

Jak rozszerza się ochrona predykcyjna po automatycznym zakłóceniu ataku

Zmieniający się krajobraz zagrożeń powoduje brak równowagi: obrońcy muszą zabezpieczyć każdy zasób, podczas gdy atakujący potrzebują tylko jednego otwarcia. Tradycyjne mechanizmy obronne są reaktywne, reagując po rozpoczęciu złośliwej aktywności. Takie podejście pozostawia obrońców goni atakujących, którzy często działają zbyt szybko lub subtelnie, aby wykryć w czasie rzeczywistym. Podczas gdy niektóre zachowania osoby atakującej muszą być blokowane wprost, statyczna zapobieganie zakłóca produktywność i zwiększa obciążenie operacyjne.

Aby sprostać tym wyzwaniom, ochrona predykcyjna zwiększa autonomiczny stos ochrony usługi Defender, rozszerzając zakłócenia ataków o proaktywne środki podczas ataku, przewidując ryzyko i stosując ukierunkowane zabezpieczenia tylko w razie potrzeby.

To proaktywne podejście zmniejsza reaktywny pościg, minimalizuje obciążenia operacyjne, utrzymuje użyteczność i chroni środowisko, zanim osoby atakujące będą mogły przejść dalej.

Podczas gdy zakłócenie ataku identyfikuje i zawiera zagrożone zasoby, ochrona predykcyjna przewiduje potencjalny postęp ataku i proaktywnie ogranicza wrażliwe zasoby lub ścieżki. Na przykład, podczas gdy automatyczne zakłócenie ataku izoluje urządzenie, które zostało naruszone, ochrona predykcyjna może proaktywnie ograniczyć dostęp do poufnych danych dla urządzeń zagrożonych.

Jak działa ochrona predykcyjna

Ochrona predykcyjna wykorzystuje analizę predykcyjną i szczegółowe informacje w czasie rzeczywistym do dynamicznego identyfikowania pojawiających się zagrożeń i stosuje ukierunkowane zabezpieczenia.

Ochrona predykcyjna integruje kontekst stanu, aktywności i scenariusza w celu identyfikowania potencjalnych ścieżek i celów ataków, selektywnego wzmacniania krytycznych zasobów lub ograniczania ścieżek ataku w samą porę.

Takie podejście minimalizuje obciążenie operacyjne i zapewnia zespołom ds. zabezpieczeń więcej czasu na reagowanie. Na przykład ochrona predykcyjna może dynamicznie ograniczać dostęp do poufnych danych dla urządzeń zidentyfikowanych jako zagrożone, co zmniejsza potrzebę stosowania szerokich ograniczeń w całym środowisku.

Ochrona predykcyjna opiera się na dwóch filarach:

• Przewidywanie
  • Obejmuje analizowanie analizy zagrożeń, zachowania osoby atakującej, przeszłych zdarzeń i narażenia organizacji.
  • Usługa Defender używa tych danych przewidywania do identyfikowania pojawiających się zagrożeń, zrozumienia prawdopodobnego postępu ataku i wnioskowania ryzyka dotyczącego nieskompromitowanych zasobów.
• Wymuszanie stosuje zapobiegawcze mechanizmy ochronne, aby zakłócić potencjalne ścieżki ataku w czasie rzeczywistym.

To podwójne podejście zapewnia, że ochrona jest zarówno precyzyjna, jak i terminowa.

Logika przewidywania

Przewidywanie umożliwia organizacjom identyfikowanie zagrożonych zasobów i stosowanie dostosowanych zabezpieczeń w czasie rzeczywistym. Przewidywanie koncentruje się na pojawiających się zagrożeniach, a nie na statycznej zapobieganiu, co minimalizuje tarcie operacyjne i zapewnia, że środki bezpieczeństwa są stosowane dokładnie tam, gdzie jest to konieczne. Jeśli na przykład zostanie wykryte określone narzędzie atakujące, ochrona predykcyjna może wywnioskować następny prawdopodobny cel na podstawie wzorców ataków z przeszłości.

Usługa Defender używa wielu warstw szczegółowych informacji do dokładnego przewidywania:

• Analiza zagrożeń dostosowuje obserwowaną aktywność do znanych narzędzi i taktyk atakujących.
• Uczenie się z poprzednich zdarzeń służy do rozpoznawania wzorców statystycznych i ekstrapolowania najbardziej prawdopodobnych następnych kroków.
• Dane ekspozycji organizacji służą do mapowania struktury środowiska — które zasoby i tożsamości są połączone, jakie uprawnienia mają te tożsamości, jakie istnieją luki w zabezpieczeniach lub błędy konfiguracji oraz jak ryzyko może być propagowane między nimi.

Wspólnie te szczegółowe informacje umożliwiają dynamiczne zrozumienie środowiska i jego zagrożeń.

Logika oparta na grafach

Logika przewidywania oparta na grafach wypełnia lukę między systemami przed naruszeniami i po naruszeniu zabezpieczeń, zapewniając ujednolicony widok aktywności osoby atakującej w topologii organizacyjnej. Ten ujednolicony widok obejmuje zasoby, połączenia i luki w zabezpieczeniach organizacji. Logika oparta na grafie łączy dane aktywności na żywo z mapą strukturalną środowiska.

Ta integracja umożliwia usłudze Defender dynamiczne dostosowywanie ochrony w oparciu o najbardziej krytyczne luki w zabezpieczeniach, umożliwiając priorytetyzację obrony w czasie rzeczywistym i zatrzymywanie osób atakujących przed dotarciem do krytycznych zasobów.

Proces obejmuje trzy kluczowe etapy:

1. Usługa Defender nakłada działania po naruszeniu zabezpieczeń na wykres narażenia organizacji, tworząc kompleksowy widok potencjalnych ścieżek ataku.
2. Usługa Defender identyfikuje promień wybuchu — powiązane zasoby, na które może mieć wpływ zidentyfikowane działanie.
3. Modele rozumowania przewidują ścieżki, które najprawdopodobniej przyjmą osoby atakujące, uwzględnianie zachowań w przeszłości, cech zasobów i luk w zabezpieczeniach środowiska.

Ta dynamiczna wiedza umożliwia usłudze Defender przechodzenie poza reakcje reaktywne, umożliwiając ochronę just in time, która zatrzymuje osoby atakujące przed dotarciem do krytycznych zasobów.

Akcje ochrony predykcyjnej

Ochrona predykcyjna używa usługi Defender do akcji opartych na punktach końcowych. Do korzystania z tych akcji potrzebna jest licencja usługi Defender for Endpoint.

• Bezpieczne wzmacnianie zabezpieczeń — wzmacnia zabezpieczenia urządzenia przed rozruchem w trybie awaryjnym. Rozruch w trybie awaryjnym jest powszechną taktyką stosowaną przez osoby atakujące w celu obejścia mechanizmów kontroli zabezpieczeń i utrzymania trwałości w systemach, których zabezpieczenia zostały naruszone.

• Wzmacnianie zabezpieczeń obiektu zasad grupy — wzmacnia zasady grupy Objects (GPO), aby zapobiec wykorzystywaniu przez osoby atakujące błędnych konfiguracji lub słabych punktów w ustawieniach obiektu zasad grupy w celu eskalowania uprawnień lub późniejszego przenoszenia w sieci.

• Proaktywne hermetyzowanie użytkowników (zawiera użytkownika) — napełnia dane aktywności danymi o narażeniu w celu zidentyfikowania ujawnionych poświadczeń zagrożonych naruszeniem zabezpieczeń i ponownego użycia w celu przeprowadzenia złośliwych działań. Proaktywnie ogranicza aktywność użytkowników skojarzonych z tymi poświadczeniami.

  Uwaga

  Chociaż akcja zawiera użytkownika jest używana zarówno w przypadku zakłóceń ataku, jak i ochrony predykcyjnej, ta akcja jest stosowana inaczej w każdym kontekście. W przypadku ochrony predykcyjnej akcja zawierająca użytkownika stosuje ograniczenia bardziej selektywnie, ze szczególnym uwzględnieniem użytkowników zidentyfikowanych jako wysokie ryzyko za pomocą logiki przewidywania. Ta akcja uniemożliwia tworzenie nowych sesji, a nie przerywanie istniejących sesji.

Następne kroki

• Zarządzanie ochroną predykcyjną w Microsoft Defender — dowiedz się, jak zarządzać akcjami ochrony predykcyjnej i badać ich wpływ w środowisku.
• Automatyczne zakłócanie ataków w Microsoft Defender — dowiedz się, jak działa automatyczne zakłócanie ataków w celu zidentyfikowania i zneutralizowania potwierdzonych złośliwych działań.