Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A classificação eficaz de ameaças é um componente crucial da cibersegurança que permite às organizações identificar, avaliar e mitigar rapidamente potenciais riscos. O sistema de classificação de ameaças no Microsoft Defender para Office 365 utiliza tecnologias avançadas, como modelos de linguagem grandes (LLMs), modelos de linguagem pequena (SLMs) e modelos de machine learning (ML) para detetar e classificar automaticamente ameaças baseadas em e-mail. Estes modelos trabalham em conjunto para fornecer uma classificação de ameaças abrangente, dimensionável e adaptável, ajudando as equipas de segurança a manterem-se à frente dos ataques emergentes.
Ao categorizar ameaças de e-mail em tipos específicos, como phishing, software maligno e comprometimento de e-mail empresarial (BEC), o nosso sistema fornece às organizações informações acionáveis para proteger contra atividades maliciosas.
Tipos de ameaças
Tipo de ameaça refere-se à categorização primária de uma ameaça com base em características fundamentais ou método de ataque. Historicamente, estas amplas categorias são identificadas no início do ciclo de vida do ataque e ajudam as organizações a compreender a natureza do ataque. Os tipos de ameaças comuns incluem:
- Phishing: os atacantes representam entidades fidedignas para enganar os destinatários para revelar informações confidenciais, como credenciais de início de sessão ou dados financeiros.
- Software maligno: software malicioso concebido para danificar ou explorar sistemas, redes ou dispositivos.
- Spam: e-mails não solicitados, muitas vezes irrelevantes enviados em massa, normalmente para fins maliciosos ou promocionais.
Deteções de ameaças
As deteções de ameaças referem-se às tecnologias e metodologias utilizadas para identificar indicadores específicos ou atividades suspeitas numa mensagem de e-mail ou comunicação. As deteções de ameaças ajudam a detetar a presença de ameaças ao identificar anomalias ou características na mensagem. As deteções de ameaças comuns incluem:
- Spoof: identifica quando o endereço de e-mail do remetente é falsificado para parecer uma origem fidedigna.
- Representação: deteta quando uma mensagem de e-mail representa uma entidade legítima, como um parceiro empresarial executivo ou fidedigno, para enganar os destinatários a efetuar ações prejudiciais.
- Reputação do URL: avalia a reputação dos URLs incluídos num e-mail para determinar se levam a sites maliciosos.
- Outros filtros
Classificação de ameaças
A classificação de ameaças é o processo de categorização de uma ameaça com base na intenção e na natureza específica do ataque. O sistema de classificação de ameaças utiliza LLMs, modelos de ML e outras técnicas avançadas para compreender a intenção subjacente às ameaças e fornecer uma classificação mais precisa. À medida que o sistema evolui, pode esperar que as novas classificações de ameaças acompanhem os métodos de ataque emergentes.
As classes de ameaças atualmente disponíveis estão descritas na seguinte lista:
Esquema de taxas antecipadas: As vítimas são prometidas grandes recompensas financeiras, contratos ou prémios em troca de pagamentos antecipados ou uma série de pagamentos, que o agressor nunca entrega.
Adware: um programa que apresenta um anúncio que está fora de contexto
Business intelligence: pedidos de informações sobre fornecedores ou faturas, que são utilizados pelos atacantes para criar um perfil para ataques direcionados adicionais, muitas vezes a partir de um domínio sósia que imita uma origem fidedigna.
Estabelecimento de contactos: Email mensagens (muitas vezes texto genérico) para verificar se uma caixa de entrada está ativa e para iniciar uma conversação. Estas mensagens visam ignorar filtros de segurança e criar uma reputação fidedigna para mensagens futuras maliciosas.
Downloader: um trojan que transfere outro software maligno.
Cartões de oferta: os atacantes representam indivíduos ou organizações fidedignos, convencendo o destinatário a comprar e enviar códigos de oferta card, muitas vezes utilizando táticas de engenharia social.
HackTool: ferramentas que são utilizadas para hacking.
Fraude na fatura: faturas que parecem legítimas, quer ao alterar os detalhes de uma fatura existente, quer ao submeter uma fatura fraudulenta, com a intenção de enganar os destinatários a efetuar pagamentos ao atacante.
Fraude na folha de pagamentos: manipule os utilizadores para atualizar a folha de pagamentos ou conta pessoal detalhes para desviar fundos para o controlo do atacante.
Recolha de informações pessoais (PII): os atacantes representam um indivíduo de alto escalão, como um CEO, para pedir informações pessoais. Estas mensagens de e-mail são frequentemente seguidas por uma mudança para canais de comunicação externos, como o WhatsApp ou mensagens sms para evitar a deteção.
Resgate: software (frequentemente denominado ransomware) que impede os utilizadores de utilizarem ou acederem ao respetivo PC, normalmente para fins maliciosos. O software pode efetuar as seguintes ações:
Exigir que os utilizadores paguem (o resgate).
Encriptar ficheiros e outros dados.
Exigir que os utilizadores realizem atividades como responder a inquéritos ou CAPTCHAS para recuperar o acesso ao computador.
Normalmente, os utilizadores não conseguem mover o foco do dispositivo de entrada para fora do ransomware e os utilizadores não podem terminar facilmente o processo malicioso. Em alguns casos, o ransomware nega o acesso do PC aos utilizadores, mesmo após um reinício ou arranque no Modo de Segurança.
Trojan de Acesso Remoto: software que concede aos atacantes acesso remoto não autorizado e controlo de computadores infetados. Os bots são uma subcategoria de trojans de backdoor.
Spyware: software que pode roubar informações a um utilizador afetado para além das palavras-passe.
Fraude de tarefas: mensagens de e-mail curtas e aparentemente seguras a pedir assistência com uma tarefa específica. Estes pedidos foram concebidos para recolher informações ou induzir ações que podem comprometer a segurança.
Onde os resultados da classificação de ameaças estão disponíveis
Os resultados da classificação de ameaças estão disponíveis nas seguintes experiências no Defender para Office 365: