Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Importante
Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.
A proteção preditiva (Pré-visualização) é uma estratégia de defesa proativa concebida para antecipar e mitigar ameaças como parte de um ataque em curso. A proteção preditiva expande o Microsoft Defender pilha de proteção autónoma, melhorando as capacidades de interrupção automática de ataques com medidas proativas.
Este artigo fornece uma descrição geral da proteção preditiva para que possa compreender as suas capacidades e como melhora a sua postura de segurança.
Saiba como funciona a proteção preditiva ou como gerir a proteção preditiva no Microsoft Defender.
Como a proteção preditiva se expande na interrupção automática de ataques
O panorama das ameaças em evolução cria um desequilíbrio: os defensores têm de proteger todos os recursos, enquanto os atacantes só precisam de uma abertura. As defesas tradicionais são reativas, respondendo após o início da atividade maliciosa. Esta abordagem deixa os defensores a perseguir atacantes, que muitas vezes agem de forma demasiado rápida ou subtil para detetar em tempo real. Embora alguns comportamentos de atacantes devam ser totalmente bloqueados, a prevenção estática interrompe a produtividade e aumenta a sobrecarga operacional.
Para enfrentar estes desafios, a proteção preditiva melhora a pilha de proteção autónoma do Defender, expandindo a interrupção do ataque para incluir medidas proativas durante um ataque, antecipando riscos e aplicando proteções direcionadas apenas quando necessário.
Esta abordagem proativa reduz a perseguição reativa, minimiza a carga operacional, mantém a usabilidade e protege o ambiente antes que os atacantes possam avançar.
Enquanto a interrupção do ataque identifica e contém recursos comprometidos, a proteção preditiva antecipa uma potencial progressão do ataque e restringe proativamente os recursos ou caminhos vulneráveis. Por exemplo, enquanto a interrupção automática do ataque isola um dispositivo comprometido, a proteção preditiva pode restringir proativamente o acesso a dados confidenciais para dispositivos em risco.
Como funciona a proteção preditiva
A proteção preditiva utiliza análise preditiva e informações em tempo real para identificar dinamicamente riscos emergentes e aplica proteções direcionadas.
A proteção preditiva integra a postura, a atividade e o contexto do cenário para identificar potenciais caminhos e destinos de ataque, proteção seletiva de recursos críticos ou restrição de caminhos de ataque mesmo a tempo.
Esta abordagem minimiza a sobrecarga operacional e proporciona às equipas de segurança mais tempo para responder. Por exemplo, a proteção preditiva pode restringir dinamicamente o acesso a dados confidenciais para dispositivos identificados como em risco, reduzindo a necessidade de restrições abrangentes ao nível do ambiente.
A proteção preditiva baseia-se em dois pilares:
-
Predição
- Envolve analisar informações sobre ameaças, comportamento de atacantes, incidentes anteriores e exposição organizacional.
- O Defender utiliza estes dados de predição para identificar riscos emergentes, compreender a provável progressão do ataque e inferir o risco em recursos não prometidos.
- A aplicação aplica controlos de proteção preventivos para interromper potenciais caminhos de ataque em tempo real.
Esta abordagem dupla garante que a proteção é precisa e oportuna.
Lógica de predição
A predição permite que as organizações identifiquem recursos em risco e apliquem proteções personalizadas em tempo real. A predição centra-se nos riscos emergentes em vez da prevenção estática, o que minimiza o atrito operacional e garante que as medidas de segurança são aplicadas precisamente quando necessário. Por exemplo, se for detetada uma ferramenta de atacante específica, a proteção preditiva pode inferir o próximo alvo provável com base em padrões de ataques anteriores.
O Defender utiliza várias camadas de informações para fazer predições precisas:
- As informações sobre ameaças alinham a atividade observada com as ferramentas e táticas conhecidas do atacante.
- As aprendizagens de incidentes anteriores são utilizadas para reconhecer padrões estatísticos e extrapolar os próximos passos mais prováveis.
- Os dados de exposição organizacional são utilizados para mapear a forma como o ambiente é estruturado — que recursos e identidades estão ligados, quais as permissões que estas identidades têm, que vulnerabilidades ou configurações incorretas existem e como o risco pode propagar-se entre elas.
Em conjunto, estas informações criam uma compreensão dinâmica do ambiente e dos seus riscos.
Lógica baseada em gráficos
A lógica de predição baseada em gráficos faz a ponte entre os sistemas de pré-falha e pós-falha, proporcionando uma vista unificada da atividade do atacante em toda a topologia organizacional. Esta vista unificada inclui os recursos, ligações e vulnerabilidades da organização. A lógica baseada em gráficos combina dados de atividade dinâmica com o mapa estrutural do ambiente.
Esta integração permite ao Defender ajustar dinamicamente as proteções com base nas vulnerabilidades mais críticas, permitindo a atribuição de prioridades em tempo real de defesas e parando os atacantes antes de atingirem recursos críticos.
O processo envolve três fases principais:
- O Defender sobrepõe-se à atividade pós-falha no gráfico de exposição da organização, criando uma vista abrangente de potenciais caminhos de ataque.
- O Defender identifica o raio de explosão — os recursos relacionados que a atividade identificada pode afetar.
- Os modelos de raciocínio preveem caminhos que os atacantes são mais propensos a seguir, tendo em conta comportamentos anteriores, características de ativos e vulnerabilidades ambientais.
Esta compreensão dinâmica permite que o Defender ultrapasse as respostas reativas, ativando a proteção just-in-time que para os atacantes antes de atingirem recursos críticos.
Ações de proteção preditiva
A proteção preditiva utiliza o Defender para ações baseadas em Pontos Finais. Para utilizar estas ações, precisa de uma licença do Defender para Endpoint.
Proteção do cofre – protege o dispositivo contra o arranque no Modo de Segurança. O arranque no Modo de Segurança é uma tática comum utilizada pelos atacantes para ignorar os controlos de segurança e manter a persistência em sistemas comprometidos.
Proteção de GPO – endurece Política de Grupo Objetos (GPOs) para impedir que os atacantes explorem configurações incorretas ou fraquezas nas definições de GPO para escalar privilégios ou mover-se lateralmente dentro da rede.
Contenção proativa do utilizador (contém utilizador) – infunde dados de atividade com dados de exposição para identificar credenciais expostas em risco de serem comprometidas e reutilizadas para realizar atividades maliciosas. Restringe proativamente a atividade dos utilizadores associados a essas credenciais.
Nota
Embora a ação conter utilizador seja utilizada tanto na interrupção do ataque como na proteção preditiva, esta ação é aplicada de forma diferente em cada contexto. Na proteção preditiva, a ação conter utilizador aplica restrições de forma mais seletiva, com um foco nos utilizadores identificados como de alto risco através da lógica de predição. Esta ação impede novas sessões em vez de terminar as existentes.
Passos seguintes
- Gerir a proteção preditiva no Microsoft Defender – saiba como gerir ações de proteção preditiva e investigar o impacto no seu ambiente.
- Interrupção automática de ataques no Microsoft Defender – saiba como funciona a interrupção automática de ataques para identificar e neutralizar atividades maliciosas confirmadas.
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.