Microsoft har demonstrert nye funksjoner som drastisk reduserer faren for løsepengeangrep. De blir snart tilgjengelige i forhåndsversjon. Presentasjonen ble holdt på Microsoft Ignite 2022, selskapets årlige konferanse for utviklere og IT-profesjonelle. Microsoft 365 Defender er en ledende løsning for utvidet deteksjon og respons (XDR) som korrelerer millioner av signaler fra endepunkter, identiteter, e-post og skyapper til fullstendige hendelser. Det hjelper forsvarere med å se hele drapskjeden med ende-til-ende-kontekst på tvers av domener og gjør det enklere å raskt rette opp i sikkerhetsbrudd.
De annonserte forbedringene omfatter angrepsavbrudd som automatisk isolerer infiserte enheter og blokkerer kompromitterte brukere under et pågående angrep. Det skjer betydelig kjappere enn ved manuelle inngrep, begrenser laterale bevegelser og demper den samlede virkningen. Samtidig gir det sikkerhetsteam muligheten til å etterforske og utbedre trusler og bringe ressurser online igjen. Det er et forbedret grensesnitt som forenkler undersøkelses- og utbedringsopplevelsen. Gjentatte angrep hindres med en ny metode for å prioritere sikkerhetsanbefalinger basert på trusselintelligens og beste praksis. Det følger med kontekstsensitive brukanvisninger for utbedring.
Automatisk utbedring av en flertrinnshendelse
Her demonstreres et automatisert angrepsavbrudd i Microsoft 365 Defender på en hendelse som går over flere trinn. Den involverer utførelse og sidelengs bevegelse inkludert løsepengevare. Grafikken viser tydelig hvordan angrepet er kommet inn, og hvilke enheter og brukere som er rammet. Varsler fra forskjellige sikkerhetsprodukter settes i forhold til hverandre og danner en samlet beretning. Det har vi hatt fra før, skjønt ikke like elegant og med kontekstbytte. Og nå får vi en lynkjapp automatikk for å isolere og slå ned på angrepet.
Et stadig mer alvorlig trusselbilde
Trussellandskapet utvikler seg kontinuerlig. Det blir stadig mer sofistikert og øker i omfang og hastighet. Angripere bruker kraftige verktøysett, skyinfrastruktur og dokumentert ekspertise i sine angrep. Det kan ta mindre enn to timer fra en bruker klikker på en phishing-lenke, til en angriper har full tilgang til innboksen og beveger seg sidelengs (lateralt). Med denne farten vil mange organisasjoner ikke engang vite at de er blitt utsatt for et sikkerhetsbrudd før det er for sent. Forsvarere trenger en løsning som hjelper dem å holde seg på toppen av pågående angrep og matche maskinhastighet med maskinhastighet. Løsepengevirus sprer seg som ild i tørt gress og må stanses i kimen.
Trusler og komplekse digitale miljøer
Trusler utnytter kompleksiteten i våre digitale miljøer. Microsoft 365 Defender samler fire produkter i én portefølje. Defender for Office 365 verner e-post og samarbeidsplattformen mot skadevare, farlige lenker og phishing. Defender for Endpoint sørger for endepunktsbeskyttelse i verdensklasse. Defender for Identity beskytter hybride brukere og dekker fasene i en cyberdrapskjede. Defender for Cloud Apps er en sikkerhetsmekler for trygg skytilgang. Samlet bidrar de til å avdekke og hindre angrep som strekker seg over disse fire domenene:
E-post. Et angrep starter gjerne med phishing. Bruker lures til å åpne et infisert vedlegg eller klikke på en ondsinnet lenke. Andre muligheter er at du tilfeldig ender opp på en nettside som laster ned en trojaner i bakgrunnen.
Endepunkter. I neste stadium installeres det skadevare på enheter. Angrepet kan også begynne fra en USB-brikke – strategisk, tilsynelatende tilfeldig plassert som vekker nysgjerrighet. Skadelig programvare tar kontakt med angripernes kommando- og kontrollservere. Skurkene får tastaturtilgang til enheter.
Identiteter. Standard brukerkontoer blir kompromittert, så overtas privilegerte admin-kontoer. Til slutt er hele domenet i fare.
Nyttelaster. Angriperne eksfiltrerer følsomme data, stopper tjenester og ødelegger sikkerhetskopier. Filer krypteres på ytterligere verter.
Når – ikke hvis – angrepet er et faktum, sender disse produktene varsler til Microsoft 365 Defender, som ordner dem til én eller flere hendelser som hører sammen. I utgangspunktet benyttes kunstig intelligens for å etterforske og utbedre sikkerhetsbrudd automatisk. Med den nye funksjonen for automatisert angrepsavbrudd øker sjansen dramatisk for at det ikke oppstår for store skader. Men du må også inn manuelt for å overvåke og løse problemer som automatikken ikke klarer.
Trusselintelligens – grunnlaget for et sterkt forsvar
Hold deg i forkant av trusselaktører og treff smartere beslutninger. Microsoft samarbeider med myndigheter og sikkerhetsindustrien for å oppnå bedre sikkerhet for alle. Selskapet deler beriket trusselintelligens (TI) med kunder og partnere for å bidra til et intelligent økosystem. Global TI er bygget inn i Microsofts produkter og tjenester, noe som styrker forsvarere overalt. I Microsoft 365 Defender finner du TI under fanen Trusselanalyser (Threat analytics), som hjelper deg med å forstå, forhindre, identifisere og stanse nye trusler. I tillegg har Microsoft lansert et dedikert produkt, Defender Threat Intelligence, et nytt tilbud som gir direkte tilgang til sanntidsdata fra selskapets sikkerhetssignaler.
Forbedret sikkerhetsstatus med angrepsinnsikt
Microsofts mål er å gjøre det mulig for kunder å sette miljøet sitt i best mulig posisjon for å forhindre angrep fra å skje. Ingen ønsker å se samme angrep eller utnyttelsen av sårbarheten to ganger. Ved å bruke kraften til XDR analyserer Microsoft 365 Defender teknikkene som benyttes av en angriper fra virkelige angrep, og kartlegger dem til kontroller som tilbys på tvers av nyttelaster.
Det er en ny prioritert visning av anbefalte sikkerhetsinnstillinger som angir hvilke som vil bidra til å forhindre lignende angrep i fremtiden. Visningen setter sikkerhetsanbefalinger i direkte sammenheng med et angrep og skaper en helt ny måte å effektivt prioritere forbedringer av sikkerhetsstatusen i virksomheter. Du får en ny fane kalt Exposures and mitigations (Eksponeringer og avbøtende tiltak). Den inneholder en liste over anbefalte sikkerhetsinnstillinger og viser øverst hvilke angrep som nylig har påvirket miljøet ditt og kunne vært forhindret hvis disse innstillingene hadde vært på plass.
Visuell hendelsesgraf og bruksanvisninger
Visingene for etterforskning er ytterligere forbedret for å optimalisere arbeidsflyter. Det blir enklere å bore seg dypere ned i en hendelse og stanse sikkerhetsbrudd raskere. I den innledende fasen dreier det seg om å fastslå hva som har skjedd, og hvilke ressurser som er berørt. Hendelsesgrafen gir en visuell representasjon av angrepshistorien og viser alle involverte objekter og hvordan de er påvirket. Etterforskningsopplevelsen er redesignet så man beholder hele sammenhengen, selv når man graver seg ned i individuelle varsler. Samtidig lar den nye visningen analytikere gjennomgå lignende varsler som nylig oppsto i deres miljø. Dette gjør det enklere og kjappere å forstå den mulige effekten og iverksette relevante tiltak.
Analytikere må være sikre på hvert skritt de skal ta for å starte å utbedre sikkerhetsbrudd. Nå inkluderes kontekstsensitive bruksanvisninger som omfatter trinn-for-trinn-veiledninger med anbefalinger om beste praksis for hvordan du kan undersøke og reagere på en hendelse. De sørger for at sikkerhetsteam får viktig informasjon med optimaliserte innsikter og verktøy. Ovenfor er et eksempel på en phishing-kampanje. Veiledningene er utformet for å være interaktive og kobler til tilleggsmateriell som dokumentasjon, blogger og videoer.
Andre annonseringer for Microsoft 365 Defender
Alle funksjoner i Defender for Cloud Apps vil være tilgjengelige i Microsoft 365 Defender i offentlig forhåndsversjon. Organisasjoner drar nytte av en sentralisert opplevelse for oppdagelse, etterforskning, avdemping og håndtering av hendelser. Microsoft har i tillegg slått sammen funksjonene for informasjonsbeskyttelse i Microsoft 365 Defender. Dette inkluderer muligheten til å koble til apper, gi synlighet til filer og konfigurere retningslinjer for data i hvile og bevegelse.Det er også innlemmet funksjoner for OAuth- og appstyring.
Avsluttende ord
Gjennomgangsmotivet på Ignite var «Gjør mer med mindre». Det innebærer naturlig nok å trekke veksler på analyse av stordata og automatisering ved hjelp av kunstig intelligens med maskin- og dyplæring – å ligge i forkant av angriperne krever konstant innovasjon. Men i disse økonomisk usikre tider ble det også lagt vekt på å få mer ut av eksisterende investeringer. En enestående gave i vår sammenheng er at Microsoft har redusert prisen på Defender for Endpoint med 50 prosent (tilbudet gjelder fra 1. november 2022 og avsluttes 30. juni 2023).
Selskapet ønsker at vi går over fra tradisjonelle antivirusløsninger til markedets mest avanserte endepunktsbeskyttelse. Angripere har for lengst lært seg å omgå signaturbaserte forsvar. Microsoft 365 Defender korrelerer signaler på tvers av endepunkter, identiteter, e-post, dokumenter og skyapper. En ny avansert løsning suspenderer automatisk kompromitterte kontoer og isolerer infiserte enheter som benyttes til å spre løsepengevirus. Det reduserer de totale kostnadene ved å hindre angrep i å bevege seg sidelengs.
