Trace Id is missing
Przejdź do głównej zawartości
Security Insider

Zabezpieczenia są tylko tak skuteczne, jak nasza analiza zagrożeń

Udostępnij
Niebieska tarcza z białą kłódką

Teraz jeszcze silniejsze dzięki sztucznej inteligencji

Wieloletni obserwatorzy branży cyberbezpieczeństwa wiedzą, jak frustrująca bywa walka o postęp. Nasz zawód wymaga ciągłej czujności, a pewność co do dobrze wykonanej pracy bywa nieuchwytna. W mediach eksponowane są złe wiadomości, pełno jest doniesień o katastrofach i nieprzyjemnych wydarzeniach, a mimo to codziennie obserwujemy sukcesy w zakresie cyberbezpieczeństwa.

Każdego dnia nasi obrońcy dyskretnie wymieniają się informacjami. Każdego dnia podnoszą koszty przestępczości dla atakujących i zrzeszających ich ogromnych syndykatów przestępczych. Każdego dnia wykorzystują swoje szerokie umiejętności i talenty, aby szybciej znajdować i wykluczać przestępców.

Analiza zagrożeń (TI, Threat Intelligence) jest skuteczna i mediana czasu przebywania intruzów w zaatakowanych środowiskach nadal spada. Bieżący poziom wynoszący 20 dni to wyraźna zmiana w porównaniu z sytuacjami z przeszłości, gdy atakujący byli w stanie miesiącami przebywać w systemach niewykryci.

Ta różnica to zasługa lepszej analizy. Lepszych narzędzi. Lepszych zasobów. Gdy połączymy te siły — w szczególności analizę zagrożeń, dane na dużą skalę i sztuczną inteligencję — wzmocni to naszą skuteczność jako obrońców i przyspieszy nasze działania.

Dane zapewniają odbiorcom pole widzenia — i nigdy dotąd nie widzieliśmy tak doskonale. Konkurencja w chmurze radykalnie obniżyła koszty przechowywania danych i badania ich za pomocą zapytań, umożliwiając ogromne skoki w zakresie innowacji. Niższe koszty umożliwiły wdrażanie czujników o wyższej rozdzielczości w całej infrastrukturze cyfrowej. Rozwój rozwiązań rozszerzonych możliwości wykrywania zagrożeń i reagowania na nie (XDR) i rozwiązań zarządzania informacjami oraz zdarzeniami zabezpieczeń (SIEM) spowodował zwiększenie zasięgu danych i sygnałów z punktu końcowego do aplikacji, tożsamości i chmury.

Więcej sygnałów to większy obszar powierzchni dla analizy zagrożeń. Wyniki tej analizy zagrożeń przetwarza następnie sztuczna inteligencja. Analiza zagrożeń dostarcza etykiet i pełni rolę danych szkoleniowych dla modeli sztucznej inteligencji, których zadaniem jest przewidzenie następnego ataku.

To, co znajduje analiza zagrożeń, sztuczna inteligencja pomaga przeskalować.

Intuicję i doświadczenie stojące za skutecznymi wnioskami z analizy można modelować cyfrowo za pomocą milionów parametrów na podstawie 65 bilionów sygnałów, którymi dysponujemy.

Firma Microsoft przyjmuje w analizie zagrożeń podejście skoncentrowane na przeciwniku. Aktywnie śledzimy ponad 300 unikatowych źródeł zagrożeń, w tym ponad 160 grup powiązanych z podmiotami państwowymi i ponad 50 gangów używających oprogramowania wymuszającego okup (ransomware).

Ta praca wymaga kreatywności i innowacyjności oraz wkładu wielu współpracowników z różnych dziedzin. Skuteczna analiza zagrożeń to efekt współpracy wielu osób — ekspertów ds. cyberbezpieczeństwa i przedstawicieli nauk stosowanych współpracujących z autorytetami w dziedzinie geopolityki i dezinformacji w celu uwzględnienia pełnego krajobrazu przeciwników, aby zrozumieć, na czym polega atak i kiedy jest prowadzony, oraz wywnioskować, dlaczego i gdzie może wystąpić ponownie.

Raport Security Insider

Aby zobaczyć najlepszą w swojej klasie analizę zagrożeń w działaniu, pobierz dokument Rok rosyjskiej wojny hybrydowej na Ukrainie.

Sztuczna inteligencja (AI) pomaga skalować obronę z szybkością zgodną z szybkością ataku. Dzięki sztucznej inteligencji ataki z użyciem oprogramowania wymuszającego okup (ransomware) prowadzone przez człowieka można udaremniać jeszcze szybciej, zmieniając sygnały z niskim stopniem pewności w system wczesnego ostrzegania.

Gdy sytuację analizują ludzie, muszą oni znaleźć powiązania między poszczególnymi wskazówkami, aby zorientować się, że ma miejsce atak. To wymaga czasu. Jednak w sytuacjach, w których czasu brakuje, proces ustalania złośliwych zamiarów można przeprowadzić z szybkością działania sztucznej inteligencji. Sztuczna inteligencja umożliwia łączenie kontekstów.

Podobnie jak w przypadku, gdy sytuację analizują ludzie myślący wielopoziomowo, możemy połączyć trzy rodzaje danych wejściowych opartych na sztucznej inteligencji, aby wykryć ataki z użyciem oprogramowania ransomware już na początku eskalacji.

  • Na poziomie organizacji sztuczna inteligencja wykorzystuje analizę szeregów czasowych i analizę statystyczną anomalii
  • Na poziomie sieci tworzy widok grafu w celu identyfikowania złośliwych działań na różnych urządzeniach
  • Na poziomie urządzenia wykorzystuje monitorowanie zachowań i analizę zagrożeń w celu identyfikowania działań z wysokim stopniem pewności

Ataki ransomware w centrum uwagi: rozmowa z Jessicą Payne

Najlepszą wiadomością na temat ataków z użyciem oprogramowania wymuszającego okup (ransomware) jest to, że jest to zagrożenie, któremu można w dużej mierze zapobiec. Wiele raportów na temat ataków z użyciem oprogramowania wymuszającego okup skupia się na związanych z nimi ładunkach, co może wywoływać wrażenie stale rosnącego zagrożenia ze strony dziesiątek atakujących. Jednak źródłem tego zagrożenia jest tak naprawdę podgrupa atakujących, którzy używają tych samych technik, lecz wykorzystują różne dostępne programy ransomware jako ładunki usług.

Gdy zamiast skupiać się na ładunkach, przyjrzymy się stojącym za atakami źródłom zagrożeń, dostrzeżemy, że większość atakujących wdrażających oprogramowanie ransomware nie stosuje żadnych magicznych umiejętności ani nie opracowuje wyspecjalizowanych programów wykorzystujących luki zero-day — wykorzystują oni typowe słabe punkty zabezpieczeń.

Wielu atakujących używa tych samych technik, więc można dostrzec obszary, w których zagrożenia się pokrywają, i zastosować odpowiednie mechanizmy ograniczenia ryzyka. Niemal każdy atak z użyciem oprogramowania wymuszającego okup polega na uzyskaniu przez atakujących dostępu do wysoce uprzywilejowanych poświadczeń, na przykład administratora domeny lub konta do wdrażania oprogramowania. Jest to zagrożenie, któremu można zaradzić za pomocą wbudowanych narzędzi, takich jak zasady grupy, dzienniki zdarzeń i reguły zmniejszania obszaru podatnego na ataki.

W niektórych organizacjach, w których włączono reguły zmniejszania obszaru podatnego na ataki, zaobserwowano redukcję zdarzeń na poziomie 70%, co przekłada się na mniejsze zmęczenie pracowników SOC i obniżenie ryzyka, że atakujący uzyskają początkowy dostęp pozwalający im na osłabienie obrony. Organizacje, które skutecznie radzą sobie z atakami z użyciem oprogramowania wymuszającego okup, to właśnie te, które skupiają się na tego typu wzmacnianiu zabezpieczeń.

Działania zapobiegawcze są niezbędne.

Często powtarzam, że zapobieganie i wykrywanie nie są sobie równe. Zapobieganie jest strażnikiem wykrywania, ponieważ pozwala wyciszyć sieć i zapewnić przejrzystość umożliwiającą znajdowanie najważniejszych rzeczy.

Podsumowując: właściwie stosowana analiza zagrożeń ma kluczowe znaczenie dla skutecznego zapobiegania atakom oraz ich automatycznego przerywania.

Dowiedz się więcej o chronieniu organizacji przed oprogramowaniem wymuszającym okup (ransomware) i przeczytaj pełny raport.

Grupa osób spacerujących między kolorowymi klockami
Polecane

Poruszanie się po świecie cyberzagrożeń i wzmacnianie obrony w erze sztucznej inteligencji

Postępy w dziedzinie sztucznej inteligencji (AI) stwarzają nowe zagrożenia i otwierają nowe możliwości związane z cyberbezpieczeństwem. Dowiedz się, jak źródła zagrożeń wykorzystują sztuczną inteligencję do prowadzenia bardziej wyrafinowanych ataków. Następnie przejrzyj najlepsze rozwiązania pomagające chronić się przed cyberzagrożeniami — tradycyjnymi i wykorzystującymi sztuczną inteligencję.
Dowiedz się więcej

Wkraczamy dziś w nową erę w ulepszaniu zabezpieczeń za pomocą sztucznej inteligencji. Uczenie maszynowe jest dziś powszechnie używane w technologiach obronnych. Jednak do tej pory sztuczna inteligencja była z reguły głęboko ukryta pod wieloma warstwami technologii. Klienci czerpali korzyści z jej działania na rzecz ochrony, ale nie mogli wchodzić z nią w bezpośrednie interakcję — i to się zmieniło.

Odchodzimy od świata sztucznej inteligencji opartej na zadaniach, w której sprawdzała się ona przy wykrywaniu prób wyłudzania informacji lub ataków rozproszonych na hasła, i wkraczamy w świat generatywnej sztucznej inteligencji opartej na modelach podstawowych, które zwiększają umiejętności obrońców na całym świecie.

Połączenie analizy zagrożeń (TI) i sztucznej inteligencji (AI) pomoże obrońcom działać szybciej niż kiedykolwiek wcześniej. Z niecierpliwością czekam na to, jak wykorzystacie te możliwości. Jakkolwiek będzie to wyglądać, wiem, że razem będziemy lepiej chronić planetę.

Powiązane artykuły

Obrona Ukrainy: Wczesne wnioski z wojny cybernetycznej

Najnowsze ustalenia z naszych bieżących analiz zagrożeń związanych z wojną między Rosją a Ukrainą oraz szereg wniosków z pierwszych czterech miesięcy tej wojny podkreślają potrzebę ciągłych i nowych inwestycji w technologię, dane i partnerstwa służące wspieraniu rządów, przedsiębiorstw, organizacji pozarządowych i uniwersytetów.
Dowiedz się więcej

Trzy metody ochrony przed oprogramowaniem ransomware

Wdrożenie systemów wykrywania zagrożeń to za mało, by poradzić sobie z nowoczesnym oprogramowaniem ransomware. Zapoznaj się z trzema głównymi metodami zwiększania bezpieczeństwa swojej sieci przed oprogramowaniem ransomware.
Dowiedz się więcej

Poznaj podstawy wyszukiwania zagrożeń

Jeśli chodzi o cyberbezpieczeństwo, warto zachować czujność. Tutaj znajdziesz informacje o tym, jak wyszukiwać i identyfikować nowe i wyłaniające się zagrożenia oraz jak ograniczać związane z nimi ryzyko.
Dowiedz się więcej

Obserwuj rozwiązania zabezpieczające firmy Microsoft