Trace Id is missing

Säkerheten är aldrig bättre än din hotinformation

Dela
En blå sköld med ett vitt hänglås

Nu ännu starkare med AI

De som har arbetat länge som cybersecurity observer vet hur frustrerande kampen för framsteg kan vara. Vårt yrke kräver ständig vaksamhet och man kan aldrig slå sig till ro och känna att man gör ett bra jobb. Nyhetsrubrikerna domineras visserligen av dåliga nyheter och dystra rapporter, men varje dag kan vi också se framgångshistorier inom cybersäkerhet.

Varje dag delar våra försvarare information i tysthet. Varje dag ökar de kostnaderna för de kriminellas attacker och deras brottssyndikat. Varje dag utnyttjar de sin skicklighet och talang för att snabbt hitta och tvinga bort de kriminella.

Hotinformation (TI) fungerar, och mediantiden det tar innan attackerna upptäcks fortsätter att minska. Den aktuella nivån på 20 dagar är en markant förbättring jämfört med när angripare kunde förbli oupptäckta i flera månader.

Förbättringen beror på flera saker: bättre information, bättre verktyg och bättre resurser. Och när vi samlar dessa krafter, särskilt TI, data i stor skala och AI, ökar och stärker vi vår förmåga som försvarare.

Försvarare ser med hjälp av data, och vår syn har aldrig varit bättre. Molnkonkurrensen har gjort att kostnaderna för att lagra och göra sökningar i data har minskat markant, vilket har lett till stora innovationssprång. Lägre kostnader har gjort det möjligt att distribuera sensorer med högre upplösning i den digitala egendomen. Med framväxten av XDR+SIEM har data och signaler utökats från slutpunkter till appar, identiteter och moln.

Fler signaler innebär en större yta för TI. Sedan kan AI matas med denna TI. TI fungerar som etiketter och träningsdata för AI-modeller så att de kan förutspå nästa attack.

Det som går att hitta med TI kan skalas upp med AI.

Intuitionen och erfarenheten bakom en informationsvinst kan modelleras digitalt med miljontals parametrar mot våra 65 biljoner signaler.

Microsoft använder en strategi för hotinformation med motståndaren i centrum. Vi spårar aktivt mer än 300 unika hotaktörer, inklusive mer än 160 grupper kopplade till nationalstater och mer än 50 ligor som använder utpressningstrojaner.

I det här arbetet krävs kreativitet och innovation, och att många från flera olika områden bidrar. För att få en bra hotinformation krävs samarbete. Cybersäkerhetsexperter och forskare samarbetar med myndigheter inom geopolitik och desinformation för att få en helhetsbild av motståndarna och förstå vad attackerna går ut på när de inträffar samt varför och var de kan inträffa härnäst.

Security Insider-rapport

Om du vill läsa om förstklassig hotinformation i praktiken kan du ladda ned A year of Russian hybrid warfare in Ukraine.

Artificiell intelligens (AI) hjälper till att skala försvaret efter attacken. Med hjälp av AI kan attacker med utpressningstrojaner som styrs av människor oskadliggöras snabbare och signaler med låg konfidens kan omvandlas till ett tidigt varningssystem.

Mänskliga utredare pusslar ihop olika ledtrådar för att upptäcka pågående attacker. Det tar tid. Men i situationer där det är ont om tid kan illvilliga avsikter upptäckas snabbt med hjälp av AI. AI gör det möjligt att länka sammanhang.

Mänskliga utredare tänker på flera nivåer, och på samma sätt kan vi kombinera tre typer av indata från AI för att hitta attacker med utpressningstrojaner när de börjar eskalera.

  • På organisationsnivå används AI för att göra en tidsserieanalys och statistisk analys av avvikelser
  • På nätverksnivå skapas en diagramvy för att identifiera skadliga aktiviteter på olika typer av enheter
  • På enhetsnivå används övervakning av beteenden och TI för att identifiera aktivitet med hög konfidens

Utpressningstrojaner i fokus: Ett samtal med Jessica Payne

Det bästa med utpressningstrojaner är att de i många fall kan förhindras. Många rapporter om utpressningstrojaner fokuserar på den skadliga koden, vilket kan få det att se ut som att hoten från dussintals angripare skalas upp oändligt. I själva verket rör det sig om en liten grupp angripare som använder samma tekniker men som växlar mellan olika tjänster som tillhandahåller utpressningstrojaner.

När vi fokuserar på aktörerna bakom attackerna i stället för den skadliga koden ser vi att de flesta angripare som sprider utpressningstrojaner inte har några magiska färdigheter eller utvecklar specialanpassade dag noll-hot. I stället utnyttjar de vanliga säkerhetsbrister.

Många av angriparna använder samma tekniker, så det går att se var hoten överlappar och vidta åtgärder för att hantera dem. I nästan alla attacker med utpressningstrojaner försöker angriparna komma åt autentiseringsuppgifter till konton med hög behörighetsnivå, till exempel konton för en domänadministratör eller programvaruutvecklare. Och det här är något du kan lösa med inbyggda verktyg som grupprinciper, händelseloggar och regler för minskning av attackytan (MAY).

Några organisationer minskade antalet incidenter med 70 procent genom att aktivera regler för minskning av attackytan, vilket innebar en minskad belastning för säkerhetsteamet och minskad risk för att angripare lyckas få initial åtkomst och sedan kan bryta ned försvaret. De organisationer som fokuserar på den här typen av härdning är också de som lyckas bäst i kampen mot utpressningstrojaner.

Förebyggande arbete är avgörande.

Jag brukar säga att förebyggande åtgärder och identifiering ligger på två helt olika nivåer. De förebyggande åtgärderna fungerar som ett skydd för identifieringen eftersom de minskar aktiviteten i nätverket och skapar utrymme för att hitta det som är viktigt.

Sammanfattningsvis kan man säga att hotinformation i rätt händer kan vara avgörande när det gäller att förhindra en attack eller automatiskt avbryta den.

Läs mer om hur du kan skydda din organisation mot utpressningstrojaner i den fullständiga rapporten.

En grupp personer promenerar på färgglada block
Aktuellt

Hantera cyberhot och stärka försvaret i AI-eran

Framsteg inom AI ger upphov till nya hot – och möjligheter – för cybersäkerhet. Upptäck hur hotaktörer använder AI för att utföra mer sofistikerade attacker och läs sedan metodtipsen om hur du kan skydda dig mot traditionella och AI-baserade cyberhot.
Mer information

Idag går vi in i en ny era inom säkerhet som förstärks av AI. Det är vanligt med maskininlärning i dagens försvarsteknik. Men än så länge har AI främst legat djupt inbäddad i tekniken. Tidigare kunde kunder dra nytta av dess skydd, men inte interagera direkt med AI. Nu har det har förändrats.

Vi går från en värld med aktivitetsbaserad AI som är bra på att identifiera nätfiske eller lösenordsattacker till en värld med generativ AI som bygger på grundmodeller som höjer kompetensen på försvarare överallt.

TI och AI kombineras för att hjälpa försvarare att arbeta snabbare än någonsin. Det ska bli kul att se vad du kommer att göra med den nya tekniken. Vad det än blir vet jag att tillsammans blir vi bättre på att skydda världen.

Relaterade artiklar

Att försvara Ukraina: Tidiga lärdomar av cyberkriget

De senaste rönen i vårt löpande hotinformationsarbete i kriget mellan Ryssland och Ukraina och en rad slutsatser från krigets första fyra månader stärker behovet av löpande och nya investeringar i teknik, data och partnerskap för att stödja myndigheter, företag, icke-statliga organisationer och universitet.
Mer information

Tre sätt att skydda dig mot utpressningstrojaner

Modernt skydd mot utpressningstrojaner kräver mycket mer än bara identifieringsåtgärder. Utforska de tre bästa sätten att förstärka nätverkets säkerhet mot utpressningstrojaner redan idag.
Mer information

Lär dig hotjaktens ABC

När det gäller cybersäkerhet är det till stor hjälp om man är vaksam. Här följer några tips om hur du kan söka efter, identifiera och motverka nya och framväxande hot.
Mer information

Följ Microsoft Security