Microsoft a introduit un système de détection des attaques par ransomware basé sur l’IA pour les clients Microsoft Defender for Endpoint qui complète la protection cloud existante en évaluant les risques et en bloquant les acteurs au périmètre.
Étant donné que les attaques de ransomwares d’origine humaine se caractérisent par un ensemble spécifique de méthodes et de comportements, Microsoft pense pouvoir utiliser une approche d’IA basée sur les données pour détecter ces types d’attaques.
Empêcher la prise initiale
Les attaquants s’implantent généralement dans le système cible en implantant un binaire de malware qui fournit un accès à distance à l’appareil.
Cependant, tous les binaires utilisés dans les attaques ne sont pas connus pour être malveillants, et de nombreux exécutables utilisés dans les attaques sont des programmes légitimes, y compris les commandes Windows intégrées.
Les indicateurs générés par ces binaires peuvent être considérés comme peu prioritaires et ignorés par les défenseurs.
L’ajout d’un système de protection adaptatif basé sur l’IA qui détecterait les comportements inhabituels, même à partir de fichiers binaires légitimes, peut jouer un rôle crucial pour empêcher d’autres compromis sur un appareil et fournir aux équipes de réponse un temps précieux pour déjouer les attaques.
« Dans un environnement client, la fonction de protection adaptative basée sur l’IA a particulièrement réussi à empêcher les humains d’entrer dans le réseau en arrêtant le binaire qui leur permettrait d’accéder », a expliqué Microsoft à propos de son système de défense basé sur l’IA.
« En prenant en compte des indicateurs qui seraient autrement considérés comme de faible priorité pour la remédiation, la protection adaptative a arrêté la chaîne d’attaque à un stade précoce, de sorte que l’impact global de l’attaque a été considérablement réduit. »
« La menace s’est avérée être Cridex, un cheval de Troie bancaire couramment utilisé pour le vol d’identifiants et l’exfiltration de données, qui sont également des composants clés de nombreuses cyberattaques, y compris les ransomwares humains. »
Contrairement à la protection cloud que les administrateurs ajustent manuellement, le nouveau système est adaptatif, ce qui signifie qu’il peut augmenter et diminuer automatiquement l’agressivité des verdicts de blocage fournis par le cloud, sur la base de données en temps réel et de prédictions d’apprentissage automatique.
Source : Microsoft
Blocage des étapes d’attaque suivantes
Même si l’algorithme ne parvient pas à évaluer le risque à son ampleur réelle et qu’un acteur de ransomware trouve un chemin dans le réseau cible, le système restera un obstacle pour eux.
Comme l’explique Microsoft, la protection adaptative peut détecter et bloquer des opérations apparemment bénignes telles que l’énumération du réseau, que les acteurs des ransomwares utilisent pendant la phase de reconnaissance.
De même, les outils open source sont couramment utilisés à des fins de mouvement latéral, ou des logiciels malveillants de base légèrement modifiés qui n’ont pas de signature identifiable peuvent être détectés et bloqués.
« En théorie, dans les attaques où les activités d’attaque à un stade précoce ou intermédiaire ne sont pas détectées et bloquées, la protection adaptative basée sur l’IA peut toujours démontrer une valeur énorme en ce qui concerne la charge utile finale du ransomware. » Microsoft explique
« Étant donné que l’appareil est déjà compromis, notre système de protection adaptative basé sur l’IA peut facilement et automatiquement passer au mode le plus agressif et bloquer les charges utiles réelles du ransomware, empêchant ainsi le cryptage des fichiers et des données importants afin que les attaquants ne puissent pas exiger de rançon pour eux. »
Garder les boucliers
À mesure que les mécanismes défensifs deviennent plus sophistiqués, les acteurs sont beaucoup plus susceptibles de tenter de les désactiver au lieu d’essayer de les esquiver ou de les contourner.
Cela signifie que les administrateurs doivent vérifier régulièrement l’état de leurs outils défensifs, en s’assurant qu’ils sont toujours opérationnels.
La protection du cloud est activée par défaut et l’amélioration basée sur l’IA est désormais automatiquement incluse dans Microsoft Defender for Endpoints en tant que fonctionnalité « toujours active ».
Si l’une de ces fonctionnalités est désormais désactivée, les administrateurs doivent immédiatement enquêter davantage pour déterminer si elles ont été compromises.