Microsoft espone progressi e miglioramenti del suo Sistema di protezione avanzato per aziende e consumatori.
Disponibile già per Windows e macOS con le diverse soluzioni business e consumer, Microsoft Defender ATP (Microsoft Defender Advanced Threat Protection) è disponibile con la prima anteprima pubblica da oggi anche per distro Linux ed arriverà entro questo 2020 anche su dispositivi mobili Android e iOS. Questo e molto altro annunciato oggi da Microsoft. I dettagli:Gli aggressori attraverseranno più domini come e-mail, identità , endpoint e applicazioni per trovare il punto di minor resistenza. Le soluzioni di difesa odierne sono state progettate per proteggere, rilevare e bloccare le minacce per ciascun dominio separatamente, consentendo agli aggressori di sfruttare le giunture e le differenze di soglia tra le soluzioni, lasciando l'azienda vulnerabile agli attacchi. Mentre un aspetto di un attacco può essere catturato e bloccato nell'e-mail, lo stesso attore di minaccia potrebbe anche aver compromesso le identità sfruttando password deboli o credenziali trapelate o ingannando le persone nel fornire le loro password o token di autorizzazione. È anche possibile che le soluzioni puntuali trascurino completamente i segnali critici perché, isolatamente, non sono riusciti a registrarsi come significativi.
L'industria nel suo complesso ha lottato per vincere questa battaglia, ma possiamo invertire la tendenza. L'attuale classe di soluzioni di sicurezza può fare un lavoro migliore per fermare o addirittura prevenire la diffusione di attacchi guardando l'intero stack di sicurezza come un organismo vivente. Dobbiamo forzare un cambiamento nel paradigma della protezione passando da un modello di rilevamento reattivo e risposta basato su soluzioni di sicurezza silenti alla protezione proattiva. Non possiamo lasciare che i team di sicurezza coordinino manualmente i segnali tra domini per comprendere appieno l'ampiezza dell'attacco e come fermarlo. La protezione dalle minacce che modifica il nostro approccio agli attacchi richiede un'intelligenza integrata in grado di capire come è avvenuto un attacco, prevenirne la diffusione tra domini e curare automaticamente le risorse compromesse.
Microsoft Threat Protection coordina le difese per impedire agli attacchi di diffondersi e auto-curare le risorse interessate
Microsoft Threat Protection (MTP) generalmente disponibile fornisce l'intelligenza, l'automazione e l'integrazione integrate per coordinare protezione, rilevamento, risposta e prevenzione combinando e orchestrando in un'unica soluzione le funzionalità di Microsoft Defender Advanced Threat Protection (ATP) (endpoint ), Office 365 ATP (e-mail), Azure ATP (identità ) e Microsoft Cloud App Security (app).Con MTP, i team di sicurezza possono:
- Blocca automaticamente gli attacchi ed elimina la loro persistenza per impedire loro di ricominciare. MTP esamina i vari domini per comprendere l'intera catena di eventi, identificare le risorse interessate e proteggere le risorse più sensibili. Quando, ad esempio, un utente compromesso o un dispositivo a rischio tenta di accedere a informazioni riservate, MTP applica l'accesso condizionato e blocca l'attacco, offrendo il modello Zero Trust.
- Dare la priorità agli incidenti per le indagini e le risposte. MTP ti consente di concentrarti su ciò che conta di più correlando avvisi e segnali di basso livello in incidenti per determinare l'intera portata della minaccia tra i servizi di Microsoft 365 . Gli incidenti forniscono un quadro completo della minaccia in tempo reale e in un'unica console coerente.
- Guarigione automatica delle risorse. MTP identifica le risorse interessate come utenti, endpoint, cassette postali e applicazioni e le riporta in uno stato sicuro. La guarigione automatizzata include azioni come l'identificazione e l'interruzione di processi dannosi sugli endpoint e la rimozione delle regole di inoltro della posta implementate dagli attaccanti e la marcatura degli utenti come compromessi nella directory.
- Focalizza competenze uniche sulla caccia tra domini. MTP consente al team di sicurezza di essere proattivo, restituendo loro il tempo necessario per apprendere dalle nostre conoscenze, rafforzare le difese e tenere lontane altre minacce. Inoltre, consente loro di utilizzare le proprie conoscenze organizzative uniche come gli indicatori proprietari di compromesso, i modelli comportamentali specifici dell'organizzazione e la ricerca in forma libera per cercare attivamente le minacce tra domini con query personalizzate su dati non elaborati.
Non solo abbiamo adottato il framework MITER ATT & CK per gli endpoint, ma siamo entrati a far parte del MITER Center for Threat Informed Defense come sponsor fondatore della ricerca per condividere e accrescere la nostra comprensione dell'intera portata dei comportamenti degli aggressori tra domini. La profonda conoscenza che abbiamo di ciascuno di questi pilastri di protezione, combinata con gli oltre 100 membri della Microsoft Intelligent Security Association (MISA), offre ai nostri clienti la protezione olistica di cui hanno bisogno per superare finalmente gli attacchi.
Difese coordinate per scoprire l'intera catena di uccisioni in attacco possono aiutare a bloccare gli attacchi a livello nazionale
I servizi cloud ampliano significativamente il perimetro tradizionale che i difensori devono monitorare e proteggere, introducendo nuovi scenari di attacco. HOLMIUM, un noto avversario focalizzato sulle vittime principalmente nei settori dell'energia e aerospaziale in cui i pagamenti sono enormi, è stato uno dei primi a utilizzare i vettori di attacchi cloud.Nel 2019, il Microsoft Threat Intelligence Center ha notificato a quasi 10.000 clienti presi di mira da alcuni attori nazionali, citando HOLMIUM come uno dei più attivi. Attacchi sofisticati come questo sono il motivo per cui è stato creato MTP. Un recente modello di attacco HOLMIUM lo dimostra: HOLMIUM prende di mira le identità nel cloud come primo passo. Dopo aver compromesso un'identità , l'avversario sfrutta le API cloud per persistere, utilizzando una configurazione e-mail cloud per eseguire PowerShell dannoso sull'endpoint ogni volta che Outlook viene aperto dall'utente. Un approccio convenzionale per contenere questa minaccia può iniziare con l'endpoint; quando viene rilevata l'attività di PowerShell, SOC corregge l'endpoint. Tuttavia, in questo caso l'attaccante è persistente nel cloud e quindi l'endpoint potrebbe essere immediatamente compromesso di nuovo.
MTP guarda al quadro generale e va oltre il semplice blocco sull'endpoint, mettendo un'organizzazione compromessa in una posizione migliore per combattere la minaccia. I segni dell'attacco vengono rilevati in tutti i domini interessati, inclusa l'attività di irrorazione di password su Azure Active Directory (AD) , accessi a Office 365con credenziali potenzialmente compromesse ed esecuzioni PowerShell dannose sugli endpoint. Questi rilevamenti sono correlati in un incidente coerente che cataloga l'attacco end-to-end e tutte le risorse interessate. MTP interviene per bloccare l'attacco, non solo interrompendo l'attività di PowerShell sugli endpoint ma anche contenendo gli account utente interessati contrassegnandoli come compromessi in Azure AD. Il report Analisi delle minacce in MTP fornisce una visualizzazione dell'esposizione e raccomanda al cliente di applicare la patch di sicurezza di Outlook appropriata che impedirà il ripetersi di questo attacco.
MTP estende la protezione coordinata tra piattaforme con Microsoft Defender ATP per Linux e tra domini con Azure Sentinel
Oggi annunciamo un altro passo nel nostro viaggio per offrire sicurezza da Microsoft con l'anteprima pubblica di Microsoft Defender ATP per Linux. L'estensione della protezione dalle minacce endpoint a Linux è stata una richiesta da molto tempo da parte dei nostri clienti e siamo entusiasti di poterlo offrire. Sappiamo che gli ambienti dei nostri clienti sono complessi ed eterogenei. Fornire una protezione completa su più piattaforme attraverso un'unica soluzione e una visualizzazione semplificata è più importante che mai. La prossima settimana alla conferenza RSA, forniremo in anteprima i nostri investimenti nella difesa dalle minacce mobili con il lavoro che stiamo facendo per portare le nostre soluzioni su Android e iOS.Azure Sentinel , il responsabile delle informazioni sulla sicurezza e dell'evento (SIEM) nativo del cloud di Microsoft, estende ulteriormente le funzionalità di MTP incorporando avvisi, informazioni sulle minacce e segnali provenienti da soluzioni di terze parti. MTP condivide avvisi e intelligence sulle minacce con Azure Sentinel in modo che i team di sicurezza possano visualizzare e gestire le minacce su Microsoft e soluzioni di sicurezza di terze parti in un'unica console SIEM.
Articolo di HTNovo