Oggi diverse aziende sono vittime di attacchi Ransomware e stanno lottando con questo crescente rischio di infezioni da ransomware. Ma sapevi che Windows 10 potrebbe effettivamente aiutare queste aziende a rilevare e fermare l'ulteriore diffusione dell'infezione da ransomware molto più rapidamente?
Sì, un recente post sul blog di Microsoft pubblicato lunedì mostra come Windows Defender ATP (Advanced Threat Protection) può aiutare le aziende a comprendere meglio i primi casi di attacchi ransomware e utilizzare queste informazioni per proteggere la loro rete.
Windows Defender ATP offre protezione Ransomware
Windows Defender Advanced Threat Protection o Windows Defender ATP è un servizio di sicurezza che consente alle aziende di rilevare, investigare e rispondere alle minacce avanzate poste sulle loro reti. Di seguito è riportata la combinazione di tecnologie utilizzate da Windows Defender ATP, queste sono integrate in Windows 10 e nel robusto servizio cloud di Microsoft:
Di seguito è riportata la combinazione di tecnologie utilizzate da Windows Defender ATP, queste sono integrate in Windows 10 e nel robusto servizio cloud di Microsoft:
Sensori comportamentali endpoint
I sensori comportamentali degli endpoint sono integrati in Windows 10. Questi sensori raccolgono ed elaborano segnali comportamentali dal sistema operativo e inviano ulteriormente i dati del sensore all'istanza cloud privata isolata di Windows Defender ATP.
Cloud Security Analytics
Sfruttando i Big Data, l'apprendimento automatico e l'esclusiva ottica Microsoft attraverso i segnali comportamentali dell'ecosistema di Windows, vengono decodificati in analisi, rilevamenti e risposte consigliate alle minacce avanzate.
Intelligence sulle minacce
Intelligence delle minacce consente a Windows Defender ATP di identificare gli strumenti, le tecniche e le procedure degli attacker e generare allarmi quando vengono rilevati sospetti nei dati dei sensori raccolti.
Simile alla malattia fisica, la cattura di un'infezione da cyber-sicurezza nelle fasi iniziali è la chiave per mitigare il danno potenziale e anche per evitare problemi complessi. Con Windows Defender ATP questo diventa praticamente possibile.
Windows Defender ATP fornisce:
Windows Defender ATP sfrutta la tecnologia e l'esperienza Microsoft per rilevare attacchi informatici di fascia alta. Fornisce-
- Windows Defender ATP offre un rilevamento avanzato degli attacchi basato sul comportamento, basato sul cloud. Aiuta a rilevare gli attacchi post-violazione e fornisce avvisi correlati e utilizzabili per concorrenti noti e sconosciuti.
- Attraverso la ricca linea temporale della macchina, Windows Defender ATP consente di esaminare facilmente l'ambito della violazione o il comportamento sospetto su qualsiasi macchina.
- Windows Defender ATP è dotato dell'esclusiva knowledge base di intelligence delle minacce che fornisce dettagli sugli attori e contesto impegnato per ciascuna minaccia al rilevamento basato su Intel.
Approfitta delle soluzioni di rilevamento post-violazione
Il post del blog dice,
“As attacks reach the post-breach or post-infection layer-when endpoint antimalware fails to stop a ransomware infection-enterprises can benefit from post-breach detection solutions that provide comprehensive artifact information and the ability to quickly pivot investigations using these artifacts.”
Zero del paziente o infezione iniziale
Il post sul blog dice che alcune delle famiglie più diffuse di campagne di ransomware possono effettivamente durare "giorni o anche settimane, impiegando tutto il tempo con file e tecniche simili". Ma se l'azienda interessata può ispezionare il " Paziente Zero"O l'infezione iniziale, possono" fermare efficacemente le epidemie di ransomware ". Ciò significa che se uno strumento antimalware in primo luogo non riesce a prevenire l'attacco effettivo, Windows 10 dovrebbe essere in grado di impedirne la crescita. Lo fa trasformandolo in un'epidemia. Questo può essere fatto perché Windows Defender ATP può segnalare le infezioni originali e anche lavorare per proteggere la rete e bloccare gli attacchi successivi.
Cerber ransomware
La ricerca esamina in dettaglio uno specifico tipo di malware noto come Cerber ransomware. Questo era molto diffuso durante le festività natalizie. Quando è stato eseguito il test, è stato scaricato Cerber ransomware, quando ha tentato di avviare un comando di PowerShell, lo stesso è stato rilevato rapidamente da Windows Defender ATP.
“Windows Defender ATP also generated an alert when the PowerShell script connected to a TOR anonymization website through a public proxy to download an executable. Security Operations Center (SOC) personnel could use such alerts to get the source IP and block this IP address at the firewall, preventing other machines from downloading the executable.”
Genera avvisi
Windows Defender ATP è stato visto generare allarmi attivi quando il ransomware ha tentato di eliminare i punti di ripristino del sistema e le copie shadow del volume. Gli avvisi sono progettati per fornire informazioni contestuali sulla sicurezza e aiutano anche a focalizzare un'indagine sulla prevenzione di un'epidemia.
Una serie di nuovi aggiornamenti in arrivo
Secondo il post, Windows Defender otterrà una serie di nuove difese. Ciò includerebbe nuovi sensori per rilevare il malware in memoria e gli exploit a livello di kernel, la capacità di mettere in quarantena e impedire la successiva esecuzione di file e strumenti migliori per isolare le macchine infette e condurre indagini forensi.
Ora leggi le funzionalità di protezione di Ransomware in Windows 10 qui.
