Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Che cos'è blocco e contenimento secondo dati comportamentali?
Il panorama delle minacce di oggi è invaso da malware senza file che vive fuori terra, minacce altamente polimorfiche che mutano più velocemente rispetto alle soluzioni tradizionali possono tenere il passo con gli attacchi gestiti dall'uomo che si adattano a ciò che gli avversari trovano sui dispositivi compromessi. Le soluzioni di sicurezza tradizionali non sono sufficienti per arrestare tali attacchi; sono necessarie funzionalità supportate dall'intelligenza artificiale (IA) e da Machine Learning (ML), ad esempio il blocco comportamentale e il contenimento, incluse in Defender per endpoint.
Le funzionalità di blocco e contenimento comportamentali possono aiutare a identificare e arrestare le minacce in base ai comportamenti e agli alberi dei processi, anche quando la minaccia è già iniziata. Le funzionalità e i componenti e le funzionalità di protezione di nuova generazione, EDR e Defender per endpoint interagiscono nelle funzionalità di blocco e contenimento del comportamento.
Le funzionalità di blocco e contenimento comportamentali funzionano con più componenti e funzionalità di Defender per endpoint per arrestare immediatamente gli attacchi e impedire l'avanzamento degli attacchi.
La protezione di nuova generazione (che include Microsoft Defender Antivirus) può rilevare le minacce analizzando i comportamenti e interrompendo l'esecuzione delle minacce.
Il rilevamento e la risposta degli endpoint (EDR) ricevono segnali di sicurezza attraverso la rete, i dispositivi e il comportamento del kernel. Man mano che vengono rilevate minacce, vengono creati avvisi. Più avvisi dello stesso tipo vengono aggregati in eventi imprevisti, il che semplifica l'analisi e la risposta del team delle operazioni di sicurezza.
Defender per endpoint offre un'ampia gamma di ottica tra identità, posta elettronica, dati e app, oltre ai segnali di rete, endpoint e comportamento del kernel ricevuti tramite EDR. Un componente di Microsoft Defender XDR, Defender per endpoint elabora e correla questi segnali, genera avvisi di rilevamento e connette gli avvisi correlati negli eventi imprevisti.
Con queste funzionalità, è possibile impedire o bloccare altre minacce, anche se iniziano l'esecuzione. Ogni volta che viene rilevato un comportamento sospetto, la minaccia è contenuta, vengono creati avvisi e le minacce vengono arrestate nelle loro tracce.
L'immagine seguente mostra un esempio di funzionalità di blocco e contenimento comportamentali che attivano un avviso:
Prerequisiti
Sistemi operativi supportati
- Windows
Componenti del blocco e del contenimento comportamentali
Regole di riduzione della superficie di attacco (ASR) basate su criteri sul client Impedisci alle app il comportamento di attacco comune predefinito. Per monitorare i rilevamenti delle regole asr, vedere Monitorare l'attività delle regole di riduzione della superficie di attacco.To monitor ASR rule detections, see Monitor attack surface reduction (ASR) rule activity.
Blocco comportamentale del client Le minacce sugli endpoint vengono rilevate tramite Machine Learning e quindi bloccate e corrette automaticamente. Il blocco comportamentale del client è abilitato per impostazione predefinita.
Il blocco del ciclo di feedback (noto anche come protezione rapida) i rilevamenti delle minacce vengono osservati tramite l'intelligence comportamentale. Le minacce vengono arrestate e impedite l'esecuzione in altri endpoint. Il blocco del ciclo di feedback è abilitato per impostazione predefinita.
Rilevamento e risposta degli endpoint (EDR) in modalità blocco Gli artefatti o i comportamenti dannosi osservati tramite la protezione post-violazione sono bloccati e contenuti. EDR in modalità blocco funziona anche se Microsoft Defender Antivirus non è la soluzione antivirus primaria. La funzione EDR in modalità blocco non è abilitata per impostazione predefinita, ma viene attivata in Microsoft Defender XDR.
Ci si aspetta di più nell'area del blocco comportamentale e del contenimento, poiché Microsoft continua a migliorare le funzionalità e le funzionalità di protezione dalle minacce. Per vedere cosa è pianificato e implementato ora, visitare la roadmap di Microsoft 365.
Esempi di blocco e contenimento comportamentali in azione
Le funzionalità di blocco e contenimento comportamentali hanno bloccato le tecniche di attacco seguenti:
- Dump di credenziali da LSASS
- Iniezione tra processi
- Svuotamento del processo
- Bypass di Controllo account utente
- Manomissione dell'antivirus (ad esempio la disabilitazione o l'aggiunta del malware come esclusione)
- Contattare il comando e il controllo (C&C) per scaricare i payload
- Estrazione di monete
- Modifica del record di avvio
- Attacchi pass-the-hash
- Installazione del certificato radice
- Tentativo di sfruttamento per varie vulnerabilità
Di seguito sono riportati due esempi reali di blocco comportamentale e contenimento in azione.
Esempio 1: Attacco di furto di credenziali contro 100 organizzazioni
Come descritto in In hot pursuit of elusive threats: I blocchi basati sul comportamento basato su IA arrestano gli attacchi nelle loro tracce, le funzionalità di blocco comportamentale e contenimento hanno arrestato un attacco di furto di credenziali contro 100 organizzazioni in tutto il mondo. I messaggi di posta elettronica spear-phishing che contenevano un documento di richiamo sono stati inviati alle organizzazioni di destinazione. Se un destinatario ha aperto l'allegato, un documento remoto correlato è stato in grado di eseguire il codice sul dispositivo dell'utente e caricare malware Lokibot, che ha rubato le credenziali, i dati rubati e ha atteso ulteriori istruzioni da un server di comando e controllo.
I modelli di Machine Learning basati sul comportamento in Defender per endpoint hanno intercettato e arrestato le tecniche dell'utente malintenzionato in due punti della catena di attacco:
- Il primo livello di protezione ha rilevato il comportamento dell'exploit. I classificatori di Machine Learning nel cloud hanno identificato correttamente la minaccia e hanno immediatamente richiesto al dispositivo client di bloccare l'attacco.
- Il secondo livello di protezione, che ha consentito di arrestare i casi in cui l'attacco ha superato il primo livello, ha rilevato l'svuotamento del processo, interrotto tale processo e rimosso i file corrispondenti (ad esempio Lokibot).
Mentre l'attacco è stato rilevato e arrestato, gli avvisi, ad esempio un "avviso di accesso iniziale", sono stati attivati e visualizzati nel portale di Microsoft Defender.
Questo esempio mostra come i modelli di Machine Learning basati sul comportamento nel cloud aggiungono nuovi livelli di protezione dagli attacchi, anche dopo che sono già in esecuzione.
Esempio 2: inoltro NTLM - Variante malware juicy potato
Come descritto nel post di blog recente, Blocco comportamentale e contenimento: trasformazione dell'ottica in protezione, nel gennaio 2020 Defender per endpoint ha rilevato un'attività di escalation dei privilegi in un dispositivo di un'organizzazione. È stato attivato un avviso denominato "Possibile escalation dei privilegi tramite l'inoltro NTLM".
La minaccia si è rivelata essere malware; era una nuova variante, non visto prima di un noto strumento di hacking chiamato Juicy Potato, che viene usato dagli utenti malintenzionati per ottenere l'escalation dei privilegi su un dispositivo.
Pochi minuti dopo l'attivazione dell'avviso, il file è stato analizzato e confermato dannoso. Il processo è stato arrestato e bloccato, come illustrato nell'immagine seguente:
Pochi minuti dopo il blocco dell'artefatto, più istanze dello stesso file sono state bloccate nello stesso dispositivo, impedendo la distribuzione di più utenti malintenzionati o altro malware nel dispositivo.
Questo esempio mostra che con funzionalità di blocco e contenimento comportamentali, le minacce vengono rilevate, contenute e bloccate automaticamente.
Consiglio
Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere gli articoli seguenti:
- Impostare le preferenze per Microsoft Defender per endpoint su macOS
- Microsoft Defender per endpoint su Mac
- Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
- Impostare le preferenze per Microsoft Defender per endpoint su Linux
- Microsoft Defender per Endpoint su Linux
- Funzionalità di configurazione di Microsoft Defender per endpoint su Android
- Funzionalità di configurazione di Microsoft Defender per endpoint su iOS