Cómo la IA de Microsoft detecta los ataques de ransomware incluso antes de que comiencen



Microsoft ha revelado cómo se utilizan las tecnologías de inteligencia artificial (IA) en la lucha contra el ransomware. El ransomware es una de las amenazas digitales más prolíficas y viciosas de la actualidad. Las familias de ransomware, incluidas Locky, WannaCry, NotPetya y Cerber, afectan tanto a los consumidores como a las empresas, bloqueando los sistemas infectados y exigiendo el pago a cambio de las claves de descifrado, que pueden devolver o no el acceso a los archivos cifrados.
Seguridad Ciberseguridad 101: Proteja su privacidad de piratas informáticos, espías y el gobierno Unos pasos simples pueden marcar la diferencia entre perder sus cuentas en línea o mantener lo que ahora es un bien preciado: su privacidad. Lea ahora El ransomware como servicio (RaaS) ahora también es un negocio criminal independiente y popular. Los operadores pueden comprar acceso al ransomware para usarlo en sus campañas, ya sea que se dirijan al público en general en masa o persigan empresas empresariales de "gran juego".
VER:  Ataques de ransomware: estos son los datos que los ciberdelincuentes realmente quieren robar Según el equipo de investigación de 365 Defender de Microsoft, las campañas de ransomware operadas por humanos son complejas y multifacéticas, lo que puede hacer que la detección temprana sea muy difícil de lograr, especialmente a medida que las campañas continúan evolucionando. En una publicación de blog el martes, el gigante tecnológico dijo que estaba explorando "formas novedosas" de aprovechar la IA frente a un "panorama de amenazas cada vez más complejo". Microsoft se enfoca en interrumpir las primeras etapas de un ataque de ransomware con mejoras de IA para Microsoft Defender para Endpoint.
En lo que la compañía llama "incriminación temprana", se están desarrollando algoritmos de aprendizaje automático (ML) para determinar la "intención maliciosa" en archivos, procesos, cuentas de usuario y dispositivos. Sin embargo, para hacerlo, las protecciones de ML deben analizar patrones y comportamientos en contextos de atacantes, así como eventos relacionados en dispositivos de destino o redes empresariales. Los indicadores de que una campaña de ransomware operada por humanos está en marcha pueden incluir actividad sospechosa en la cuenta de usuario.
Por ejemplo, un ciberdelincuente compra credenciales robadas y comienza a hurgar en una red, listando archivos y procesos a medida que avanzan, o probando sus privilegios. Además, los atacantes pueden moverse a través de una red fuera de la actividad laboral típica asociada con una cuenta. En la etapa final, por supuesto, se ejecuta el software de encriptación.
Se han desarrollado tres conjuntos de entradas generadas por IA en la solución de ciberseguridad, que genera de forma independiente una puntuación de riesgo que determina si es probable que una entidad esté involucrada en un ataque de ransomware activo: Al correlacionar estos conjuntos de datos, Defender puede detectar patrones y conexiones que de otro modo podrían haberse perdido. Si se alcanza un nivel de confianza lo suficientemente alto, los archivos y las entidades involucradas en la operación de ransomware se bloquean automáticamente. VER: Seguridad informática en la nube: dónde está y hacia dónde se dirige En las pruebas, Defender pudo detectar y detener un ataque de ransomware en la etapa inicial de cifrado, cuando se cifraron menos del 4 % de los activos de la red.
"Con sus capacidades mejoradas de detección impulsadas por IA, Defender for Endpoint logró detectar e incriminar un ataque de ransomware al principio de su etapa de cifrado, cuando los atacantes tenían archivos cifrados en menos del cuatro por ciento (4 %) de los dispositivos de la organización, lo que demuestra una capacidad mejorada. para interrumpir un ataque y proteger los dispositivos restantes en la organización", dijo Microsoft. Microsoft dice que las protecciones de IA están diseñadas para activarse en las primeras etapas de un brote de ransomware, en el momento en que el malware comienza a cifrar los dispositivos. Estas protecciones se reforzarán con el tiempo y se ampliarán para "incriminar y aislar cuentas de usuario y dispositivos comprometidos para limitar aún más el daño de los ataques".
" Si bien el gigante de Redmond está utilizando IA en defensa, en noticias relacionadas, la compañía también está reduciendo el uso de la tecnología de reconocimiento facial en nombre de los estándares éticos de IA. ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0 Seguridad Cómo cifrar su correo electrónico (y por qué debería hacerlo) 5 cosas que probablemente esté haciendo mal para proteger su nube Cómo detener rápidamente los mensajes de spam en tu iPhone Las mejores VPN para Android: ¿cuál es la adecuada para ti? Cómo borrarse de los resultados de búsqueda y ocultar su identidad en línea.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı