Varias funciones avanzadas de Microsoft 365 Defender anunciadas por primera vez el año pasado como un medio para detener los ataques de ransomware y compromiso de correo electrónico comercial (BEC), ahora han llegado a la vista previa pública, anunció la compañía.
Las funciones, denominadas «interrupción automática», utilizan «señales de detección y respuesta extendida (XDR) de alta confianza en puntos finales, identidades, correo electrónico y aplicaciones SaaS», explicó Microsoft, diciendo que ayudarán a contener ataques de seguridad activos «rápida y eficazmente». .
Funcionarán deshabilitando o restringiendo automáticamente los dispositivos y las cuentas de usuario que los actores de amenazas han comprometido y están utilizando activamente en un ataque.
Impacto limitado
Al cerrar este acceso, Microsoft espera que los atacantes no sean tan efectivos como deberían y, al mismo tiempo, los equipos de SOC obtienen más tiempo para implementar contramedidas adicionales.
Como resultado, los ataques de ransomware y BEC deberían tener un impacto más limitado en la organización objetivo, afirma la compañía.
La interrupción automática de ataques opera en tres etapas. En la primera etapa, se detecta el ataque y se establece “alta confianza”. En la segunda etapa, se clasifican diferentes escenarios, así como los activos que actualmente controlan los atacantes. Finalmente, en la tercera etapa, se activan acciones de respuesta automática a través de Microsoft 365 Defender, conteniendo el ataque y minimizando su impacto.
Como sugiere el nombre, la actividad de estas nuevas funciones es automática, lo que podría no ser del agrado de algunos profesionales de la ciberseguridad. Microsoft parece ser consciente de este hecho, afirmando que la cantidad de señales utilizadas debería aliviar la ansiedad de cualquier persona en torno a la automatización:
“Entendemos que tomar medidas automáticas puede generar dudas, dado el impacto potencial que puede tener en una organización”, dijo la compañía. “Es por eso que la interrupción automática de ataques en Microsoft 365 Defender está diseñada para depender de señales XDR de alta fidelidad, junto con información de la investigación continua de miles de incidentes por parte de los equipos de investigación de Microsoft”.
El ransomware sigue siendo una de las formas de ciberdelincuencia más perjudiciales que existen. Se recomienda a las empresas que capaciten a sus empleados sobre los peligros del phishing y que se aseguren de configurar una solución de respaldo sólida. Un antivirus, un cortafuegos (se abre en una pestaña nueva)y la autenticación multifactor también se consideran prácticas recomendadas.