Η Microsoft προσθέτει προστασία ransomware που βασίζεται σε τεχνητή νοημοσύνη στο Defender

Η Microsoft παρουσίασε ένα σύστημα ανίχνευσης επιθέσεων ransomware που βασίζεται σε τεχνητή νοημοσύνη, για πελάτες του Microsoft Defender για πελάτες Endpoint συμπληρώνοντας έτσι την υπάρχουσα προστασία cloud, αξιολογώντας τους κινδύνους και αποκλείοντας τους παράγοντες πριν αυτοί εισέλθουν στο σύστημα.

Καθώς οι επιθέσεις ransomware που λειτουργούν από ανθρώπους χαρακτηρίζονται από συγκεκριμένη μεθοδολογία και συμπεριφορά, η Microsoft πιστεύει ότι μπορεί να χρησιμοποιήσει μια προσέγγιση τεχνητής νοημοσύνης βάσει δεδομένων για τον εντοπισμό αυτών των τύπων επιθέσεων.

Οι επιτιθέμενοι συνήθως εγκαθιστούν μια βάση στο σύστημα-στόχο φυτεύοντας ένα λογισμικό κακόβουλου λογισμικού που παρέχει απομακρυσμένη πρόσβαση στη συσκευή. Ωστόσο, δεν είναι γνωστό ότι όλα τα αρχεία που χρησιμοποιούνται σε επιθέσεις είναι κακόβουλα ενώ πολλά εκτελέσιμα που χρησιμοποιούνται σε επιθέσεις είναι νόμιμα προγράμματα, συμπεριλαμβανομένων των ενσωματωμένων εντολών των Windows. Οι δείκτες που δημιουργούνται από αυτά τα αρχεία μπορεί να θεωρηθούν χαμηλής προτεραιότητας και να αγνοηθούν από τα προγράμματα προστασίας. Η προσθήκη ενός συστήματος προσαρμοστικής προστασίας βάσει AI που θα ανιχνεύει ασυνήθιστη συμπεριφορά, ακόμη και από νόμιμα εκτελέσιμα αρχεία, μπορεί να διαδραματίσει κρίσιμο ρόλο στην αποτροπή περαιτέρω συμβιβασμού σε μια συσκευή και να παρέχει στις ομάδες ανταπόκρισης πολύτιμο χρόνο για να αποτρέψουν τις επιθέσεις.

Καθώς οι αμυντικοί μηχανισμοί γίνονται πιο εξελιγμένοι, οι επιτιθέμενοι είναι πολύ πιο πιθανό να επιχειρήσουν να τους απενεργοποιήσουν αντί να προσπαθήσουν να τους αποφύγουν ή να τους παρακάμψουν. Αυτό σημαίνει ότι οι διαχειριστές θα πρέπει να ελέγχουν τακτικά την κατάσταση των αμυντικών εργαλείων τους, διασφαλίζοντας ότι είναι πάντα σε λειτουργία. Γι' αυτό το λόγο η προστασία Cloud είναι ενεργοποιημένη από προεπιλογή και η βελτίωση που βασίζεται σε AI περιλαμβάνεται αυτόματα στο Microsoft Defender για Endpoints ως μια δυνατότητα "πάντα ενεργή". Εάν κάποια από αυτές τις λειτουργίες είναι πλέον απενεργοποιημένη, οι διαχειριστές θα πρέπει να διερευνήσουν αμέσως περαιτέρω για να διαπιστώσουν εάν έχουν παραβιαστεί.