微軟防御者ATP將于2020年加入Linux

微軟計(jì)劃明年將其防御殺毒軟件引入Linux系統(tǒng)，并將在本周的Ignite會(huì)議上演示安全專(zhuān)家如何使用微軟防御軟件。

3月份，微軟宣布了從Windows Defender到Microsoft Defender的品牌轉(zhuǎn)變，此前安全分析師向安全分析師提供了通過(guò)微軟防御控制臺(tái)檢查企業(yè)Mac電腦惡意軟件的工具。(鼓掌)

Microsoft的M365安全公司副總裁RobLefferts告訴ZDnet，在2020年，Linux系統(tǒng)的MicrosoftDefender將提供給客戶(hù)。

參見(jiàn)：20個(gè)專(zhuān)業(yè)提示，使Windows 10按您所需的方式工作(免費(fèi)PDF)

應(yīng)用程序保護(hù)程序也將訪問(wèn)所有Office 365文檔。以前，此安全特性?xún)H在Edge中可用，允許用戶(hù)在孤立的虛擬機(jī)中安全地打開(kāi)網(wǎng)頁(yè)，以保護(hù)他們免受惡意軟件的攻擊?，F(xiàn)在，打開(kāi)Office 365應(yīng)用程序的用戶(hù)，如Word或Excel，將得到同樣的保護(hù)。

他說(shuō)：“它是先預(yù)覽的，但是當(dāng)你通過(guò)電子郵件得到一個(gè)帶有潛在惡意宏的不可信文檔時(shí)，它將在一個(gè)容器中打開(kāi)?！?鼓掌)

這意味著當(dāng)攻擊者試圖從互聯(lián)網(wǎng)下載更多代碼，然后在機(jī)器上安裝惡意軟件時(shí)，計(jì)算機(jī)就是一個(gè)VM，因此受害者永遠(yuǎn)不會(huì)實(shí)際安裝惡意軟件。

此舉將有助于防止網(wǎng)絡(luò)釣魚(yú)和其他試圖誘使用戶(hù)退出受保護(hù)視圖的攻擊，這將阻止用戶(hù)在默認(rèn)情況下運(yùn)行宏。(鼓掌)

Lefferts還將討論微軟如何保護(hù)組織免受利用“信息均等問(wèn)題”的復(fù)雜惡意軟件攻擊者的攻擊--這是一個(gè)高級(jí)術(shù)語(yǔ)，用來(lái)說(shuō)明網(wǎng)絡(luò)的各個(gè)方面如何影響其總體設(shè)計(jì)。

"防守者必須完全了解一切，攻擊者只需要知道一件事。關(guān)鍵是，它不是一個(gè)公平競(jìng)爭(zhēng)的領(lǐng)域，它變得更糟糕了，"說(shuō)LEFFERTS。

此功能的關(guān)鍵是Microsoft向企業(yè)客戶(hù)銷(xiāo)售的Microsoft安全智能圖。但是微軟智能安全圖到底是什么呢？

"它內(nèi)置到DefenderATP、Office365和Azure中。我們具有內(nèi)置到事件、行為和事物中的信號(hào),只要用戶(hù)登錄到機(jī)器上簡(jiǎn)單或復(fù)雜,因?yàn)樵谠撛O(shè)備上的字中的存儲(chǔ)器布局的行為不同于它通常看起來(lái)的情況,"解釋了Lefferts。

“本質(zhì)上，我們?cè)谒猩矸?、端點(diǎn)、云應(yīng)用程序和基礎(chǔ)設(shè)施上都有傳感器，他們正在將所有這些信息發(fā)送到微軟云中的一個(gè)中心位置?！?/p>

Microsoft并不是指智能安全圖上下文中的物理傳感器，而是存儲(chǔ)在其各種應(yīng)用程序中的代碼片段，這些應(yīng)用程序被輸入到智能安全圖中。

這樣做的目的是幫助安全團(tuán)隊(duì)以不同于人類(lèi)的方式來(lái)解決挑戰(zhàn)。

"人類(lèi)沒(méi)有巨大的數(shù)字，但這是機(jī)器可以提供新的洞察力的地方。"

微軟的證據(jù)表明，它的區(qū)別在于，它已經(jīng)幫助阻止了2019年到目前為止的13.5億惡意電子郵件，而Leffertts預(yù)計(jì)微軟將在今年年底阻止14億的惡意電子郵件。在2020年美國(guó)總統(tǒng)中期選舉之前，該公司強(qiáng)調(diào)了它在維護(hù)美國(guó)和歐洲政治組織打擊網(wǎng)絡(luò)攻擊方面的工作。

他說(shuō)：“捍衛(wèi)民主對(duì)我們來(lái)說(shuō)是一個(gè)很重要的問(wèn)題，因?yàn)槲覀冋诖_保我們?cè)谶@里建設(shè)的所有能力，并利用它來(lái)幫助世界各地的組織和政府?！?/p>

該計(jì)劃的目標(biāo)是幫助防御者消除噪音，優(yōu)先考慮重要的工作，并準(zhǔn)備幫助保護(hù)和響應(yīng)，同時(shí)更聰明和更快地使用來(lái)自Windows、Office和Azure的信號(hào)?！?

微軟現(xiàn)在正在引入的關(guān)鍵工具是對(duì)Office 365具有Microsoft威脅保護(hù)功能的客戶(hù)進(jìn)行自動(dòng)補(bǔ)救。

萊弗茨說(shuō)：“有一個(gè)殺手鏈，代表攻擊者在整個(gè)組織中所采取的每一步。當(dāng)你發(fā)現(xiàn)這一過(guò)程正在進(jìn)行時(shí)，你想要確保你清理了整件事情?！?/p>

例如，黑客通過(guò)網(wǎng)絡(luò)釣魚(yú)電子郵件侵入網(wǎng)絡(luò)，在設(shè)備上安裝惡意軟件，然后橫向移動(dòng)到關(guān)鍵的基礎(chǔ)設(shè)施，如電子郵件服務(wù)器或域控制器。黑客可能會(huì)在網(wǎng)絡(luò)上維持存在數(shù)年。

"整個(gè)自動(dòng)化的重點(diǎn)是查找所有受損的帳戶(hù)并重置這些密碼，找到所有惡意電子郵件的用戶(hù)，并將其從收件箱中清除，并找到所有受影響和隔離的設(shè)備，隔離它們，并對(duì)其進(jìn)行清理。"

Leffertts小心地不使用單詞人工智能，并強(qiáng)調(diào)微軟的技術(shù)是針對(duì)安全團(tuán)隊(duì)或"外骨骼"中的"人的增加"而不是機(jī)器人。

見(jiàn)：Microsoft Defender‘tamper Protection’達(dá)到通用版

那么，它將如何幫助企業(yè)組織應(yīng)對(duì)下一次NotPetyaRansomware的爆發(fā)呢？

NotPetya最初是通過(guò)一家總部位于烏克蘭的會(huì)計(jì)軟件公司進(jìn)行的一次有毒的更新而傳播的，這使包括Maersk和Mondelz在內(nèi)的幾家全球公司陷入癱瘓。

"第一個(gè)問(wèn)題是，它發(fā)生的速度比供應(yīng)商更快，這是個(gè)巨大的問(wèn)題。[答復(fù)者]確實(shí)需要我們“談?wù)摰脑鰪?qiáng)”，這樣他們就可以更快地走了。還有很多機(jī)會(huì)讓維權(quán)者中間和打破死亡鏈并修復(fù)一切。我們想確保我們能在那個(gè)殺手鏈上工作。"

微軟還將為使用Office 365高級(jí)威脅保護(hù)的客戶(hù)推出新功能，為管理員提供目標(biāo)釣魚(yú)攻擊的更好概述。其想法是顛覆攻擊者用來(lái)避免檢測(cè)的典型策略，例如從不同的IP地址發(fā)送電子郵件。

Lefferts說(shuō)，“不管他們選擇什么目標(biāo)，他們都會(huì)有一家工廠，在那里他們將發(fā)起一場(chǎng)針對(duì)這些目標(biāo)的宣傳活動(dòng)。他們將不斷重復(fù)這場(chǎng)運(yùn)動(dòng)的所有片段，看看什么最有效地繞過(guò)了防守者，以及他們?nèi)绾巫詈玫仄垓_用戶(hù)點(diǎn)擊某個(gè)東西，”Lefferts說(shuō)。

“這是一場(chǎng)對(duì)組織內(nèi)多個(gè)用戶(hù)的電子郵件的沖擊--有時(shí)只是少數(shù)人，有時(shí)是數(shù)百人。我們給辯護(hù)者的是對(duì)正在發(fā)生的事情的看法。有來(lái)自不同IP地址和不同發(fā)件人域的電子郵件，其中包含不同的內(nèi)容，因?yàn)樗麄円恢痹谶\(yùn)行不同的實(shí)驗(yàn)。我們把整個(gè)圖片放在一起，向你展示流程，以及它是如何隨著時(shí)間的推移而演變的。”