שתף באמצעות

חסימה התנהגותית והכלה

  • מאמר

חל על:

פלטפורמות

  • Windows

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

סקירה כללית

נוף האיומים של היום מוצף בתוכנות זדוניות ללא קבצים, המתבצעות מחוץ לארץ, איומים פולימורפים מאוד שתקפים מהר יותר מפתרונות מסורתיים יכולים להתעדכן, ומתקפות המופעלות על-ידי בני אדם שמסתגלות למה שני הפועלים מגלים במכשירים שנחשף לסכנה. פתרונות אבטחה מסורתיים אינם מספיקים כדי לעצור התקפות כאלה; אתה זקוק ליכולות מסוגויות של בינה מלאכותית (AI) ולמידת מכשירים (ML), כגון חסימה וכלה התנהגותיים, הכלולות ב- Defender for Endpoint.

יכולות חסימה וכלה התנהגותיות יכולות לעזור לזהות ולהעצור איומים, בהתבסס על אופני הפעולה שלהם ועל עיבוד העצים גם כאשר האיום התחיל לבצע. הגנה מהדור הבא, EDR ורכיבים ותכונות של נקודת קצה עבור נקודת קצה פועלים יחד ביכולות חסימה וכלה התנהגותיות.

יכולות חסימה וכלה התנהגותיות פועלות עם רכיבים ותכונות מרובים של Defender for Endpoint כדי להפסיק תקיפות באופן מיידי ולמנוע התקדמות של תקיפות.

  • הגנה מהדור הבא (הכוללת את האנטי-וירוס של Microsoft Defender) יכולה לזהות איומים על-ידי ניתוח אופני פעולה, ולהפסקת איומים שהפעלתם התחילה.

  • זיהוי נקודות קצה ותגובה (EDR) מקבלים אותות אבטחה ברחבי הרשת, ההתקנים וההתפקוד של הליבה. כאשר זוהו איומים, נוצרות התראות. התראות מרובות מאותו סוג נצברות באירועים, מה שמקל על צוות פעולות האבטחה לחקור ולהגיב.

  • Defender for Endpoint כולל מגוון רחב של אופטיקה בין זהויות, דואר אלקטרוני, נתונים ואפליקציות, בנוסף לאותות אופן הפעולה של הרשת, נקודת הקצה וההליבה שהתקבלו באמצעות EDR. רכיב של XDR של Microsoft Defender, Defender for Endpoint מעבד ומתאם אותות אלה, מעלה התראות זיהוי ומחבר התראות קשורות באירועים.

בעזרת יכולות אלה, ניתן למנוע או לחסום איומים נוספים, גם אם הם מתחילים לפעול. בכל פעם שזוהה אופן פעולה חשוד, האיום כלול, נוצרות התראות ואיומים נעצרים בעקבותיו.

התמונה הבאה מציגה דוגמה של התראה שהופעלה על-ידי יכולות חסימה וכלה התנהגותיות:

הדף 'התראות' עם התראה באמצעות חסימה וכלה התנהגותיים

רכיבים של חסימה וכלה התנהגותיים

  • כללים להקטנת פני שטח המבוססים על מדיניות, בלקוח אופני פעולה נפוצים מוגדרים מראש של תקיפה נמנעים מביצוע, בהתאם לכללי ההפחתה של משטח ההתקפה שלך. כאשר אופני פעולה כאלה מנסים לבצע, ניתן לראות אותם ב- Microsoft Defender XDR כהתראות על מידע. כללי הפחתת פני השטח של ההתקפה אינם זמינים כברירת מחדל; אתה קובע את תצורת המדיניות שלך בפורטל Microsoft Defender.

  • חסימה התנהגותית של לקוח איומים ב נקודות קצה מזוהים באמצעות למידת מכונה, ולאחר מכן נחסמים ומתווקווים באופן אוטומטי. (חסימה התנהגותית של לקוח מופעלת כברירת מחדל.)

  • חסימת לולאת משוב (המכונה גם הגנה מהירה) זיהויי איומים נצפים באמצעות בינה התנהגותית. איומים נעצרים ונמנעים לפעול ב נקודות קצה אחרות. (חסימת לולאת משוב מופעלת כברירת מחדל.)

  • זיהוי נקודת קצה ותגובה (EDR) במצב חסימה ממצאים או אופני פעולה זדוניים שנצפתו באמצעות הגנה לאחר הפרה נחסמים ונחסם. EDR במצב חסימה פועל גם אם האנטי-וירוס של Microsoft Defender אינו פתרון האנטי-וירוס הראשי. (EDR במצב חסימה אינו מופעל כברירת מחדל; ניתן להפעיל אותו ב- Microsoft Defender XDR.)

צפה ליותר אנשים באזור החסימה וההיכללה ההתנהגותיים, מפני ש- Microsoft ממשיכה לשפר תכונות ויכולות של הגנה מפני איומים. כדי לראות מה מתוכנן ונפרס כעת, בקר במפת הדרכים של Microsoft 365.

דוגמאות לחסימה והיכנסה התנהגותיים בפעולה

יכולות חסימה וחסימה התנהגותיות חסמו טכניקות תוקף כגון:

  • Dumping של אישורים מ- LSASS
  • הזרקת חוצה תהליך
  • החלת תהליך
  • עקיפת בקרת חשבון משתמש
  • טיפול שלא כדין בתוכנת אנטי-וירוס (כגון הפיכתה ללאזמינה או הוספת התוכנה הזדונית כהכללה)
  • יצירת קשר עם Command and Control (C&C) להורדת תוכן מנה
  • כריית מטבעות
  • שינוי רשומת אתחול
  • התקפות מעבר ל- Hash
  • התקנת אישור בסיס
  • ניסיון ניצול עבור פגיעויות שונות

להלן שתי דוגמאות בחיים האמיתיים לחסימה התנהגותית ולחסימה בפעולה.

דוגמה 1: התקפה על גניבת אישורים נגד 100 ארגונים

כפי שמתואר במרדף חם אחר איומים אימתניים: חסימה מבוססת התנהגות מבוססת בינה מלאכותית מפסיקה מתקפות בדרכה, התקפה של גניבת אישורים נגד 100 ארגונים ברחבי העולם הופסקה על-ידי יכולות חסימה וחסימה התנהגותיות. הודעות דואר אלקטרוני של דיוג החנית שהכילו מסמך לפתות נשלחו לארגונים הייעדיים. אם נמען פתח את הקובץ המצורף, מסמך מרוחק קשור הצליח לבצע קוד במכשיר של המשתמש ולטעון תוכנות זדוניות של Lokibot, שגנבו אישורים, חרגו מנתונים גנובים וחיכו להוראות נוספות משרת פקודות ובקרה.

מודלים מבוססי-אופן פעולה של למידת מכשירים ב- Defender for Endpoint תפסו ועצרו את הטכניקות של התוקף בשתי נקודות בשרשרת התקיפה:

  • שכבת ההגנה הראשונה זיהתה את אופן הפעולה של ניצול לרעה. מסווגים של למידת מכשירים בענן זיהו כראוי את האיום, כפי שהורה מיד למכשיר הלקוח לחסום את התקיפה.
  • שכבת ההגנה השנייה, שעזרה לעצור מקרים שבהם ההתקפה עברה את השכבה הראשונה, זיהתה החלול בתהליך, הפסיקה את התהליך והוסרה את הקבצים התואמים (כגון Lokibot).

למרות שהתקיפה זוהתה ונעצרה, התראות, כגון "התראת גישה ראשונית", מופעלות והופיעו בפורטל Microsoft Defender.

התראת גישה ראשונית בפורטל Microsoft Defender

דוגמה זו מראה כיצד מודלים מבוססי-התנהגות של למידת מכשירים בענן מוסיפים שכבות חדשות של הגנה מפני התקפות, גם לאחר שהם התחילו לפעול.

דוגמה 2: NTLM Relay - Variant של תוכנה זדונית של תפוח אדמה עסיסי

כפי שמתואר בפרסום האחרון בבלוג, חסימה ובלימה התנהגותיים : הפיכת אופטיקה להגנה, בינואר 2020, Defender for Endpoint זיהה פעילות הסלמה של הרשאות במכשיר בארגון. התראה בשם "הסלמת הרשאות אפשרית באמצעות ממסר NTLM" מופעלת.

התראת NTLM עבור תוכנה זדונית של תפוח אדמה עסיסי

האיום הפכה לתוכנות זדוניות; זה היה וריאציה חדשה, לא נראה לפני של כלי פריצה המכונה תפוח אדמה עסיסית, אשר משמש תוקפים כדי לקבל הסלמת הרשאה במכשיר.

דקות לאחר הפעלת ההתראה, הקובץ נותחו ותאשר שהוא זדוני. התהליך שלו הופסק ונחסם, כפי שמוצג בתמונה הבאה:

החפץ נחסם

כמה דקות לאחר שהחפץ נחסם, מופעים מרובים של אותו קובץ נחסמו באותו מכשיר, ומנעו פריסה של תוקפים או תוכנות זדוניות אחרות במכשיר.

דוגמה זו מראה כי עם יכולות חסימה וכלה התנהגותיות, איומים מזוהים, כלולים ונחסמים באופן אוטומטי.

עצה

אם אתה מחפש מידע הקשור לאנטי-וירוס עבור פלטפורמות אחרות, ראה:

השלבים הבאים

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.