微软计划明年将其Defender防病毒软件引入Linux系统,并将在本周的Ignite大会上演示安全专家如何使用Microsoft Defender。
微软在向安全分析师提供了通过Microsoft Defender控制台检查企业Mac计算机是否存在恶意软件的工具之后,于3月宣布将品牌从Windows Defender更改为 Microsoft Defender。
微软M365安全部门的公司副总裁Rob Lefferts告诉FebHost,面向Linux系统的Microsoft Defender将于2020年向客户推出。
Application Guard也将用于所有Office 365文档。以前,此安全功能仅在Edge中可用,并且允许用户安全地在隔离的虚拟机中打开网页,以保护他们免受恶意软件的侵害。现在,打开Office 365应用程序(如Word或Excel)的用户将获得相同的保护。
他说:“它首先在预览中发布,但是当您通过电子邮件收到带有潜在恶意宏的不可信文档时,它将在容器中打开。”
这意味着,当攻击者尝试从Internet下载更多代码,然后在计算机上安装恶意软件时,该计算机就是VM,因此受害者实际上从未安装过该恶意软件。
此举应有助于防止网络钓鱼和其他攻击,这些攻击试图诱使用户退出受保护的视图,从而默认情况下阻止用户运行宏。
Lefferts还将讨论微软如何保护组织免受利用“信息奇偶性问题”的复杂恶意软件攻击者的侵害。
Lefferts说:“防御者必须完全了解所有事情,而攻击者只需要了解一件事就好了。关键是,这不是一个公平的竞争环境,而且情况越来越糟。”
此功能的关键是Microsoft向企业客户销售的Microsoft安全智能图。但是,Microsoft智能安全图到底是什么?
“它内置在Defender ATP,Office 365和Azure中。事件,行为和事物内置了信号,就像用户登录到计算机一样简单,或者与设备上Word中的内存布局的行为一样复杂与通常的情况有所不同。”
“基本上,我们在所有身份,端点,云应用程序和基础架构中都有传感器,它们会将所有这些传感器发送到Microsoft云内部的中央位置。”
微软在其智能安全图的上下文中并不是指物理传感器,而是位于其各种应用程序中的代码片段,这些代码会馈入智能安全图。
这个想法是帮助安全团队以不同于人类的方式解决挑战。
“人类数量不是很大,但这是机器可以提供新见识的地方。”
微软证明其与众不同的证据是,截至2019年,它已帮助阻止了135亿封恶意电子邮件,莱弗茨(Lefferts)预计,到今年年底,微软将阻止140亿封恶意电子邮件。该公司强调了其在2020年美国总统中期选举之前捍卫美国和欧洲政治组织免受网络攻击的工作。
他说:“捍卫民主对我们来说是一个重点,因为我们要确保充分利用我们在这里建立的所有能力,并利用它来帮助全球的组织和政府。”
“目标是帮助防御者降低噪音并确定重要工作的优先级,并准备好使用Windows,Office和Azure的信号来更智能,更快地保护和响应。”
Microsoft现在推出的关键工具是对具有Microsoft Threat Protection的Office 365客户的自动修复。
Lefferts说:“有一条杀手链代表攻击者在组织中移动时所采取的每一个步骤。当发现这种情况时,您要确保清理整个事情。”
例如,黑客通过网络钓鱼电子邮件破坏了网络,在设备上安装了恶意软件,然后横向移动到关键基础架构,例如电子邮件服务器或域控制器。黑客可能会在网络上保持存在多年。
“自动化的全部目的是找到所有受感染的帐户并重置那些密码,找到所有收到恶意电子邮件的用户并将其从收件箱中清除,找到所有受到影响的设备并将其隔离,隔离并清理它们”。
Lefferts小心翼翼地不使用人工智能一词,并强调微软的技术旨在针对安全团队中的“增强人员”或针对人员而非机器人的“外骨骼”。
那么,它将如何帮助企业组织应对下一次NotPetya勒索软件的爆发?
NotPetya最初是通过来自乌克兰的会计软件公司的有毒更新进行传播的,这使包括马士基和孟德雷斯在内的几家全球性公司瘫痪。
“第一件事是,它的发生速度比供应商的响应速度快,这是一个很大的问题。[响应者]确实需要我们正在谈论的增强功能,以便他们能够更快地进行。防御者还有很多机会中间并打破杀伤链并修复所有问题。我们希望确保我们可以跨越那个杀伤链。”
微软还将为使用Office 365高级威胁防护的客户推出新功能,从而为管理员提供针对目标网络钓鱼攻击的更好概述。这样做的目的是颠覆攻击者用来避免检测的典型策略,例如从不同的IP地址发送电子邮件。
“无论他们选择目标是什么,他们都会有一家工厂要建立一个针对这些目标的战役。他们将不断迭代该战役的所有环节,以了解目标是什么最有效地超越防御者,以及它们如何最好地诱使用户点击某些东西。”
“它显示为组织内多个用户之间的电子邮件攻击,有时只是几个,有时是数百个。我们为防御者提供的是对正在发生的情况的看法。电子邮件来自不同的IP地址和不同的发件人域,因为它们继续进行不同的实验,所以其中包含不同的组件。我们将整个图片放在一起,向您展示流程及其随着时间的变化。”
