Artykuł pochodzi z wydania: Maj 2024
Microsoft Defender Threat Intelligence, znane również jako Defender TI, to zaawansowane narzędzie do analizy zagrożeń cybernetycznych. Usługa ma za zadanie usprawniać klasyfikację i sposób reakcji na zdarzenia, a także wspomagać wyszukiwanie niebezpieczeństw oraz zarządzanie lukami w zabezpieczeniach.
Rozwój technologii cyfrowych spowodował, że bardziej niż kiedykolwiek wcześniej funkcjonowanie organizacji uzależnione jest od połączenia z internetem, co z kolei wiąże się ze zwiększonym ryzykiem cyberataków, takich jak naruszenia bezpieczeństwa, kradzież danych czy infekcja złośliwym oprogramowaniem.
> ANALIZA
Jednym z kluczowych aspektów bezpieczeństwa cybernetycznego organizacji jest analiza zagrożeń (ang. threat intelligence). Proces ten obejmuje identyfikowanie, zbieranie, przetwarzanie i analizę informacji o niebezpieczeństwach, które niesie ze sobą korzystanie z internetu. Analiza ma w szczególności na celu zrozumienie zachowań atakujących, ich motywów oraz celów. Wśród korzyści, jakie oferuje Defender TI, wymienić należy przede wszystkim szybsze i bardziej świadome podejmowanie decyzji dotyczących bezpieczeństwa. Decyzji popartych wiedzą na temat istniejących lub pojawiających się zagrożeń.
Wdrożenie i skuteczne wykorzystanie Threat Intelligence wymaga wiele wysiłku i zaangażowania struktur informatycznych. Jednocześnie jednak bardzo trudne lub wręcz niemożliwe jest budowanie skutecznej strategii bezpieczeństwa bez prowadzenia analizy zagrożeń. Nie sposób zarządzać czymś, czego nie znamy. Podstawowym źródłem wiedzy przy budowie skutecznego systemu ochrony przed cyberzagrożeniami powinno być właśnie wyciąganie wniosków. Pozwoli to zrozumieć, co tak naprawdę jest celem atakujących i w jaki sposób organizacja może być atakowana. Analiza jest niezbędna, aby możliwie najefektywniej wykorzystać posiadaną wiedzę, technologię, zasoby ludzkie oraz wyciągnąć maksymalne korzyści z inwestycji w infrastrukturę.
Ustrukturyzowane podejście do zarządzania niebezpieczeństwami jest niezbędne do podejmowania skutecznych działań zapewniających odpowiednią ochronę zasobów organizacji. Problem może stanowić wiele, obejmujących szeroki zakres, źródeł. Sporo z nich będzie zgłaszać te same zagrożenia, natomiast analiza pozwoli na wprowadzenie porządku potrzebnego do ustalenia priorytetów, a co za tym idzie podejmowania właściwych decyzji.
Proces tego typu powinien identyfikować i jak najlepiej wykorzystywać wszystkie możliwe zasoby informacji. Według danych Microsoftu, aby usługa analizy była jak najbardziej skuteczna, każdego dnia śledzi ponad 65 bilionów sygnałów o zagrożeniach. Wszystkie funkcje usługi Defender Threat Intelligence dostępne są w formie subskrypcji poprzez program Microsoft Defender.
NAJNOWSZE ZGŁOSZENIA
Pulpit nawigacyjny analizy zagrożeń prezentuje najistotniejsze informacje, grupując je w sekcje. Pierwsza z nich – „Najnowsze zagrożenia” – wyświetla listę ostatnio opublikowanych lub zaktualizowanych raportów wraz z liczbą aktywnych i rozwiązanych alertów. Informacje oparto na obserwacji działań grup cyberprzestępczych, wśród których można wymienić: Storm-0569, Storm-1113, Sangria Tempest i Storm-1674. Organizacje te wykorzystują schemat URI ms-appinstaller (App Installer) w celu wyłudzania okupów i dystrybucji złośliwych programów. W omawianej zakładce można również znaleźć dane dotyczące wspomnianego wyżej niechcianego oprogramowania, takiego jak: Trojan:Win32/Wacatac.B!ml, Hack-Tool: Win32/AutoKMS, HackTool:Win32/AutoKMS!pz, HackTool:Win32/Keygen czy PUA:Win32/Softcnapp3.
ZAGROŻENIA O DUŻYM WPŁYWIE
W tej zakładce wyświetlana jest lista niebezpieczeństw, na które organizacja jest najbardziej narażona. Poziom podatności jest obliczany na podstawie dwóch informacji: jak poważne są luki w zabezpieczeniach skojarzone z zagrożeniem oraz ile urządzeń może zostać wykorzystanych poprzez te dziury. Klasyfikacja błędów odbywa się na podstawie liczby urządzeń z aktywnymi alertami. Podsumowanie pokazuje ogólny wpływ śledzonych zagrożeń, prezentując liczbę niebezpieczeństw z aktywnymi i rozwiązanymi alertami.
RAPORTY ANALITYCZNE
Z poziomu pulpitu głównego możemy przejść do raportów o zidentyfikowanych ryzykach. Każdy z nich sprowadza się do obszernej analizy i wskazówek dotyczących obrony przed konkretnym problemem.
Bardzo ciekawą i przydatną funkcją są raporty analityczne, które zawierają szczegółowy opis niebezpieczeństwa. Obejmują informacje dotyczące taktyk i technik zawartych w MITRE ATT&CK, a także dokładne dane na temat sposobu wykrycia ryzyka. Zawierają również wyczerpującą listę zaleceń dotyczących obrony przed zagrożeniem oraz zapytania, które mogą zwiększyć prawdopodobieństwo jego wykrycia. Ze sprawozdania dowiadujemy się także, które zasoby w infrastrukturze są najbardziej podatne na ataki.
[…]
Piotr Maziakowski
Autor jest od 2004 roku związany z branżą IT i nowych technologii w obszarze administrowania systemami klasy ERP. Specjalizuje się w realizacji wdrożeń i audytów bezpieczeństwa informacji.