Jak na úskočný ransomware - Microsoft Threat Protection

Takzvaný Lateral Movement, neboli stínový pohyb útočníků, je jeden z nejnebezpečnějších útoků, protože jej lze najít jen pomocí náznaků a šepotu uvnitř jinak hlučného firemního prostředí. Typicky se útočník snaží schovat do běžného provozu SMB, WMI či RDP a dosáhnout elevace oprávnění či konkrétních přístupů.

MTP koordinuje celkovou obranu, tedy detekci a zviditelnění signálů, zastavení útoků, a dokonce i nápravu škod. Využívá k tomu schopností založených na kombinaci dlouhodobého sběrů dat z prostředí, od uživatelů či koncových bodů, přes uložená data až po aplikace, automatickém skládání souvisejících procesů a také databáze technik MITRE ATT&CK. Tyto pak dohromady slouží k sestavování pravděpodobnostních modelů chování do uceleného obrazu. Modely jsou dynamické a schopné se samy učit z nových informací a signálů, například náhle zvýšené frekvence konektivity na specifických portech.

MTP tak může například automaticky aplikovat conditional access pro at-risk device, ukončit běh škodlivého procesu, zrušit auto-forward pravidlo a hlavně poskytnout maximum přehledných informací a komplexní obraz hrozícího či probíhajícího incidentu.

MTP tímto nabízí až intimní náhled do činnosti útočníka, čímž výrazně snižuje nutnou intenzitu lidského dohledu a redukuje možnosti skrytého pohybu napříč prostředím. Tím dává možnost rychle a cíleně zastavovat útoky a uvolnit tak ruce Security Operation týmům, třeba na zmírnění dopadů a neprodlenému odstranění vulnerabilit z prostředí.