Microsoft Defender for Endpoint ha agregado una capa basada en inteligencia artificial para prevenir ransomware, con el objetivo de proteger a sus usuarios.
Los ataques de ransomware creados por el hombre pueden describirse mediante varios métodos y comportamientos. Esta es la hipótesis que los investigadores Ruofan Wang y Kelly Kang, del grupo de investigación Microsoft 365 Defender, utilizaron para desarrollar esta nueva funcionalidad. Es un sistema basado en la nube que utiliza técnicas de aprendizaje automático para predecir si un dispositivo está en riesgo; En este caso, se evitarán los siguientes pasos del atacante.
También te puede interesar ????: Vulnerabilidades por ransomware sigue en ascenso
¿Cómo funciona la inteligencia artificial para prevenir ransomware?
Esta protección adaptativa se basa en el modelo de protección en la nube actual, que es más inteligente y rápido que la nube. Para ponerlo en contexto, en el flujo de ataque, no todos los binarios involucrados son maliciosos y las señales que genere se considerarán de baja prioridad.
Agregar una capa adicional de protección adaptativa de IA permitirá que el sistema detecte anomalías, dando a los equipos de respuesta más tiempo para neutralizar los ataques.
Si existe un riesgo para el dispositivo por encima de cierto límite, la protección de la nube se coloca en bloqueo activo. En este modo, los archivos o procesos inofensivos se pueden bloquear como medida de precaución.
Al calificar y actualizar los dispositivos en tiempo real, la penetración se reduce cuando el dispositivo no está en riesgo, lo que reduce los falsos positivos y evita afectar la experiencia del usuario.
Un ejemplo del mundo real es el del ransomware Ryuk, del que hemos hablado en este blog. Este malware, distribuido a través de Trickbot, es tan polimorfo que utiliza modificaciones menores para evitar coincidencias de firmas y evitar la detección por métodos tradicionales. En este punto, el conocimiento en tiempo real del estado del dispositivo permitirá a este sistema detectar y detener la amenaza.
«Hipotéticamente, en ataques donde las actividades de ataque de etapa inicial a intermedia no se detectan ni bloquean, la protección adaptativa impulsada por inteligencia artificial puede demostrar un gran valor cuando se llega la payload definitiva del ransomware».
La IA adaptativa para la detección precoz del ransomware de Microsoft Defender está disponible para los clientes de punto y final con la protección basada en nube activada.
