Comment l'IA de Microsoft détecte les attaques de ransomwares avant même qu'elles ne commencent

Comment l’IA de Microsoft détecte les attaques de ransomwares avant même qu’elles ne commencent

 

Un professionnel barbu tape sur une tablette. Les symboles liés à la programmation et à la cybersécurité flottent au premier plan.

 

 

Image : Shutterstock

Microsoft a révélé comment les technologies d’intelligence artificielle (IA) sont utilisées dans la lutte contre les ransomwares.

Les ransomwares sont l’une des menaces numériques les plus prolifiques et les plus vicieuses d’aujourd’hui. Les familles de ransomwares, notamment Locky, WannaCry, NotPetya et Cerber, affligent les consommateurs et les entreprises, verrouillant les systèmes infectés et exigeant un paiement en échange de clés de déchiffrement, qui peuvent ou non rendre l’accès aux fichiers chiffrés.

Le ransomware en tant que service (RaaS) est également désormais une activité criminelle autonome et populaire. Les opérateurs peuvent acheter l’accès aux rançongiciels pour les utiliser dans leurs campagnes, qu’ils ciblent le grand public en masse ou qu’ils s’attaquent aux grandes entreprises.

VOIR: Attaques de ransomware : ce sont les données que les cybercriminels veulent vraiment voler

Selon l’équipe de recherche 365 Defender de Microsoft, les campagnes de ransomwares opérées par l’homme sont complexes et multiformes, ce qui peut rendre la détection précoce très difficile à réaliser, d’autant plus que les campagnes continuent d’évoluer.

Dans un article de blog mardi, le géant de la technologie a déclaré qu’il explorait de “nouvelles façons” d’exploiter l’IA face à un “paysage de menaces de plus en plus complexe”.

Microsoft se concentre sur la perturbation des premières étapes d’une attaque de ransomware avec des améliorations de l’IA pour Microsoft Defender for Endpoint. Dans ce que l’entreprise appelle «l’incrimination précoce», des algorithmes d’apprentissage automatique (ML) sont en cours de développement pour déterminer «l’intention malveillante» dans les fichiers, les processus, les comptes d’utilisateurs et les appareils.

Cependant, pour ce faire, les protections ML doivent analyser les modèles et le comportement dans les contextes des attaquants, ainsi que les événements associés sur les appareils cibles ou les réseaux d’entreprise.

Les indicateurs qu’une campagne de ransomwares humaine est en cours peuvent inclure une activité de compte utilisateur suspecte. Par exemple, un cybercriminel achète des informations d’identification volées et commence à fouiller un réseau, répertoriant les fichiers et les processus au fur et à mesure ou testant leurs privilèges. En outre, les attaquants peuvent se déplacer sur un réseau en dehors de l’activité professionnelle typique associée à un compte. Dans la dernière étape, bien sûr, un logiciel de cryptage est exécuté.

Trois ensembles d’entrées générées par l’IA ont été développées dans la solution de cybersécurité, qui génère indépendamment un score de risque déterminant si une entité est probablement impliquée dans une attaque de ransomware active :

  • Analyse temporelle et statistique des alertes de sécurité au niveau organisationnel
  • Agrégation basée sur des graphiques des événements suspects sur tous les appareils
  • Surveillance basée sur les appareils pour signaler les activités suspectes

En corrélant ces ensembles de données, Defender peut détecter des modèles et des connexions qui auraient pu être manqués autrement. Si un niveau de confiance suffisamment élevé est atteint, les fichiers et entités impliqués dans l’opération de ransomware sont automatiquement bloqués.

VOIR : Sécurité du cloud computing : où elle en est, où elle va

Lors des tests, Defender a pu détecter et arrêter une attaque de ransomware au stade précoce du chiffrement, lorsque moins de 4 % des actifs du réseau étaient chiffrés.

“Avec ses capacités de détection améliorées basées sur l’IA, Defender for Endpoint a réussi à détecter et à incriminer une attaque de ransomware au début de sa phase de chiffrement, lorsque les attaquants avaient chiffré des fichiers sur moins de quatre pour cent (4%) des appareils de l’organisation, démontrant une capacité améliorée pour perturber une attaque et protéger les appareils restants de l’organisation », a déclaré Microsoft.

Microsoft affirme que les protections de l’IA sont conçues pour se déclencher dès les premiers stades d’une épidémie de ransomware, au moment où les logiciels malveillants commencent à chiffrer les appareils. Ces protections seront renforcées au fil du temps et étendues pour “incriminer et isoler les comptes d’utilisateurs et les appareils compromis afin de limiter davantage les dégâts des attaques”.

Alors que le géant de Redmond utilise l’IA dans la défense, dans les nouvelles connexes, la société réduit également l’utilisation de la technologie de reconnaissance faciale au nom des normes éthiques de l’IA.

Couverture précédente et connexe


Vous avez un conseil ? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713 025 499, ou plus à Keybase : charlie0


#Comment #lIA #Microsoft #détecte #les #attaques #ransomwares #avant #même #quelles #commencent