Fala pessoal, tudo bem com voces? Espero que sim. No post de hoje vamos falar sobre uma ferramenta pouco comentada, porém com uma capacidade extraordinária, vamos falar de táticas de engano (Deception).
Todos nós sabemos que os endpoints continuam sendo portas de entrada críticas para os atacantes começarem o reconhecimento se movimentarem lateralmente através de uma organização. Isso tem dado muita dor de cabeça para as soluções de XDR e consequentemente para as equipes de SOC.
Com isso a Microsoft lançou a ferramenta de engano com um recurso interno no Microsoft Defender for Endpoint aumentando ainda mais a sua gama de recursos no seu XDR. O deception permite criar uma superfície de ataque artificial a fim de atrair os adversários para acessarem ativos que foram criados apenas para eles e acionando um sinal de alta fidelidade em estágio inicial quando acessado. Como um recurso interno, o engano é gerado e implantado automaticamente adicionando uma camada de proteção para dispositivos na organização, permitindo as equipes de SOC acelerarem sua resposta.
O Deception no Defender for Endpoint fornece aos clientes:
- Detecções de alta confiança e interrupção automática de ameaças – Detecta o movimento lateral operado por humanos nos estágios iniciais de um ataque cibernético e desencadeia a interrupção do ataque para conter a ameaça.
- Geração alimentada por IA de iscas e iscas autênticas – O Defender for Endpoint usa aprendizado de máquina para gerar automaticamente e implantar iscas e iscas autênticas em sua rede que espelham ativos de produção
- Integrado ao agente de endpoint existente – nenhuma implantação ou gerenciamento adicional de sensores em sua rede.
- Integrado à experiência SOC XDR – para uma investigação fácil e completa de ataques
Qualquer interação com eles garante a detecção imediata, pois alertas de alta fidelidade são criados para o SOC e correlacionados ao incidente em andamento. Portanto, a tecnologia de engano complementa estrategicamente as soluções XDR e pode ser o fator decisivo em quanta exposição sua empresa tem durante um ataque de ransomware.
Geração de iscas e iscas alimentadas por IA e implantação simples
Usando modelos sofisticados de ML, o Defender for Endpoint cria automaticamente ativos que imitam outras pessoas em seu ambiente e podem resistir a verificações de autenticidade de adversários, por exemplo, alinhando-se com a convenção de nomenclatura existente de seus hosts – tudo em menos de 5 minutos. Em seguida, o Defender for Endpoint usa seus agentes de endpoint existentes para implantá-los, para que você não precise de sensores separados em sua rede. Além disso, a renovação automática e as atualizações de iscas e iscas existentes acontecerão continuamente para garantir que permaneçam autênticas e recentes em toda a sua rede.
O Deception está incluído para clientes com qualquer uma das seguintes licenças: Microsoft Defender for Endpoint Plan 2, Microsoft Security E5, Microsoft 365 E5 sem custo adicional. Isso permite que um amplo conjunto de organizações se beneficie imediatamente do deception e o habilite em seu ambiente.
https://learn.microsoft.com/en-us/defender-xdr/deception-overview
Neste post quis mostrar uma visão geral e um resumo desta nova ferramenta com as informações necessárias de base. No próximo post iremos efetuar o setup e deixar tudo funcionando no nosso ambiente.
Espero que esse post chegue até voces e contribua de alguma forma. Até a próxima.