Microsoft: Defender ATP arriverà su Linux nel 2020

Microsoft ha in programma di portare il suo antivirus Defender sui sistemi Linux il prossimo anno e questa settimana fornirà una demo di come gli specialisti della sicurezza possono utilizzare Microsoft Defender alla conferenza Ignite.

Microsoft ha annunciato il cambio del marchio da Windows Defender a Microsoft Defender nel

March dopo aver fornito agli analisti della sicurezza gli strumenti per ispezionare i computer Mac aziendali alla ricerca di malware tramite la console Microsoft Defender.

Rob Lefferts, vicepresidente aziendale per la sicurezza M365 di Microsoft, ha dichiarato a ZDNet che Microsoft Defender per i sistemi Linux sarà disponibile per i clienti nel 2020.

VEDERE: 20 suggerimenti professionali per far funzionare Windows 10 nel modo desiderato (PDF gratuito)

Application Guard sarà disponibile anche su tutti i documenti di Office 365. In precedenza, questa funzionalità di sicurezza era disponibile solo in Edge e consentiva agli utenti di aprire in sicurezza una pagina Web in una macchina virtuale isolata per proteggerli dal malware. Ora, gli utenti che aprono le app di Office 365, come Word o Excel, avranno la stessa protezione.

"Arriverà prima in anteprima, ma quando ricevi un documento non attendibile con macro potenzialmente dannose via e-mail, si aprirà in un contenitore", ha affermato.

Ciò significa che quando un utente malintenzionato tenta di scaricare altro codice da Internet e quindi di installare malware sulla macchina, la macchina è una macchina virtuale, quindi la vittima non installa mai effettivamente il malware.

La mossa dovrebbe aiutare a proteggere dal phishing e da altri attacchi che tentano di indurre gli utenti a uscire dalla Visualizzazione protetta, che impedisce agli utenti di eseguire macro per impostazione predefinita.

Lefferts discuterà anche di come Microsoft sta proteggendo le organizzazioni dagli attacchi malware sofisticati che lo sono sfruttare il "problema della parità delle informazioni", un termine intellettuale per indicare il modo in cui gli aspetti di una rete possono influenzarne il suo complesso progetto.

"I difensori devono sapere tutto perfettamente e gli attaccanti devono sapere solo una cosa. Il punto è che non c’è parità di condizioni e la situazione sta peggiorando”, ha detto Lefferts.

La chiave di questa capacità è Microsoft Security Intelligent Graph che Microsoft vende ai clienti aziendali. Ma cos’è esattamente il Microsoft Intelligent Security Graph?

"È integrato in Defender ATP, Office 365 e Azure. Abbiamo segnali integrati in eventi, comportamenti e cose semplici come un utente che accede a una macchina o complicate come il comportamento del layout della memoria in Word su questo dispositivo è diverso da come appare normalmente," ha spiegato Lefferts.

"Essenzialmente disponiamo di sensori su tutte le identità, endpoint, app cloud e infrastruttura e inviano tutto questo a un luogo centrale all'interno del cloud di Microsoft."

Microsoft non intende i sensori fisici nel contesto del suo Intelligent Security Graph, ma piuttosto pezzi di codice che si trovano all'interno delle sue varie applicazioni che alimentano la sicurezza intelligente Grafico.

L’idea è quella di aiutare i team di sicurezza a risolvere le sfide in modo diverso dal modo in cui lo farebbero gli esseri umani.

"Gli esseri umani non sono bravi con i grandi numeri, ma questo è il luogo in cui le macchine possono fornire nuove informazioni."

La prova che Microsoft sta facendo la differenza è che ha contribuito a prevenire 13,5 miliardi e-mail dannose finora nel 2019 e Lefferts prevede che Microsoft ne avrà bloccati 14 miliardi entro la fine del l'anno. L'azienda ha sottolineato il suo lavoro nella difesa delle organizzazioni politiche statunitensi ed europee contro gli attacchi informatici in vista delle elezioni presidenziali di medio termine americane del 2020.

"Difendere la democrazia è un punto importante per noi perché ci stiamo assicurando di prendere tutte le capacità che stiamo costruendo qui e di usarle per aiutare le organizzazioni e i governi di tutto il mondo", ha affermato.

"L'obiettivo è aiutare i difensori a farsi notare e a dare priorità al lavoro importante ed essere pronti a proteggere e rispondere, in modo più intelligente e veloce, utilizzando i segnali provenienti da Windows, Office e Azure."

Lo strumento chiave che Microsoft sta introducendo ora è la riparazione automatizzata per i clienti di Office 365 che dispongono di Microsoft Threat Protection.

"Esiste una catena di uccisione che rappresenta ogni passo compiuto da un aggressore mentre si muove all'interno dell'organizzazione. Quando scopri che sta succedendo, vuoi assicurarti di ripulire tutto", ha detto Lefferts.

Ad esempio, un hacker viola una rete tramite un'e-mail di phishing, installa malware sul dispositivo e quindi si sposta lateralmente verso un'infrastruttura critica, come un server di posta elettronica o un controller di dominio. L'hacker può mantenere una presenza sulla rete potenzialmente per anni.

"Il punto centrale dell'automazione è trovare tutti gli account compromessi e reimpostare le password, trovando tutti gli utenti che si sono rivelati dannosi e-mail, cancellandole dalle caselle di posta, trovando tutti i dispositivi interessati e isolandoli, mettendoli in quarantena e pulendo loro."

Lefferts è stato attento a non usare la parola intelligenza artificiale e ha sottolineato che quella di Microsoft le tecnologie mirano all'"aumento delle persone" nei team di sicurezza o piuttosto agli "esoscheletri" delle persone rispetto ai robot.

VEDERE: Microsoft Defender "Tamper Protection" raggiunge la disponibilità generale

Quindi, come aiuterebbe le organizzazioni aziendali a rispondere al futuro Epidemia di ransomware NotPetya?

NotPetya si è diffuso inizialmente attraverso un aggiornamento avvelenato di una società di software contabile con sede in Ucraina, paralizzando diverse aziende globali, tra cui Maersk e Mondelez.

"La prima cosa è che tutto ciò avviene più velocemente di quanto i venditori possano rispondere, il che è un grosso problema. [I soccorritori] hanno davvero bisogno del potenziamento di cui stiamo parlando in modo che possano agire più velocemente. Ci sono anche così tante opportunità per i difensori di intermediare, spezzare la catena di uccisione e sistemare tutto. E vogliamo essere sicuri di poter lavorare lungo tutta la catena di uccisione."

Microsoft implementerà inoltre nuove funzionalità per i clienti che utilizzano Office 365 Advanced Threat Protection, offrendo agli amministratori una migliore panoramica degli attacchi di phishing mirati. L'idea è quella di sovvertire le strategie tipiche utilizzate dagli aggressori per evitare il rilevamento, come l'invio di e-mail da indirizzi IP diversi.

"In qualunque modo scelgano i loro obiettivi, avranno una fabbrica dove costruiranno una campagna che dirigeranno verso quegli obiettivi. E continueranno a ripetere tutti gli aspetti di quella campagna per vedere cosa è più efficace per superare i difensori e come ingannare al meglio l'utente facendogli fare clic su qualcosa," ha affermato Lefferts.

"Si manifesta come un assalto di e-mail a più utenti all'interno dell'organizzazione, a volte solo pochi, a volte centinaia. Ciò che diamo ai difensori è una visione di ciò che sta accadendo. Ci sono email che provengono da diversi indirizzi IP e domini di mittenti diversi e contengono componenti diversi perché continuano a eseguire esperimenti diversi. Abbiamo messo insieme l'intero quadro per mostrarvi il flusso, come si è evoluto nel tempo."