Windows Defender ATP para defenderse contra infecciones de Ransomware en redes corporativas

Hoy en día, varias empresas son víctimas de ataques de Ransomware, y están luchando duro con este riesgo cada vez mayor de infecciones de Ransomware. Pero, ¿sabía usted que Windows 10 podría ayudar a estas empresas a detectar y detener la propagación de la infección por ransomware mucho más rápidamente?

Sí, una reciente entrada en el blog de Microsoft publicada el lunes muestra cómo Windows Defender ATP (Advanced Threat Protection) puede ayudar a las empresas a comprender mejor los primeros casos de ataques de ransomware y a utilizar esta información para proteger su red.

Windows Defender ATP para defenderse contra infecciones de Ransomware en redes corporativas 1

Windows Defender ATP ofrece protección Ransomware

Windows Defender Advanced Threat Protection o Windows Defender ATP es un servicio de seguridad que permite a las empresas detectar, investigar y responder a las amenazas avanzadas que se plantean en sus redes. A continuación se muestra la combinación de tecnologías utilizadas por Windows Defender ATP, que están integradas en Windows 10 y en el sólido servicio en nube de Microsoft:

A continuación se muestra la combinación de tecnologías utilizadas por Windows Defender ATP, que están integradas en Windows 10 y en el sólido servicio en nube de Microsoft:

  • Sensores de comportamiento de punto final

Los sensores de comportamiento de los puntos finales están integrados en Windows 10. Estos sensores recogen y procesan las señales de comportamiento del sistema operativo y, además, envían los datos del sensor a la instancia de nube privada y aislada de Windows Defender ATP.

  • Análisis de seguridad en la nube

El aprovechamiento de Big Data, el aprendizaje de la máquina y la exclusiva óptica de Microsoft a través de las señales de comportamiento del ecosistema de Windows se decodifican en conocimientos, detecciones y respuestas recomendadas a las amenazas avanzadas.

  • Inteligencia de amenazas

La información sobre amenazas permite a Windows Defender ATP identificar las herramientas, técnicas y procedimientos del atacante y generar alertas cuando se observa algo sospechoso en los datos de los sensores recopilados.

Al igual que en el caso de las enfermedades físicas, la detección temprana de una infección de ciberseguridad es la clave para mitigar el daño potencial y también para evitar problemas complejos. Con Windows Defender ATP esto es prácticamente posible.

que proporciona Windows Defender ATP:

Windows Defender ATP aprovecha la tecnología y la experiencia de Microsoft para detectar ciberataques de gama alta. Proporciona-

  1. Windows Defender ATP proporciona una detección avanzada de ataques basada en el comportamiento, impulsada por la nube. Ayuda a detectar ataques posteriores a la infracción y proporciona alertas procesables y correlacionadas para rivales conocidos y desconocidos.
  2. A través de la rica línea de tiempo del equipo, Windows Defender ATP permite investigar fácilmente el alcance de la infracción o el comportamiento sospechoso en cualquier equipo.
  3. Windows Defender ATP tiene incorporada una base de conocimientos única de inteligencia de amenazas que proporciona detalles de actores y contexto comprometido para todas y cada una de las amenazas a la detección basada en Intel.

Beneficiarse de las soluciones de detección posterior a la infracción

El blog post dice,

«A medida que los ataques llegan a la capa posterior a la violación o a la infección -cuando el antimalware del endpoint no logra detener una infección de ransoma- las empresas pueden beneficiarse de las soluciones de detección posteriores a la violación que proporcionan información completa sobre los artefactos y la capacidad de girar rápidamente las investigaciones utilizando estos artefactos».

Paciente Cero o la infección inicial

La entrada del blog dice que algunas de las familias más frecuentes de campañas de rescate pueden durar «días o incluso semanas, todo ello empleando archivos y técnicas similares». Pero, si la empresa afectada puede inspeccionar el » Patient Zero ,» o la infección inicial, pueden » detener eficazmente las epidemias de ransomware,». Esto significa que si una herramienta antimalware en primer lugar no logra evitar el ataque real, Windows 10 debería ser capaz de evitar que crezca. Lo hace convirtiéndolo en una epidemia. Esto se puede hacer porque Windows Defender ATP puede señalar las infecciones originales y también trabajar para ayudar a proteger la red y detener los ataques posteriores.

Cerber ransomware

La investigación examina en detalle un tipo específico de malware conocido como Cerber ransomware. Esto fue generalizado durante la temporada navideña. Cuando se realizó la prueba, se descargó Cerber ransomware, cuando intentó lanzar un comando PowerShell, el mismo fue detectado rápidamente por el Windows Defender ATP.

«Windows Defender ATP también generó una alerta cuando el script PowerShell se conectó a un sitio web de anonimización TOR a través de un proxy público para descargar un ejecutable. el personal del Centro de Operaciones de Seguridad (SOC) pudo usar dichas alertas para obtener la IP de origen y bloquear esta dirección IP en el cortafuegos, evitando que otras máquinas descargaran el ejecutable.

Genera alertas

Se observó que Windows Defender ATP generaba alertas activas cuando el software de rescate intentaba eliminar puntos de restauración del sistema y copias de sombra de volumen. Las alertas están diseñadas para proporcionar información contextual de seguridad profesional y también ayudan a centrar una investigación en la prevención de un brote.

Una gran cantidad de nuevas actualizaciones muy pronto

Según el post, Windows Defender tendrá una gran cantidad de nuevas defensas. Esto incluiría nuevos sensores para detectar malware en memoria y exploits a nivel de kernel, la capacidad de poner en cuarentena y prevenir la ejecución posterior de archivos y mejores herramientas para aislar los equipos infectados y realizar análisis forenses.

Ahora lea sobre las características de protección de Ransomware en Windows 10 aquí.

Contenido Relacionado

Deja un comentario