Поскольку атаки программ-вымогателей, управляемые человеком, характеризуются особым набором методов и поведения, Microsoft считает, что они могут использовать управляемый данными подход ИИ для обнаружения этих типов атак.
Злоумышленники обычно закрепляются в целевой системе, внедряя двоичный файл вредоносной программы, который обеспечивает удаленный доступ к устройству. Однако не все двоичные файлы, используемые в атаках, являются вредоносными, и многие исполняемые файлы, используемые в атаках, являются легальными программами, включая встроенные команды Windows. Индикаторы, генерируемые этими двоичными файлами, могут считаться низкоприоритетными и игнорироваться защитниками.
Добавление управляемой искусственным интеллектом системы адаптивной защиты, которая будет обнаруживать необычное поведение даже в легальных двоичных файлах, может сыграть решающую роль в предотвращении дальнейшего взлома устройства и предоставить ценное время для предотвращения атак.
«В клиентской среде функция адаптивной защиты, управляемая ИИ, оказалась особенно успешной в предотвращении проникновения в сеть, остановив двоичный файл, который предоставил бы доступ», — пояснили в Microsoft о своей системе защиты, управляемой ИИ.
«Учитывая индикаторы, которые в противном случае считались бы низкоприоритетными для исправления, адаптивная защита остановила цепочку атак на ранней стадии, так что общее воздействие атаки было значительно снижено».
В отличие от облачной защиты, которую администраторы настраивают вручную, новая система является адаптивной, что означает, что она может автоматически повышать или понижать агрессивность решений о блокировке, доставляемых через облако, на основе данных в реальном времени и прогнозов машинного обучения. Даже если алгоритм не сможет оценить риск в его реальной величине и злоумышленник найдет путь в целевую сеть, система останется для них препятствием.
Как объясняет Microsoft, адаптивная защита может обнаруживать и блокировать кажущиеся безобидными операции, которые субъекты программ-вымогателей используют на этапе разведки.
«Если устройство уже взломано, наша система адаптивной защиты, управляемая искусственным интеллектом, может легко и автоматически переключиться в наиболее агрессивный режим и заблокировать фактическую полезную нагрузку программ-вымогателей, предотвращая шифрование важных файлов и данных, и как следствие, злоумышленники не смогут потребовать выкуп».