IA : Microsoft dévoile sa recette pour lutter contre les ransomwares

IA : Microsoft dévoile sa recette pour lutter contre les ransomwares


Les ransomwares constituent l’une des menaces numériques les plus prolifiques et les plus vicieuses sur la toile à l’heure actuelle. Les familles de ransomware – Locky, WannaCry, NotPetya, Cerber et les autres – ne cessent de faire parler d’elles. Ces rançongiciels verrouillent les systèmes infectés puis exigent un paiement en échange de la clé de déchiffrement qui rendra l’accès – ou pas – aux fichiers chiffrés.

La popularité des ransomwares en tant que service (RaaS) a également s’est également renforcée parmi les activités criminelles. Les RaaS permettent à des cybercriminels d’acheter l’accès à des ransomwares pour les utiliser dans leurs campagnes, qu’ils ciblent le plus grand nombre ou qu’ils s’en prennent aux entreprises du « Big Game ».

Selon l’équipe de recherche 365 Defender de Microsoft, les campagnes de ransomware menées par des humains sont complexes et à multiples facettes, ce qui peut rendre la détection précoce très difficile, d’autant plus que les campagnes continuent d’évoluer.

L’IA pour contrer les ransomwares

Dans un billet de blog publié mardi, les équipes du géant américain racontent comment elles explorent de « nouvelles façons » d’exploiter l’IA face à un « paysage de menaces de plus en plus complexe ». En s’appuyant sur des améliorations de l’IA via leur plateforme Microsoft Defender for Endpoint, celles-ci s’efforcent de perturber les attaques de ransomwares dès que celles-ci se font sentir. Elles s’appuient pour ce faire sur la technique de « l’incrimination précoce », qui se base sur des algorithmes de machine learning pour déterminer « l’intention malveillante » dans les fichiers, les processus, les comptes d’utilisateur et les appareils.

Les indicateurs d’une campagne de ransomware menée par un être humain peuvent inclure une activité suspecte sur les comptes d’utilisateurs. Par exemple, lorsqu’un cybercriminel achète des informations d’identification volées et commence à fouiller dans un réseau, répertoriant les fichiers et les processus au fur et à mesure, ou testant ses privilèges.

En outre, les attaquants peuvent se déplacer sur le réseau en dehors de l’activité professionnelle habituelle associée à un compte. Dans la dernière étape, bien sûr, le logiciel de chiffrement est exécuté.

Prévenir et guérir

L’IA de Microsoft permet au géant américain de générer un score de risque pour déterminer si une entité est impliquée dans une attaque active de ransomware. Pour arriver à ce score, celle-ci s’appuie sur :

  • une analyse temporelle et statistique des alertes de sécurité au niveau de l’organisation ;
  • l’agrégation graphique des événements suspects entre les dispositifs ;
  • la surveillance des appareils pour signaler les activités suspectes.

En corrélant ces ensembles de données, Defender peut détecter des modèles et des connexions qui auraient pu être ignorés autrement. Si un niveau de confiance suffisamment élevé est atteint, les fichiers et les entités impliqués dans l’opération de ransomware sont automatiquement bloqués. Les résultats sont au rendez-vous : lors de tests, Defender a pu détecter et arrêter une attaque de ransomware au stade précoce du chiffrement, lorsque moins de 4 % des actifs du réseau étaient chiffrés.

« Grâce à ses capacités de détection améliorées basées sur l’IA, Defender for Endpoint a réussi à détecter et à incriminer une attaque de ransomware au début de sa phase de chiffrement, lorsque les attaquants avaient chiffré des fichiers sur moins de quatre pour cent (4 %) des appareils de l’organisation, ce qui démontre une meilleure capacité à interrompre une attaque et à protéger les appareils restants de l’organisation », fait-on valoir du côté de Microsoft.

Source : ZDNet.com





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.