Новият инструмент за сигурност на Microsoft ви позволява да видите вашите системи като хакер

Microsoft стартира две услуги за сигурност, които имат за цел да подобрят разузнавателните способности на центъра за операции по сигурността (SOC) на организацията, а не само да защитават устройствата.

Microsoft пусна Defender Threat Intelligence и Defender External Attack Surface Management (EASM) – два нови продукта, които обединяват технологии Microsoft спечели, след като придоби фирмата за сигурност RiskIQ миналия юли за 500 милиона долара.

Може да изглежда, че има известно припокриване между съществуващите на Microsoft услуги като неговия Sentinel, захранван от Azure услуга за информация за сигурността и управление на събития (SIEM). и Microsoft Defender Experts for Huntingуправлявана услуга за лов на заплахи, и нейните Defender Experts за XDR, управлявана услуга за разширено откриване и реагиране (XDR).

Но Microsoft казва, че тези базирани на RiskIQ предложения за услуги за разузнаване на заплахи се различават по това, че предоставят на клиентите “директен достъп до данни в реално време” от сигналите за сигурност на Microsoft. Шефът на Microsoft Сатя Надела каза миналата седмица, че фирмата получава 43 трилиона сигнала за сигурност всеки ден.

Освен сигнали, Microsoft казва, че новата им услуга за разузнаване на заплахи се основава на информация, обединена между RiskIQ, екипа за проследяване на националната държава на Microsoft, Microsoft Threat Intelligence Center (MSTIC, произнася се „Mystic“) и изследователския екип за сигурност на Microsoft 365 Defender.

Rob Lefferts, корпоративен вицепрезидент на отдела за модерна защита и SOC на Microsoft, казва на ZDNet, че услугата за разузнаване на заплахи е за „свързване на SOC със собствените изследователи на Microsoft от MSTIC“.

Междувременно Microsoft Defender External Attack Surface Management е за това „как да сме сигурни, че вие ​​виждате целия свят по начина, по който би го направил атакуващият“, казва Лефертс.

„Ние ще сканираме интернет и ще ви помогнем да разберете какво представяте в публичния интернет и каква експозиция означава това за вашата компания.“

Услугата за управление на повърхността на атака може да бъде полезна, като се имат предвид данните, че нападателите започват да сканират интернет за открити уязвими устройства в рамките на 15 минути след публичното разкриване на голям недостатък и като цяло продължете да сканирате интернет за по-стари пропуски като миналогодишните неприятни дефекти на Exchange Server, ProxyLogon и ProxyShell.

Тази услуга открива неизвестни и неуправлявани ресурси на клиента, които са видими и достъпни от интернет – предоставяйки на защитниците същия изглед, който атакуващият има, когато избере цел. Defender EASM помага на клиентите да открият неуправлявани ресурси, които биха могли да бъдат потенциални входни точки за нападател.

В рамките на MSTIC и Microsoft 365 Defender Research, Microsoft проследява 250 различни участници и фамилии рансъмуер.

„Предоставяме разузнавателна информация за всички тях и я внасяме във вашия екип по сигурността — не само за да научаваме последните новини… но и за да ги изследваме, така че ако видя индикатор, може да проуча къде може да се намира в мрежата и Свържете това с това, което виждам в моята компания. Това е като работна маса за анализаторите в една компания,” казва Lefferts.

Бизнесът със сигурността на Microsoft расте с бързи темпове. Струваше си 10 милиарда долара годишно през 2021 га към април е нараснал до стане бизнес с 15 милиарда долара годишно. В актуализацията на приходите си за четвъртото тримесечие на финансовата 2022 г. Надела каза, че „приходите от сигурността на Microsoft са се увеличили с 40 процента“ и че бизнесът й със сигурност вече обхваща 50 категории, далеч отвъд нейната антивирусна програма Defender за компютри с Windows.

Други скорошни придобивания включват фирми за сигурност на IoT CyberX и ReFirm Labs за да повиши своите предложения за киберсигурност.

Microsoft ребрандира своята гама Defender през 2020 г за да включи Microsoft Threat Protection, Defender ATP, Azure Security Center и други, включени под псевдонима Microsoft Defender. Microsoft Defender ще стане негов XDR продукт, докато Azure Sentinel ще стане неговата SIEM линия.

Lefferts казва, че двете нови услуги с марка Defender са самостоятелни продукти.

„Това е различно от защитата на крайната точка. Става дума за подобряване на вашия екип по сигурността, като им давате нови възгледи и перспективи. Ако мислите за игра на шах, ако я обърнете и я погледнете от гледната точка на опонента си, това е инструмент, който е предназначен да помогне на анализаторите да направят това, като им даде тази различна гледна точка“, казва той.