Automation to fight automated attacks
जब आप अपने संगठन में हर उस चीज़ के बारे में सोचते हैं जिसकी आपको हमलावरों से रक्षा करने की आवश्यकता होती है, तो सर्वर, पीसी, फ़ाइल स्टोर, उपयोगकर्ता और अन्य जो प्रभावित हो सकते हैं, की सूची बनाना आसान होता है, लेकिन हमलावर उन्हें संसाधनों का एक ग्राफ़ मानते हैं जो सभी जुड़े हुए हैं। उनमें से एक से समझौता करने से आपके बुनियादी ढांचे के अन्य हिस्से हो जाते हैं। तेजी से, हमलावर स्वचालित टूलकिट, स्क्रिप्ट और क्लाउड संसाधनों के साथ आपके कनेक्टेड टूल पर चले जाते हैं।
अब, सुरक्षा दल ऐसा ही कर सकते हैं, क्योंकि Microsoft 365 डिफेंडर इस बात की एक तस्वीर बनाता है कि कोई हमला आपके सिस्टम को कैसे प्रभावित करता है और इसका उपयोग करके इसे बंद करने की कोशिश करता है – स्वचालित रूप से और वास्तविक समय में।
करने के लिए कूद:
डिफेंडर स्वचालित रूप से हमलों को बाधित करता है
सुरक्षा व्यवस्थापकों के लिए हस्तक्षेप छोड़ने के बजाय, Microsoft 365 डिफेंडर अपने द्वारा खोजे गए हमलों को स्वचालित रूप से बाधित करने का प्रयास करेगा। इसका उद्देश्य संकेतों को देखने और पहले से प्रभावित संपत्तियों को अलग करने के लिए एआई का उपयोग करते हुए हमलों को शामिल करना है।
इसका मतलब यह हो सकता है कि एक हमलावर द्वारा उपयोग किए जा रहे किसी समझौता किए गए उपयोगकर्ता को निलंबित करना, पहुंच को सीमित करने के लिए अपना पासवर्ड रीसेट करना, ईमेल में URL को ब्लॉक करना, संदेशों को हटाना और संगरोध में संलग्न करना, संक्रमित उपकरणों को स्वचालित रूप से अलग करना या उन्हें पूरी तरह से बंद करना।
संदिग्ध डिवाइस को अलग करने से यह डिफेंडर सेवा से कनेक्शन को छोड़कर हर चीज से डिस्कनेक्ट हो जाता है – ताकि आप बाद में स्वचालित सफाई के लिए कनेक्शन का उपयोग कर सकें या डिवाइस को फिर से कनेक्ट कर सकें यदि यह गलत सकारात्मक हो (चित्रा ए).
हमलों की बाढ़ का मतलब कम प्रासंगिक रक्षा है
किसी कर्मचारी द्वारा फ़िशिंग लिंक पर क्लिक करने से लेकर हमलावर को उनके इनबॉक्स तक पूर्ण पहुँच प्राप्त करने में दो घंटे से कम का समय लग सकता है। वहां से, हमलावर पैसे या गोपनीय जानकारी मांगने वाले ईमेल भेजने के लिए अग्रेषण नियम निर्धारित कर सकता है जो ऐसा लगता है जैसे वे किसी वैध कर्मचारी से आए हों।
हमलावर तब अन्य आंतरिक प्रणालियों पर हमला करने के लिए आगे बढ़ता है। रैंसमवेयर ऑपरेटर को सैकड़ों उपकरणों को एन्क्रिप्ट करने में केवल कुछ मिनट लग सकते हैं।
अलर्ट की बाढ़ का मैन्युअल रूप से जवाब देकर डिफेंडर कभी भी इसके साथ नहीं रहेंगे। अधिकांश संगठनों को पता भी नहीं चलेगा कि उनका बहुत बाद में उल्लंघन किया गया है। यहां तक कि अगर आप संदिग्ध व्यवहार के बारे में अपने सुरक्षा उपकरणों से अलर्ट प्राप्त करते हैं, तो क्या आप सुनिश्चित हो सकते हैं कि आपने हर हमले पर ध्यान दिया है और हर कमजोर सतह को अवरुद्ध कर दिया है, यह देखते हुए कि कितने सुरक्षा उपकरण हैं?
Microsoft 365 डिफेंडर के उपाध्यक्ष रविव तामीर ने कहा, “बहुत बार, हम मूल रूप से हमलावर के साथ व्हेक अ मोल खेल रहे होते हैं।” “मैं एक समापन बिंदु पर बैठा हूं, मुझे कुछ संदिग्ध दिखाई देता है, मैं इसे अपने हथौड़े से मारता हूं और मैं इसे रोकने की कोशिश करता हूं। कहो मैंने किया, और फिर मुझे दूसरे समापन बिंदु पर कुछ और दिखाई देता है और मैं इसे झटक देता हूं। तब मैं कुछ और देखता हूं। यहां तक कि अगर हमने इन सभी चीजों को रोक दिया, तो क्या इसका मतलब यह है कि हमने हमले को रोक दिया? इसका उत्तर यह है कि हम नहीं जानते, क्योंकि हम ईंटों के स्तर पर खेल रहे हैं और उनके पास पूरा लेगो सेट है।”
देखना: मोबाइल डिवाइस सुरक्षा नीति (TechRepublic प्रीमियम)
डिफेंडर एक्सडीआर क्षमताओं से परे चला जाता है
विस्तारित पहचान और प्रतिक्रिया के पीछे का विचार कई सुरक्षा उपकरणों और सूचना के अन्य स्रोतों को लेना था और उन्हें न केवल जानकारी साझा करना था बल्कि यह जानना था कि सूचना का कौन सा स्रोत आधिकारिक है। लैपटॉप की सुरक्षा करने वाला एंटी-मैलवेयर सॉफ़्टवेयर यह पता लगा सकता है कि डिवाइस से समझौता किया गया है, और यह पहचान सेवा से अधिक महत्वपूर्ण होना चाहिए, यह कहना कि उस लैपटॉप पर खाते के साथ सब कुछ ठीक है।
तामिर ने कहा, “केवल एक-दूसरे के साथ चैट करने के बजाय, सुरक्षा उपकरणों को सच्चाई का स्रोत होना चाहिए।”
डिफेंडर के पास अब उपकरणों, पहचान, फाइलों और यूआरएल की स्थिति के लिए सच्चाई के केंद्रीय स्रोत हैं, जो इसके मशीन लर्निंग मॉडल अलर्ट और संदिग्ध घटनाओं को एक घटना में सहसंबंधित करने के लिए उपयोग कर सकते हैं जो पूरे हमले से मेल खाती है।
“अब मैं वास्तव में कठिन प्रश्न पूछना शुरू कर सकता हूँ: यह कहाँ से आया?” तामीर ने पूछा। “मूल कारण क्या था? क्या यह कुछ गलत कॉन्फ़िगरेशन है? क्या यह भेद्यता है? क्या उपयोगकर्ता को कुछ करने के लिए सामाजिक रूप से इंजीनियर बनाया जा रहा है? क्या हमने इसे रोका? क्या हमने हस्तक्षेप किया? इससे भी महत्वपूर्ण बात यह है कि क्या मैं इसे रोकने में सफल रहा – या मेरे हस्तक्षेप के बाद यह आगे बढ़ा और मैं अभी भी व्हेक ए मोल खेल रहा हूं? यह खेल का वास्तव में रोमांचक स्तर है, क्योंकि अब हम वास्तव में हमलावरों के समान स्तर पर खेल रहे हैं।”
डिफेंडर की क्षमताएं आपको हमले को समझने और उस पर प्रतिक्रिया करने देती हैं, न कि केवल विभिन्न संसाधनों पर उस हमले के व्यक्तिगत परिणाम।
सभी समापन बिंदुओं की रक्षा: अप्रबंधित भी
क्योंकि सभी डिवाइस सीधे डिफेंडर द्वारा प्रबंधित नहीं किए जाते हैं, आप डिफेंडर पर भरोसा नहीं कर सकते हैं कि अगर वे समझौता कर रहे हैं तो उन्हें सीधे लॉक कर सकते हैं।
तामिर ने कहा, “जाहिर है, मैं उन सभी एंडपॉइंट्स को नियंत्रित कर सकता हूं जहां सेंसर चालू था।” “यदि आप एंडपॉइंट के लिए माइक्रोसॉफ्ट डिफेंडर तैनात करते हैं, तो मेरे पास नियंत्रण है। एंडपॉइंट्स के बारे में क्या है जहां आपने नहीं किया? हो सकता है कि यह BYOD डिवाइस या एंटरप्राइज़ IoT डिवाइस हो। हो सकता है कि यह एक ऐसा उपकरण हो जो अभी ऑनबोर्ड नहीं किया गया था और नेटवर्क पर बैठा है। जाहिर है, हमलावर उस डिवाइस के लिए जा रहा है।
डिफेंडर एक तकनीक का उपयोग करके एक समझौता डिवाइस को रोकने का भी प्रयास करता है जिसे वह रिवर्स आइसोलेशन कहता है।
“हमारे पास फ़ायरवॉल पर अलगाव की क्षमता है,” तामीर ने कहा। “मूल रूप से, हम अपने सभी उपकरणों को उस डिवाइस के साथ संचार नहीं करने के लिए कह रहे हैं। हम बस उस चीज़ पर भरोसा नहीं करते हैं: कृपया इसके किसी भी अनुरोध को स्वीकार न करें और इसके किसी भी अनुरोध पर वापस संवाद न करें। इसे नेटवर्क से बाहर कर दो।”
साथ ही हमलों को बाधित करने के साथ, डिफेंडर किसी भी क्षति को पूर्ववत करने का प्रयास करेगा, जिसमें माइक्रोसॉफ्ट स्वयं चिकित्सा कहता है।
“अगर मैं हस्तक्षेप करने और हमले को रोकने में कामयाब रहा: क्या मैं उन बुरी चीजों को उलट सकता हूं जो हुई हैं?” तामीर ने पूछा। “अगर मुझे लगता है कि एक मशीन से समझौता किया गया है, तो क्या मैं उसे काम करने की स्थिति में वापस लाने में मदद कर सकता हूँ? इनमें से कितनी कलाकृतियाँ जो संभावित रूप से ख़राब हो रही हैं जैसे कि दुर्भावनापूर्ण फ़ाइलें, रजिस्ट्री में हुए परिवर्तन – उनमें से कितने को मैं वापस ला सकता हूँ?
व्यावसायिक ईमेल समझौता हमलों में अक्सर ईमेल अग्रेषण नियम बनाना शामिल होता है जो हमलावर को उपयोगकर्ता की ओर से जवाब देने की अनुमति देता है और उन्हें पैसे हस्तांतरित करने के लिए कहता है।
झूठी सकारात्मकता से बचना
जबकि स्वचालन एक शक्तिशाली उपकरण है, इसे गलत करना एक वास्तविक हमले के समान विघटनकारी हो सकता है, इसलिए Microsoft इसे सावधानी से रोल आउट कर रहा है।
तामिर ने कहा, “जहां हम इसे चलाते हैं, वहां हमें सावधान रहने की जरूरत है, क्योंकि जब हम व्यवधान चलाते हैं और मानव संचालित रैंसमवेयर को आपके सभी उपकरणों को एन्क्रिप्ट करने से रोकते हैं तो यह बहुत बढ़िया है।” “अगर मैं सही हूं और मैं रैनसमवेयर को रोक रहा हूं, तो हर कोई तालियां बजाएगा क्योंकि मैंने अभी-अभी उस उद्यम को बहुत पैसा बचाया है। हालाँकि, अगर मैंने कोई गलती की है, और मैं इन मशीनों को अलग कर रहा हूँ क्योंकि मुझे लगता है कि यह रैंसमवेयर है, लेकिन ऐसा नहीं है, तो मैंने संचालन को काफी बाधित कर दिया है।
ठीक इसी कारण से डिफेंडर के स्वत: व्यवधान के लिए प्रमुख प्रणालियां सीमा से बाहर हैं। उसके कारण, स्वचालित आक्रमण व्यवधान वर्तमान में केवल दो परिदृश्यों के लिए काम करता है जिन्हें Microsoft रोकने के लिए सबसे महत्वपूर्ण मानता है:
- व्यापार ईमेल समझौता अभियान।
- मानव-संचालित रैंसमवेयर हमले।
दोनों हमले महत्वपूर्ण नुकसान करते हैं क्योंकि वे संसाधनों और व्यक्तियों की एक विस्तृत श्रृंखला को प्रभावित करते हैं। उन्हें एंड-टू-एंड व्यू की आवश्यकता होती है लेकिन पूरे संगठन में बाधित हो सकती है।
अधिक उपकरणों का बचाव
व्यवधान Microsoft 365 डिफेंडर को पर्याप्त संकेत मिलने पर निर्भर करता है, इसलिए यदि आप कई डिफेंडर उत्पादों का उपयोग करते हैं तो यह अधिक प्रभावी होगा।
तामिर ने कहा, “हमें जितने अधिक सेंसर मिलेंगे, हम यह पता लगाने में बेहतर होंगे कि क्या हो रहा है।” “आपके पास जितने अधिक उत्पाद होंगे, हमारे पास उतने ही बेहतर हथौड़े होंगे। आप हमारे जितने अधिक उत्पाद तैनात करेंगे, आपको उतनी ही अधिक दृश्यता मिलेगी, उतने ही अधिक उपकरण हमें मिलेंगे जिससे हम चीजों को तोड़-मरोड़ कर पेश करेंगे और हमारा व्यवधान बेहतर होता जाएगा।
नेटवर्क अलगाव अब डिफेंडर फॉर एंडपॉइंट चलाने वाले लिनक्स उपकरणों के लिए उपलब्ध है, हालांकि यह पूर्ण डिवाइस नियंत्रण नहीं कर सकता है। सुविधा सार्वजनिक पूर्वावलोकन में है, इसलिए समय के साथ इसके विकसित होने की अपेक्षा करें।
“लिनक्स अलगाव मेरे लिए उपयोग करने के लिए एक और हथौड़ा है,” तामिर ने कहा। “अगर वह हमला लिनक्स डिवाइस को पार करता है, तो मेरे पास इसे प्रभावित करने का प्रयास करने का एक तरीका है।”
लंबे समय में, वह कई ऑपरेटिंग सिस्टमों में समानता पाने की उम्मीद कर रहा है।
“मैं हर चीज में एक ही टूल सेट प्राप्त करना चाहता हूं ताकि मेरा ऑटोमेशन हर जगह हमलों को बाधित करने की कोशिश कर सके,” उन्होंने जारी रखा।
तामीर उन जगहों का भी विस्तार करना चाहता है जहां डिफेंडर स्वचालित रूप से उन हमलों से बचाव कर सकता है जो आप आमतौर पर सुरक्षा प्रणाली के रूप में सोच सकते हैं। इसमें डिवाइस लॉग्स की तुलना में अधिक जानकारी प्राप्त करने के लिए Windows कर्नेल टीम के साथ काम करना शामिल है, और इसमें डिवाइस एक्सेस को स्वचालित रूप से प्रबंधित करने के लिए Azure AD टीम के साथ काम करना भी शामिल है।
तामिर ने कहा, “मैं न केवल समापन बिंदु पर, बल्कि समापन बिंदु फ़ायरवॉल पर भी नियंत्रण चाहता हूं।” “मैं पहचान प्रणाली पर नियंत्रण चाहता हूं: मैं सशर्त पहुंच पर प्रत्यक्ष नियंत्रण चाहता हूं, और Azure AD वास्तव में हमें वह दे रहा है। मैं सक्रिय निर्देशिका में वही चीजें रखना चाहता हूं, भले ही ग्राहक के पास Azure AD न हो। मैं मूल रूप से किसी भी इकाई को नियंत्रित करना चाहता हूं जो मैं कर सकता हूं, और मेरा सपना है कि एक दिन, मैं अपने सिएम समाधान, सेंटिनल का उपयोग अन्य उत्पादों के लिए भी कर सकूं जो माइक्रोसॉफ्ट उत्पाद नहीं हैं।
तामिर भी अंतर्निहित समस्याओं में से एक से निपटना चाहता है: उपकरणों और सेवाओं को सही ढंग से मैन्युअल रूप से कॉन्फ़िगर करना कितना जटिल और समय लेने वाला है।
“कॉन्फ़िगरेशन को एक बड़े ओवरहाल के माध्यम से जाने की जरूरत है,” उन्होंने कहा। “तथ्य यह है कि सब कुछ का मैनुअल भयानक है। इसे रुकना चाहिए और मैं इसे ठीक करने के लिए काम कर रहा हूं।”