Scopri come l’intelligenza artificiale di Microsoft Copilot sta rivoluzionando la lotta contro i ransomware gestiti da cybercriminali.
Il fenomeno dei ransomware gestiti da attori umani rappresenta una delle minacce informatiche in più rapida ascesa, con un incremento del 200% rilevato dalle telemetrie di Microsoft dal settembre 2022. Questi attacchi, infatti, mirano a colpire organizzazioni di ogni genere, sfruttando la destrezza e il coordinamento di minacce cibernetiche particolarmente abili. Per contrastarle, Microsoft introduce il nuovo strumento Microsoft Copilot for Security, che si avvale dell’IA generativa per aiutare i team di SecOps a superare e sopravanzare gli attori delle minacce.
Una delle principali funzioni di Copilot è quella di analizzare e mitigare attacchi di ransomware complessi e sinistrati dall’uomo. Attraverso una serie di video dimostrativi, Microsoft mostra come questo strumento può rilevare, contenere e mitigare incursioni dannose. Uno degli elementi distintivi di Copilot è la capacità di combinare il contesto critico, in modo che i professionisti della sicurezza possano fornire riassunti chiari e completi degli incidenti, migliorando così la comprensione generale degli eventi, in particolare al di fuori degli orari lavorativi. Con l’ausilio dell’IA, Copilot facilita la stesura di queste narrazioni di incidenti fino al 90% più velocemente rispetto al passato.
Nel caso di un incidente ransomware gestito da umani, Microsoft Defender XDR ha rilevato per primo un’attività potenzialmente dannosa su un dispositivo. Tipicamente gli attacchi sofisticati come quelli ransomware impiegano script e strumenti come PowerShell e Mimikatz per accedere e maneggiare file, alterare le impostazioni di recupero del sistema e cancellare i backup dei file. In quest’occasione, gli aggressori hanno tentato anche di accedere ai Primary Refresh Tokens (PRT) utilizzando strumenti di Windows Sysinternals per nascondere le loro tracce. Tuttavia, grazie all’esame dettagliato degli script fornito da Copilot, gli analisti sono stati in grado di identificare immediatamente la natura di ogni parte di codice, distinguendo facilmente tra script malintenzionati o benigni. Questa funzionalità di Copilot è di enorme supporto specialmente per gli analisti meno esperti, aiutandoli a “migliorare” le loro competenze apprendendo il contesto oltre il codice.
Con Copilot for Security, l’analisi di attacchi complessi diventa più rapida, permettendo ai team di rimanere al passo con la velocità e la scala delle macchine. In uno degli esempi forniti, Copilot ha permesso agli analisti di identificare un componente critico dell’incidente focalizzandosi su uno script PowerShell. In assenza di tempo e competenze specifiche, potrebbe essere difficile per un analista comprendere appieno le ramificazioni di un attacco. Qui entra in gioco Copilot, che analizza rapidamente lo script PowerShell e fornisce una spiegazione comprensibile dei passaggi chiave. Questo permette agli analisti di ottenere una comprensione completa dell’incidente e di prioritizzare il lavoro di contenimento e mitigazione più importante.
Microsoft Copilot for Security funge da estensione delle conoscenze e competenze degli analisti, consentendo loro di affrontare compiti più complessi. Durante un episodio di ransomware, gli analisti hanno utilizzato Copilot per generare uno script di PowerShell per convalidare la configurazione di tutti i sistemi interessati, scoprendo così la fonte della compromissione e ottenendo informazioni fondamentali per comprendere l’attacco e per prevenirne futuri. Quando un singolo incidente ransomware può rovesciare l’intera organizzazione sottosopra, Copilot diventa un alleato fondamentale per superare e superare gli avversari, combinando intelligence globale sulle minacce, le migliori pratiche del settore e informazioni su misura.
Per saperne di più su come Copilot for Security possa supportare la tua organizzazione contro gli attacchi ransomware, puoi seguire eventi online, partecipare a webinar specifici e accedere a playlist informative sul canale YouTube di Microsoft Security.