Microsoft lanceert nieuwe ransomware-detectietool voor Azure

ransomware

Microsoft introduceert een nieuwe detectietool voor Azure gebruikers. Deze tool, Fusion genaamd, stuurt een melding naar de gebruikers wanneer het systeem potentiële ransomware detecteert.

In een blogpost kondigt Microsoft de lancering van de Fusion ransomware-detectietool aan. Azure werkte hiervoor samen met het Microsoft Threat Intelligence Center (MSTIC). De Fusion-technologie gebruikt machine learning om potentiële gevaren op te sporen en gebruikers te waarschuwen.

Hoe het precies werkt

De detectietool meldt een potentiële aanval wanneer het ransomware-activiteiten opmerkt die zich in het ‘defense evasion’ of ‘execution’ stadium bevinden. Defense evasion betekent dat de aanvaller het veiligheidssysteem probeert te ontduiken door bijvoorbeeld veiligheidssoftware uit te schakelen. In het Execution-stadium rollen criminelen software uit om data te versleutelen.

De detectietool zal op dat moment een melding in het dashboard van Azure Sentinel weergeven en aangeven dat er mogelijks meerdere ransomware-activiteiten gesignaleerd zijn. Daarnaast kan je zien op welke toestellen of bij welke hosts de verdachte praktijken zich voordoen. Dat is mogelijk dankzij de correlerende signalen van alle gekoppelde Microsoft producten en het netwerk of de cloud. Die Microsoft producten zijn Azure Defender (Azure Security Center), Microsoft Defender voor Endpoint en Identity, Microsoft Cloud App Security en Azure Sentinel (voor reeds opgestelde analyseregels).

Waarvoor het precies werkt

Microsofts Sylvie Liu citeert een ransomware-rapport van PurpleSec waarin de schade van deze aanvallen in 2020 wereldwijd op wel 20 miljard dollar werd geschat. Daarnaast bleek de downtime ten opzichte van 2019 zelfs met 200 procent gestegen.

Het liefst wil Microsoft deze aanvallen in de toekomst voorkomen, al is dat moeilijk dankzij nieuwe trends als ransomware-as-a-service. Hierdoor wordt de omvang en de complexiteit van de aanvallen enkel groter en is het moeilijk om ze op te sporen. Tijd is echter de belangrijkste factor volgens Microsoft en kan voorkomen dat een heel netwerk wordt aangetast. Des te eerder gedetailleerde meldingen de deur uit zijn, des te sneller worden aanvallen beperkt en hersteld.

lees ook

Dit zijn de meest voorkomende manieren waarop ransomware in je netwerk geraakt

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.