Les attaques de ransomware perpétrées par des humains peuvent être caractérisées par un ensemble de méthodes et de comportements. C’est sur cette base que les chercheurs Ruofan Wang et Kelly Kang de l’équipe de recherche Microsoft 365 Defender ont développé cette nouvelle fonctionnalité. Il s’agit d’un système basé sur le cloud qui utilise des techniques d’apprentissage automatique pour prédire si un appareil est à risque, auquel cas il bloquera les prochaines étapes de l’attaquant.

Workflow de protection basé sur l’IA. Source : Microsoft

Comment cela fonctionne

Cette protection adaptative s’appuie sur le modèle de protection actuel basé sur le cloud, en étant plus intelligente et plus rapide que le cloud. Dans le contexte d’une attaque, les binaires impliqués ne sont pas tous malveillants, et les indicateurs qu’ils génèrent sont considérés comme peu prioritaires. L’ajout d’une couche supplémentaire de protection par IA adaptative permettrait au système de détecter les comportements inhabituels, donnant ainsi aux équipes d’intervention un délai supplémentaire pour neutraliser les attaques.

Si un appareil présente un risque supérieur à un certain seuil, la protection en nuage passe à un blocage agressif. Dans ce mode, des fichiers ou des processus qui ne sont pas forcément malveillants peuvent être bloqués par précaution. Grâce à l’évaluation et à la mise à jour du dispositif en temps réel, l’agressivité est réduite une fois que le dispositif n’est plus compromis, ce qui réduit les faux positifs et évite d’affecter l’expérience utilisateur.

Un exemple pratique serait celui du ransomware Ryuk. Ce malware, distribué via Trickbot, est tellement polymorphe qu’il utilise de légères modifications pour échapper aux signatures et éviter d’être détecté par les méthodes traditionnelles. À ce stade, la connaissance en temps réel de l’état du dispositif permettrait à ce système de détecter et de bloquer la menace.

Cette fonction d’IA adaptative pour la détection précoce des ransomwares est disponible pour les clients de Microsoft Defender for Endpoint dont la protection basée sur le cloud est activée.

Plus d’information:
https://www.microsoft.com/security/blog/2021/11/15/ai-driven-adaptive-protection-against-human-operated-ransomware/
https://www.techradar.com/news/microsoft-defender-is-getting-ai-powered-anti-ransomware-protection