A Microsoft anunciou várias melhorias à segurança do Windows Defender ATP. O Windows Defender ATP é um serviço de segurança que foi apresentado em 2016 e que permite que os clientes, sobretudo os empresariais, detetem, investiguem e respondam a ameaças avançadas que possam estar a poluir as suas redes.
Cientes da importância da segurança, a Microsoft apresentou agora várias novidades de segurança, as quais dividiram em três categorias: Deteção, Investigação e Resposta.
A nível de deteção, foram apresentadas melhorias nos sensores de memória e kernel do sistema operativo, permitindo assim a deteção de ataques que explorem exatamente a memória e o kernel. Paralelamente, a empresa vai também continuar a utilizar as tecnologias de deteção de ransomwares e outros ataques mais avançados, aplicando técnicas baseadas em análise comportamental e machine-learning.
Além disso, as tecnologias de deteção do Windows Defender ATP Creators Update Preview aplicam as regras de deteção em até seis meses de dados armazenados para se certificar de que nenhum ataque passou despercebido.
De acordo com dados históricos da empresa, a capacidade de deteção assegura que as novas regras sejam aplicadas a seis meses de dados armazenados para assim detetar o que anteriormente possa ter passado despercebido. Os clientes podem também acrescentar capacidades de deteção customizadas ou IOCs para aumentar o dicionário de detecção.
No campo da investigação, os clientes da Microsoft pediram um painel único com informações de segurança no Windows. Com esta atualização, passam a ter blocos dedicados ao antivírus Windows Defender e ao Device Guard. A página de alertas passou também a incluir um novo modo de visualização de processos que agrega múltiplas deteções e eventos relacionados num único local, ajudando assim as equipas de segurança a reduzir o tempo necessário para resolver certos casos. Passa a ser possível localizar evidências de ataques, como hashes de arquivos, endereços IP ou URLs comportamentos, máquinas e utilizadores.
As capacidades de resposta foram também amplamente melhoradas. Agora, durante a deteção de um ataque, as equipas de segurança podem agir imediatamente procedendo ao isolamento de máquinas, eliminação de arquivos da rede, encerramento e colocação de processos ou arquivos em quarentena ou obtenção de um pacote informativo de uma máquina para oferecer provas forenses, tudo com um simples clique.
O que nós dizemos
Melhorias de segurança são sempre bem vindas. Mas mais importante que isso é saber que a Microsoft está atenta aos pedidos dos seus utilizadores, como foi o caso com as solicitações a nível da investigação de ameaças. Pensamos que estas novas funcionalidades de segurança vão dar um real boost a uma solução que foi muito bem recebida e que é efetivamente útil num mercado cada vez mais exposto a falhas de segurança.
|