Nas últimas semanas, a Microsoft tem promovido esforços de segurança digital como parte de sua celebração do National Cyber Security Awareness Month (NCSAM) em outubro. Ela anunciou novas iniciativas para promover a conscientização sobre segurança cibernética, revelou o Zero Trust Deployment Center, lançou um Matriz de Ameaças Adversarial ML, e lançou um ofensiva bastante bem-sucedida contra o botnet malicioso Trickbot.
Agora, a empresa declarou que desenvolveu um novo algoritmo baseado em aprendizado de máquina que detecta ataques de password spraying com desempenho consideravelmente melhor do que seu mecanismo anterior.
Para quem não sabe, um password spraying é uma forma relativamente grosseira e comum de ataque cibernético em que um agente malicioso ataca milhares de IPs com algumas senhas comumente usadas em vez de tentar várias senhas contra um único usuário. Embora isso indique que a taxa de sucesso por conta é bastante nominal, também significa que o ataque é muito difícil de detectar, pois se espalha com uma consistência tão desigual que um locatário pode dispensar algumas tentativas de login malsucedidas por conta como parte do padrão de login regular. Portanto, esse ataque só pode ser detectado em vários locatários se você observar uma falha de hash em várias contas.
Para conter ataques de spray de senha, a Microsoft construiu anteriormente um mecanismo heurístico no qual a empresa observava “a falha central do sistema no … tráfego mundial” e notificava as organizações em risco. Agora, a empresa aprimorou esse mecanismo treinando um novo algoritmo de aprendizado de máquina supervisionado que usa recursos como reputação de IP, propriedades de login desconhecidas e outros desvios de conta para detectar quando um locatário está sob ataque de spray de senha.
A Microsoft afirma que seu novo modelo tem um aumento de 100% no recall em comparação com o algoritmo heurístico. Isso significa que ele detecta o dobro do número de contas comprometidas. Além disso, também tem uma precisão de 98%, o que significa que, se o modelo afirma que uma conta foi vítima de spray de senha, isso quase certamente é verdade em todos os casos.
O novo modelo estará disponível em breve para clientes do Azure AD Identity Protection, que poderão utilizá-lo no portal e APIs para Identity Protection.
