Defender XDR: הפרעה ושיבוש תקיפה אוטומטי
בשנה וקצת החולפת נכנסה יכולת משמעותית לתוך Defender XDR שנקראת Automatic Attack Disruption במטרה לשלב פעילות תוקף.
היכולת של Automatic attack disruption היא למעשה שיבוש והפרעה אוטומטית לתקיפות מגוונות המשתמשת בתובנות מתואמות מתוך המערכת האקולוגית של Microsoft Defender XDR ובמודלי AI כדי לעצור טכניקות תקיפה מתוחכמות בזמן שההתקפה מתבצעת. למשל, שיבוש התקפה אוטומטי לתקיפה מסוג ״יריב באמצע״ המוכרת גם כ AiTM.
הפרעה להתקפות משתמשת בפלטפורמה של Defender XDR כדי להתאים את כל הסיגנלים של כלי האבטחה השונים, בתוך Defender XDR ומחוצה לה. כאשר תקיפה מתבצעת, Defender XDR משבש את ההתקפה על ידי הכלת הנכסים שבהם משתמש התוקף באמצעות יכולת שיבוש ההתקפה. באמצעות גישה זו, Defender XDR עוצרת את ההתקפה בשלב מוקדם, מונעת נזק נוסף, וחשוב מכך, מפחיתה את ההשפעה הכוללת של ההתקפה.
תקיפה מסוג AiTM phishing היא נפוצה ובשטח מפילה ״הגנות, חומות ובקרות״ רבים. באחד מהמאמרים שפורסמו ישנו אזכור רב ליכולות תקיפה ומיטיגציה. המאמר Detecting and mitigating a multi-stage AiTM phishing and BEC campaign.
במילים פשוטות, מהו שיבוש והפרעה לתקיפה? שיבוש והפרעה לתקיפה הן פעולות תגובה אוטומטיות שמטרתן להכיל במהירות וביעילות התקפה המתבצעת ולהפחית את ההשפעה הכוללת. ביומיום זה מטרת המגן (Blue Team), לשבש ולהפריע לתוקף לבצע פעולות ועל ידי כך לזהות תקיפה ולצמצם את היקף ונזק הפגיעה.
המאמר ״Defender XDR: הפרעה ושיבוש תקיפה אוטומטי״ מתמקד ביכולת המובנית של Automatic attack disruption ב Defender XDR.
איך עובד המנגנון של הפרעה ושיבוש?
הפרעה להתקפה היא חלק מהמערכת האקולוגית של Defender XDR ומתאמת את כל הסיגנלים מכלי אבטחה, בין אם מדובר בכלי האבטחה של Defender XDR יחדיו, או לחוד וכן סיגנלים מתוך כלל כלי האבטחה. שיבוש התקפה מופעל כברירת מחדל כאשר כל התנאים המוקדמים מופעלים ומוגדרים כראוי – התכונה מובנית ומבוססת על תובנות שנאספו, וכן על ידי מחקר אבטחה ומודלים של בינה מלאכותית כדי לשלב ולתאם תקריות במטרה לזהות התקפות מתקדמות ולבצע פעולות אוטומטיות (שיבוש התקפה).
| כדאי לדעת: היכולת של שיבוש והפרעה אינו דומה לשיטות הגנה קלאסיות ומוכרות, כגון, מניעה וחסימה המבוססת על אינדיקטור ספציפי או סט אינדיקטורים. |
איך נראית תקיפה פוטנציאלית מבוססת BEC עם היכולת של שיבוש והפרעה?

הפרעה ושיבוש תקיפה אוטומטי פועל בשלושה שלבים עיקריים:
שלב ראשון: קורלציה של סיגנלים, אינדיקציות, התראות ותקריות (alerts/incidetns) ונתונים נוספים שיוצרים אירוע יחיד עם רמת סבירות גבוהה בהתבסס על כל הנתונים והסיגנלים שנאספו ברמת זהויות, תחנות קצה ושרתים, תשתית דואר, אפליקציות וכן הלאה. הקורלציה והחישוב מתבצעים כדי לבסס תקיפה עם אמינות גבוהה במטרה למנוע תוצאות חיוביות שגויות.
שלב שני: זיהוי נכסים אשר מושפעים או נשלטים על ידי התוקף וכן פעולות שבהם נעשה שימוש במהלך התקיפה.
שלב שלישי: נקיטת פעולות תגובה בין אם פעולות אוטומטיות מלאות או אחרות כדי להכיל את ההתקפה ולבודד את הנכסים המושפעים. ההמלצה הגורפת היא לאפשר פעולות אוטומטיות בכדי לקבל את היכולת בצורה מלאה.
מכיוון שפעולות אוטומטיות יכולות להוביל להשפעה פוטנציאלית כאשר ההתראה / הסינגלים מסווגים כחיובי כוזב. שיבוש התקפה מתוכנן להסתמך על סיגנלים באיכות גבוהה.
בנוסף ליכולות Defender XDR המתאמות תקריות עם מיליוני סיגנלים בכלי הדפדנר השונים. תובנות של החקירה המתמשכת נעשות בקורלציה עם גורם אנושי (צוות מחקר האבטחה של Microsoft) במטרה להבטיח ששיבוש אוטומטי של התקפות ישמור על יחס סיגנל לרעש. היכולת והיחס נעשות בהתאמה לנתוני SNR, במקרה הזה מול נתוני SNR גבוהים.
חקירות אלה הן חלק בלתי נפרדות מניטור הסיגנלים של Defender XDR ונוף איומי התקיפה וזאת בכדי להבטיח איכות גבוהה ומדויקת ככל האפשר.
| יחס סיגנל לרעש מעל לנתון מסוים מציין שרמת הסיגנל גדולה מרמת הרעש – החישוב הוא פנימי ונעשה באופן אוטומטי על ידי Defender XDR. |
בהתבסס על התקרית, הדפנדר מחשב את התקרית ויודע להציף את "ההשפעה". כאשר כלים מרובים מתאימים, התראות מתואמות, הדפנדר יכול לאמת את ההתקפות האמיתיות בביטחון כדי להימנע מהפעלת אוטומציה כתוצאה חיובית מוטעית. לכן, שיבוש תקיפה אוטומטי לוקח בחישוב את כל ההקשר והיחס של סיגנלים ממקורות שונים כדי לקבוע נכסים שנפגעו.
על סמך מקרים מהשטח אפשר לומר שהיכולת של שיבוש אוטומטי מגבילה את התקדמותו של תוקף בשלבים מוקדמים ומפחיתה באופן דרמטי את ההשפעה הכוללת של התקיפה, עלויות נלוות לאובדן פרודוקטיביות ונזקים עקיפים.
פעולות מנע ותגובה
פעולות המנע והתגובה של Defender XDR מהוות חלק בלתי נפרד מהמנגנון, ואפשר בין היתר למנות את האפשרויות הבאות של פעולות מנע ותגובה:
הכלת תחנת קצה/שרת – בהתבסס על היכולת של Defender for Endpoint, פעולה זו היא בלימה אוטומטית של תחנה חשודה לטובת חסימת כל תקשורת נכנסת/יוצאת.
הכלת משתמש – השבתה – בהתבסס על היכולת של Defender for Identity, פעולה זו היא השעיה אוטומטית של משתמש שנפרץ כדי למנוע נזק נוסף כמו תנועה לרוחב, שימוש זדוני בתיבת דואר וכן הלאה.
הכלת משתמש – בהתבסס על היכולת של Microsoft Defender for Endpoint, פעולת תגובה זו מכילה באופן אוטומטי זהויות חשודות באופן זמני כדי לעזור לחסום כל תנועה צדדית והצפנה מרחוק הקשורה לתקשורת נכנסת עם תחנות קצה.
חשוב להדגיש כי במהלך ואחרי חקירה אוטומטית ב Defender XDR, מזוהות פעולות עבור אובייקטים שהותקפו או חשודים. סוגים מסוימים של פעולות תיקון ננקטות בתחנות קצה, וכן, פעולות תיקון אחרות ננקטות ברמת זהויות, חשבונות ואובייקטים אחרים בענן.
בנוסף, סוגים מסוימים של פעולות מנע ותגובה ואפילו תיקון יכולות להתרחש באופן אוטומטי, בעוד שסוגים אחרים של פעולות ננקטים באופן ידני על ידי צוות האבטחה בארגון. כאשר חקירה אוטומטית מביאה לפעולת אחת או יותר, החקירה מסתיימת רק כאשר פעולות התיקון ננקטות, מאושרות או נדחות.
ישנן פעולות תיקון נוספות. מידע נוסף במאמר: Remediation actions in Microsoft Defender XDR.

איך הפעולות נראות בשטח? במקרים רבים, תוקפים ממנפים תחנות שאינן מנוהלות לביצוע תקיפות מתקדמות. עם השימוש בהכלה של תחנה לא מנוהלת ניתן לבצע פעולות מנע, בעיקר כל פעולת הכלה (Contain) לתחנות לא מנוהלות, גם כאשר התחנה איננה מחוברת ל Defender XDR.
| טיפ: מומלץ להפעיל את יכולת הגילוי של Defender XDR בכדי לזהות זומבים (תחנות לא מוכרות ולא מנוהלות) ברשת. |
תקיפות נתמכות
אז איזה תקיפות נתמכות ביכולת של שיבוש תקיפה אוטומטי? ישנן סט תקיפות נתמכות ביכולת של הפרעה ושיבוש תקיפה אוטומטי. בין היתר התקיפות הבאות:
Ransomware (HumOR): תקיפות אשר מבוססות על Human-Operated. במקרים של תוכנות כופר המופעלות על ידי גורם אנושי, המתקפה תחסום גישה לנתונים קריטיים, לרשת ואף לתשתית פיזית. לתוכנות כופר המופעלות על ידי גורם אנושי יכולה להיות השפעה גדולה מכיוון שהפריסה מהירה כדי להגדיל את מלוא הנזק. במהלך שיבוש ההתקפה, חשוב להפחית את הסיכון.
פגיעה מבוססות BEC: מתקפת BEC מסתמכת על היכולת להיראות כמו מישהו עם יכולת השפעה בתוך הארגון או שותף חיצוני מהימן. סוגים אופייניים של התקפות BEC יכולות להיות, הונאת חשבוניות כוזבות, הונאת בכירים וכן הלאה. תקיפות BEC מתמקדות בדרך כלל ברווח כספי, כאשר התוקף מנסה לשכנע את הקורבן להעביר כספים לחשבונות מזויפים או לשלם חשבוניות מזויפות.
תקיפת יריב באמצע (AiTM): במהלך תקיפה של Adversary-in-the-Middle, הקורבן מקיים אינטראקציה עם התוקף, למשל, אתר מתחזה שנוצר על ידי התוקף. הדבר מאפשר לתוקף ליירט קרדס, נתוני Cookie ונתונים נוספים ובעיקר ליירט אימות חזק כדוגמת MFA, מה שהופך את המתקפה הזו כאחת שעוקפת אימות מבוסס MFA בצורה קלילה ופשוטה.
עוד על תקיפה מבוססת AiTM במאמר: Identifying AiTM Phishing Attacks through 3rd-Party Network Detection.
ישנם תרחישים נוספים כגון:
- OAuth app compromise within SaaS apps
- Disabling a malicious OAuth app
- Broadened compromised user coverage
ניצול אפליקציות OAuth: אפליקציות OAuth הפכו לוקטור התקפה בולט עבור יריבים. בשנים האחרונות ניצפו תקיפות ותקריות רבות שנעשות באמצעות אפליקציית OAuth, בין יתר הסלמת יתר, ביצוע באקדורינג ואף כריית מטבעות קריפטוגרפיים. מכיוון שאפליקציות OAuth הן לרוב פעולות של "הגדר ושכח", רוב המשתמשים לא מבינים את רמת ההרשאות וההרשאות שהם קיבלו.
ברגע שתוקף השיג גישה לאפליקציית OAuth עם הרשאות גבוהות, הוא יכול ליצור אפליקציות חדשות שנראות אמינות אך משמשות להסרת נתונים רגישים. עם ההפרעה המופעלת על ידי AI של Defender XDR, היכולת של Defender for Cloud Apps תשבית את אפליקציית OAuth שנפרצה, מה שיחסום את התוקף ואת הפעולות הנוספות שיכולות להיעשות באפליקציות OAuth.

כיצד לאפשר שיבוש התקפה אוטומטי?
הפרעה ושיבוש אוטומטי להתקפה מופעלת באופן אוטומטי בעת שימוש ב Defneder XDR. בעת שימוש בכלי האבטחה של Defender XDR זה ירחיב את כיסוי ההגנה והזיהוי. למשל, בעת בדיקת כיסוי Defneder XDR חשוב להבין מהם הכלים שנמצאים בשימוש ויכולים להיות חלק מהמנגנון. הסיבה לכך היא ששיבוש התקפה היא יכולת Defender XDR – היא דורשת סיגנלים מרובים ממקורות מרובים כדי להשיג ביטחון בנכסים שנפרצו.
הכלים שצריכים להיות חלק מהדרישות של ישוב תקיפה אוטומטי הם הכלים הבאים:
- Defnder for Office
- Defendere for Identity
- Defender for Cloud Apps
- Defender for Endpoint
- Entra ID Protection
חשוב מאוד להדגיש כי כלי הדפדנר חייבים להיות מוגדרים בצורה מלאה עד להגדרה האחרונה בכדי לאפשר זיהוי מירבי ובפרט כדי לאפשר הכלה אוטומטית עם מינימום התראות כוזבות.
דרישות מוקדמות
הדרישות המוקדמות הם הכלי הקיימים של Defender XDR אך ישנם דרישות נוספות כמו הגדרות מלאות של הכלים:
- כלי Defender שתצורתם נקבעה באופן מלא (כדי לקבל נראות מלאה)
- רישי מלא של הכלים המוזכרים
- הגדרת Defender for Endpoint עם גילוי תחנות (יכולת מובנית שדורשת הפעלה והגדרה)
- הגדרת Defender for Endpoint עם אוטומציה (יכולת מובנית שדורשת הפעלה והגדרה)
עוד על הדרישות במאמר: Prerequisites for automatic attack disruption in Microsoft 365 Defender
שיבוש התקפות פועל במיטבו כאשר כל הכלים נפרסים ומוגדרים. כל התקפה (AiTM/ BEC/ תוכנת כופר מופעלת) פועלת על סיכנלים מרובים בכלי דפדנדר.
תרחישים אל מול כלים
כופר (Human-Operated Ransomware)
תוכנות כופר הן מורכבות ומסתמכות על מוצרים וסיגנלים רבים. השלב הראשון של תוכנות הכופר מבוסס על גישה ראשונית, גניבת קרדס, תנועה במרחב, התמדה והתחמקות מהגנה. תוכנות כופר לא מתמקדות רק בתחנות קצה, במקרים רבים, תשתית הדואר תהיה הגישה ראשונית ולאחר מכן תנועה במרחב תהיה צעד נוסף.
כאשר ישנן התקפות מורכבות, הכלים הבאים מסייעים:
- Defender for Identity
- Defender for Office
- Defender for Endpoint
- Entra ID Protection
הפעולה האופיינית במהלך תוכנות כופר המופעלות על ידי גורם אנושי היא להכיל את התחנה המשמשת לפריסת תוכנות הכופר ולחסום/להכיל את המשתמש שהותקף.

תקיפה מבוססת BEC
גישה ראשונית: במהלך הגישה הראשונית, התוקף משיג קרדס של משתמש (קורבן) ומבצע סט פעולות ראשוניות. התוקף יכול להתמקד במשתמש אקראי או משתמש בעל ערך (הנהלה, משתמש עם הרשאות, וכו'). במצב כזה, התוקף מזוהה על ידי מספר כלים:
- Defender for Office
- Defender for Cloud
- Entra ID Protection
פגיעה בחשבון משתמש: במהלך שלב הפשרה, המשתמש אישר כניסה באמצעות MFA או reverse Proxy או כל שיטה אחרת לגניבת קרדס חזק (למשל, טוקנים). במהלך שלב הפריצה לחשבון. במצב כזה התוקף מזוהה על ידי Entra ID.
איסוף מידע ודיוג: בשלב האיסוף/פישינג/התחמקות ייווצרו כללים בתיבת הדואר הנכנס והתוקף יצפה בהתקשרויות אחרונות וכן יכול לשלוח חשבוניות לארגונים שותפים עם מספר בנק שהשתנה ויעדכן את כללי תיבת הדואר הנכנס בכתובות חדשות. במצב כזה הכלים שיזהו את הפעולות הם: Defender for Office, Defeder for Cloud Apps, Entra ID Protection.
שיבוש דורש חקירה
היכולת של הפרעה ושיבוש תקיפה אוטומטי הוא משנה מציאות לתרחישים הנתמכים, ועדיין מצריך את הגורם האנושי בתמונה של החקירה – גם במקרה של שיבוש מוצלחה והכלת התקרית.
הפרעה ושיבוש התקפה אינו הגנה אולטימטיבית של המערכת (זהה, הגב ושכח) – חשוב ביותר לוודא שהאנליסט/מתחקר/צוות אבטחה יחקרו את ההתקפה במלואה. כאשר הנכסים נכללים/חסומים – התוקף תמיד ינסה לעקוף ולמצוא דרכים נוספות לבצע את ההתקפה שוב.
| טיפ: הגורם האנושי חייב להימצא בכל חקירה ותגובה ולבצע פוסט-מורטם. זה כולל מצבים בהם ישנה הכלה ותגובה אוטומטית של התקרית באופן אוטומטי על ידי Defender XDR. |
כאשר ההתקפה 'נעצרת' על ידי שיבוש התקיפה, חשוב לבדוק את ההתראות/אירועים והמידע המתקבל במערכת. שיבוש ההתקפה לא יפתור את ההתקפה המלאה; זה ייתן זמן נוסף למתחקר/צוות תגובה/צוות SOC ויעצור את ההתקדמות של התוקף וכן פגיעה גדלה של נכסים. מכיוון שההתקפה נמצאת תחת שליטה, צוות תגובה/צוות SOC יכול להתמקד באופן מלא בחקירה ובתיקון נוסף של ההתקפה.
איך מגדירים? מהי התצורה המומלצת? איך נראית תקיפה? איך עדיין אפשר לסייע למערכת בצד האנושי? – אלה ונושאים נוספים יעלו במאמר המשך.
לסיכום
היכולת של הפרעה ושיבוש תקיפה אוטומטי הינו חלק נוסף וחשוב בפאזל של הגנה, זיהוי ותגובה. בשטח ניתן לומר שהיכולת מסייעת לארגונים על ידי שיבוש התקיפה, הקטנת הנזק ואפשרות לצוותי אבטחה להגיב בצורה בטוחה יותר. עם זאת, היכולת דורשת שילוב של מספר כלי דפדנר ובפרט הגדרתם בצורה מלאנ ומיטבית בכדי לקבל נראות, זיהוי ואפשרות לתגובה אוטומטית. כמו במקרים האחרים, הגורם האנושי עדיין חשוב גם כאשר ישנה יכולת של שיבוש תקיפה אוטומטי.
מאמרים נוספים
- מאמרים נוספים של Defender XDR בבלוג הנוכחי
- לבלוג הרשמי של Defender XDR
- למאמרים נוספים של Defender XDR בבלוג של CYBERDOM







