Новая функция Microsoft Defender заставляет взломанные аккаунты работать против хакеров

Новая функция Microsoft Defender заставляет взломанные аккаунты работать против хакеров

Опция опережает взломщиков на несколько шагов вперёд и не оставляет им шансов для атаки.

image

Microsoft представила новую функцию Defender for Endpoint под названием «Contain User» для автоматического прерывания атак, которая изолирует скомпрометированные учетные записи пользователей и блокирует боковое перемещение в атаках «hands-on-keyboard». Новая опция находится в общедоступной предварительной версии.

В таких инцидентах, как атаки программам-вымогателей, злоумышленники проникают в сети, совершают боковое перемещение (Lateral Movement) после повышения привилегий с помощью украденных учетных записей и развертывают вредоносные нагрузки.

Отображение изолированного пользователя в панели управления Microsoft Defender

По словам представителей Microsoft, Defender for Endpoint теперь предотвращает попытки киберпреступников проникнуть в локальную или облачную ИТ-инфраструктуру жертв, временно изолируя скомпрометированные учетные записи пользователей (так называемые «подозрительные личности»), которые хакеры могут использовать для достижения своих целей, в том числе для бокового перемещения, кражи учетных данных, эксфильтрации данных и удаленного шифрования файлов.

Функция будет активна по умолчанию и будет определять, если скомпрометированный пользователь имеет какую-либо связь с другим конечным устройством, и немедленно обрывать все входящие и исходящие соединения между ними.

Видео-демонстрация новой функции

По данным Microsoft, когда начальные этапы атаки обнаруживаются на конечной точке с помощью Microsoft 365 Defender, функция автоматического прерывания атаки заблокирует атаку на этом устройстве. Одновременно Defender for Endpoint «прививает» все остальные устройства в организации, блокируя входящий вредоносный трафик, при этом разрешая легитимный трафик, не оставляя злоумышленникам шансов для атаки. Когда устройство изолировано, ИБ-специалисты получают дополнительное время для выявления, идентификации и устранения угрозы.

Напомним, что в июне 2022 года Microsoft представила функцию Defender for Endpoint, которая изолирует взломанные устройства Windows. После того, как компьютер будет помечен как изолированный, MDE заблокирует все соединения и обмен данными с устройством в сети. Если киберпреступник изменит IP-адрес компьютера, все зарегистрированные устройства будут блокировать связь даже с новым IP-адресом.

Теория струн? У нас целый оркестр научных фактов!

От классики до авангарда — наука во всех жанрах

Настройтесь на нашу волну — подпишитесь