Опция опережает взломщиков на несколько шагов вперёд и не оставляет им шансов для атаки.
Microsoft представила новую функцию Defender for Endpoint под названием «Contain User» для автоматического прерывания атак, которая изолирует скомпрометированные учетные записи пользователей и блокирует боковое перемещение в атаках «hands-on-keyboard». Новая опция находится в общедоступной предварительной версии.
В таких инцидентах, как атаки программам-вымогателей, злоумышленники проникают в сети, совершают боковое перемещение (Lateral Movement) после повышения привилегий с помощью украденных учетных записей и развертывают вредоносные нагрузки.
Отображение изолированного пользователя в панели управления Microsoft Defender
По словам представителей Microsoft, Defender for Endpoint теперь предотвращает попытки киберпреступников проникнуть в локальную или облачную ИТ-инфраструктуру жертв, временно изолируя скомпрометированные учетные записи пользователей (так называемые «подозрительные личности»), которые хакеры могут использовать для достижения своих целей, в том числе для бокового перемещения, кражи учетных данных, эксфильтрации данных и удаленного шифрования файлов.
Функция будет активна по умолчанию и будет определять, если скомпрометированный пользователь имеет какую-либо связь с другим конечным устройством, и немедленно обрывать все входящие и исходящие соединения между ними.
Видео-демонстрация новой функции
По данным Microsoft, когда начальные этапы атаки обнаруживаются на конечной точке с помощью Microsoft 365 Defender, функция автоматического прерывания атаки заблокирует атаку на этом устройстве. Одновременно Defender for Endpoint «прививает» все остальные устройства в организации, блокируя входящий вредоносный трафик, при этом разрешая легитимный трафик, не оставляя злоумышленникам шансов для атаки. Когда устройство изолировано, ИБ-специалисты получают дополнительное время для выявления, идентификации и устранения угрозы.
Напомним, что в июне 2022 года Microsoft представила функцию Defender for Endpoint, которая изолирует взломанные устройства Windows. После того, как компьютер будет помечен как изолированный, MDE заблокирует все соединения и обмен данными с устройством в сети. Если киберпреступник изменит IP-адрес компьютера, все зарегистрированные устройства будут блокировать связь даже с новым IP-адресом.
От классики до авангарда — наука во всех жанрах