Το Microsoft Defender for Endpoint χρησιμοποιεί πλέον αυτόματη αναστολή επιθέσεων για την απομόνωση παραβιασμένων λογαριασμών χρηστών και τον αποκλεισμό της πλευρικής μετακίνησης, σε επιθέσεις hands-on-keyboard, με τη βοήθεια της νέας δυνατότητας “περιορισμός χρήστη” που βρίσκεται σε δημόσια προεπισκόπηση.
Δείτε επίσης: Microsoft Defender: Δεν επισημαίνει πλέον το Tor Browser ως κακόβουλο λογισμικό
Σε τέτοια περιστατικά, όπως αυτά που αφορούν human-operated ransomware, οι κακόβουλοι παράγοντες διεισδύουν σε δίκτυα, μετακινούνται πλευρικά κάνοντας escalating privileges μέσω κλοπής λογαριασμών και αναπτύσσουν κακόβουλα φορτία.
Σύμφωνα με τη Microsoft, το Defender for Endpoint εμποδίζει τώρα τις προσπάθειες των επιτιθέμενων να μετακινηθούν εντός του δικτύου IT των θυμάτων, είτε αυτό βρίσκεται στον τόπο εργασίας τους είτε στο cloud, απομονώνοντας προσωρινά τους χρήστες που έχουν παραβιαστεί που μπορεί να εκμεταλλευτούν για να επιτύχουν τους στόχους τους.
“Η μέθοδος επιτυγχάνει αυτό το αποτέλεσμα, περιορίζοντας τους παραβιασμένους χρήστες σε όλες τις συσκευές για να προλάβει τους επιτιθέμενους πριν να έχουν την ευκαιρία να ενεργήσουν κακόβουλα, όπως να χρησιμοποιήσουν λογαριασμούς για πλευρική μετκίνηση, κλοπή διαπιστευτηρίων, εξαγωγή δεδομένων και απομακρυσμένη κρυπτογράφηση“, δήλωσε ο Rob Lefferts, Αντιπρόεδρος Επιχειρησιακής Ασφάλειας για το Microsoft 365.
“Αυτή η δυνατότητα που είναι ενεργοποιημένη από προεπιλογή, θα ανιχνεύει εάν ο χρήστης που έχει παραβιασμένο λογαριασμό έχει οποιαδήποτε συναφή δραστηριότητα με οποιαδήποτε άλλη συσκευή και θα διακόπτει αμέσως κάθε εισερχόμενη και εξερχόμενη επικοινωνία, περιορίζοντας με αυτόν τον τρόπο την επιρροή τους.“
Σύμφωνα με τη Microsoft, όταν ανιχνεύονται οι αρχικές φάσεις μιας επίθεσης που διεξάγεται από ανθρώπους σε ένα τερματικό χρησιμοποιώντας σήματα από διάφορα φορτωτικά εργασίας του Microsoft 365 Defender (συμπεριλαμβανομένων των ταυτοτήτων, των τερματικών, των ηλεκτρονικών ταχυδρομείων και των εφαρμογών SaaS), η αυτόματη διακοπή της επίθεσης θα αποκλείσει την επίθεση σε αυτήν τη συσκευή.
Δείτε ακόμα: Microsoft Defender: Ενημέρωση προκαλεί χάος στο Windows Hardware Stack Protection
Ταυτόχρονα, το Microsoft Defender for Endpoint θα “προστατεύσει” και όλες τις άλλες συσκευές εντός του δικτύου, μπλοκάροντας την εισερχόμενη κακόβουλη κίνηση, αφήνοντας τους επιτιθέμενους χωρίς περαιτέρω στόχους.
“Όταν ένα αναγνωριστικό είναι περιορισμένο, οποιαδήποτε συσκευή που έχει ενεργοποιηθεί στο Microsoft Defender for Endpoint θα φράσσει εισερχόμενη κίνηση σε συγκεκριμένα πρωτόκολλα που σχετίζονται με επιθέσεις (δικτυακές συνδέσεις, RPC, SMB, RDP), ενώ θα επιτρέπει την είσοδο νόμιμης κίνησης“, όπως εξηγεί η Redmond σε ένα έγγραφο υποστήριξης.
Το Νοέμβριο του 2022, η Microsoft κυκλοφόρησε το automatic attack disruption στη λύση Microsoft 365 Defender XDR (Extended Detection and Response) κατά τη διάρκεια της ετήσιας συνάντησης Microsoft Ignite για προγραμματιστές
και επαγγελματίες τεχνολογίας πληροφορικής. Η δυνατότητα βοηθά στον περιορισμό επιθέσεων που βρίσκονται σε εξέλιξη και την αυτόματη απομόνωση των επηρεαζόμενων περιουσιακών στοιχείων, περιορίζοντας την πλευρική κίνηση σε περιοχές που έχουν πέσει θύματα από παραβιάσεις δικτύων.“Από τον Αύγουστο του 2023, περισσότερες από 6.500 συσκευές έχουν αποφύγει την κρυπτογράφηση από καμπάνιες που εκτελούν ομάδες χάκερ όπως οι BlackByte και Akira, ακόμη και επαγγελματικές ομάδες ασφαλείας,” σύμφωνα με εσωτερικά δεδομένα της Microsoft.
Δείτε επίσης: Microsoft Defender: Επισημαίνει κατά λάθος διευθύνσεις URL ως κακόβουλες
Από τον Ιούνιο του 2022, το Defender for Endpoint μπορεί επίσης να απομονώνει χακαρισμένες και μη διαχειριζόμενες συσκευές Windows, εμποδίζοντας τους κακόβουλους χρήστες να μετακινούνται πλευρικά μέσω των δικτύων των θυμάτων αποκλείοντας κάθε επικοινωνία προς και από τις παραβιασμένες συσκευές.
Το Microsoft Defender είναι μια πλατφόρμα ασφαλείας που αναπτύχθηκε από τη Microsoft για την προστασία των υπολογιστών και των δικτύων από κακόβουλο λογισμικό, όπως ιούς, κακόβουλα προγράμματα και κακόβουλες επιθέσεις. Το Microsoft Defender προσφέρει πολλαπλά επίπεδα προστασίας, χρησιμοποιώντας διάφορες τεχνολογίες και μηχανισμούς ανίχνευσης. Ένας από τους βασικούς τρόπους λειτουργίας του Microsoft Defender είναι μέσω της ανίχνευσης και απομόνωσης κακόβουλων λογαριασμών. Όταν ένας λογαριασμός χρήστη παρουσιάζει σημάδια παραβίασης ή κακόβουλης δραστηριότητας, το Microsoft Defender αυτόματα απομονώνει τον λογαριασμό για να προστατεύσει τον χρήστη και το δίκτυό του από πιθανές επιθέσεις.
Η αυτόματη απομόνωση των παραβιασμένων λογαριασμών από το Microsoft Defender επιτρέπει την άμεση αντίδραση σε επιθέσεις και μειώνει τον κίνδυνο διάδοσης του κακόβουλου λογισμικού σε άλλα συστήματα. Με αυτόν τον τρόπο, οι χρήστες και οι οργανισμοί μπορούν να προστατεύονται από πιθανές απειλές και να διατηρούν την ασφάλεια των δεδομένων τους. Αυτό που κάνει πραγματικά το Microsoft Defender να ξεχωρίζει είναι η ικανότητά του να ανακαλύψει απειλές, έστω και τις πιο διακριτικές και εξελιγμένες, και να τις απομονώσει με αμέσως.
Πηγή: bleepingcomputer