Новости Новая функция Microsoft Defender заставляет взломанные аккаунты работать против хакеров

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.914
Репутация
62.390
Реакции
277.103
RUB
0
Опция опережает взломщиков на несколько шагов вперёд и не оставляет им шансов для атаки.

image



Microsoft представила новую функцию Defender for Endpoint под названием «Contain User» для автоматического прерывания атак, которая изолирует скомпрометированные учетные записи пользователей и блокирует в атаках «hands-on-keyboard». Новая опция находится в общедоступной предварительной версии.

В таких инцидентах, как атаки программам-вымогателей, злоумышленники проникают в сети, совершают боковое перемещение (Lateral Movement) после повышения привилегий с помощью украденных учетных записей и развертывают вредоносные нагрузки.


Отображение изолированного пользователя в панели управления Microsoft Defender

По словам представителей Microsoft, Defender for Endpoint теперь предотвращает попытки киберпреступников проникнуть в локальную или облачную ИТ-инфраструктуру жертв, временно изолируя скомпрометированные учетные записи пользователей (так называемые «подозрительные личности»), которые хакеры могут использовать для достижения своих целей, в том числе для бокового перемещения, кражи учетных данных, эксфильтрации данных и удаленного шифрования файлов.

Функция будет активна по умолчанию и будет определять, если скомпрометированный пользователь имеет какую-либо связь с другим конечным устройством, и немедленно обрывать все входящие и исходящие соединения между ними.





Видео-демонстрация новой функции




По данным Microsoft, когда начальные этапы атаки обнаруживаются на конечной точке с помощью Microsoft 365 Defender, функция автоматического прерывания атаки заблокирует атаку на этом устройстве. Одновременно Defender for Endpoint «прививает» все остальные устройства в организации, блокируя входящий вредоносный трафик, при этом разрешая легитимный трафик, не оставляя злоумышленникам шансов для атаки. Когда устройство изолировано, ИБ-специалисты получают дополнительное время для выявления, идентификации и устранения угрозы.

Напомним, что в июне 2022 года Microsoft представила функцию Defender for Endpoint, которая изолирует взломанные устройства Windows. После того, как компьютер будет помечен как изолированный, MDE заблокирует все соединения и обмен данными с устройством в сети. Если киберпреступник изменит IP-адрес компьютера, все зарегистрированные устройства будут блокировать связь даже с новым IP-адресом.








 
Сверху Снизу