Нова функція Microsoft Defender змушує зламані облікові записи працювати проти хакерів
Microsoft представила нову функцію Defender for Endpoint під назвою Contain User для автоматичного переривання атак, яка ізолює скомпрометовані облікові записи користувачів і блокує бічне переміщення в атаках hands-on-keyboard. Нова опція знаходиться у загальнодоступній попередній версії.
У таких інцидентах, як атаки програм-вимагачів, зловмисники проникають у мережі, здійснюють бічне переміщення (Lateral Movement) після підвищення привілеїв за допомогою вкрадених облікових записів та розгортають шкідливі навантаження.
За словами представників Microsoft, Defender for Endpoint тепер запобігає спробам кіберзлочинців проникнути в локальну або хмарну ІТ-інфраструктуру жертв, тимчасово ізолюючи скомпрометовані облікові записи користувачів (так звані «підозрілі особи»), які хакери можуть використовувати для досягнення своїх цілей, у тому числі бічного переміщення, крадіжки облікових даних, ексфільтрації даних та віддаленого шифрування файлів.
Функція буде активна за замовчуванням і визначатиме, якщо скомпрометований користувач має будь-який зв’язок з іншим кінцевим пристроєм, і негайно обривати всі вхідні та вихідні з’єднання між ними.
За даними Microsoft, коли початкові етапи атаки виявляються на кінцевій точці за допомогою Microsoft 365 Defender, функція автоматичного переривання атаки заблокує атаку на цьому пристрої. Одночасно Defender for Endpoint «прищеплює» решту пристроїв в організації, блокуючи вхідний шкідливий трафік, при цьому дозволяючи легітимний трафік, не залишаючи зловмисникам шансів для атаки. Коли пристрій ізольований, ІБ-фахівці отримують додатковий час для виявлення, ідентифікації та усунення загрози.