Новая функция Microsoft Defender for Endpoint эффективно защитит от шифровальщиков

2023-11-22 8049 комментарии
Атаки на компьютерные системы, управляемые человеком, очень сложно обнаружить Microsoft обещает, что теперь Microsoft Defender for Endpoint способен «пресекать атаки, управляемые человеком, на ранних стадиях без необходимости развертывания каких-либо других механизмов»

Согласно Microsoft, чтобы воспользоваться новыми защитными возможностями, организациям достаточно подключить устройства к Microsoft Defender for Endpoint.

Новая функция автоматического прерывания атак (Automatic Attack Disruption) анализирует и использует сигналы, поступающие от рабочих нагрузок Microsoft 365 Defender. К ним относятся, в частности, электронная почта, SaaS-сервисы, идентификационные данные или конечные точки. Роб Леффертс (Rob Lefferts), корпоративный вице-президент подразделения Microsoft 365 Security утверждает, что новая защитная функция обнаруживает «продвинутые атаки с высокой степенью достоверности».

Когда Microsoft Defender для конечной точки обнаруживает атаку, осуществляемую человеком, на одном устройстве, то автоматически предотвращает ее на этом устройстве, а также на других устройствах организации. Это достигается за счет изоляции скомпрометированных систем или пользователей на всех устройствах. Система идентифицирует связи атакованного пользователя с другими конечными точками, чтобы «отрезать все входящие и исходящие коммуникации». По словам Microsoft, даже пользователи с наивысшим уровнем допуска будут «лишены доступа к любым устройствам в организации».

В результате у злоумышленников просто не будет времени на злонамеренные действия. Они не смогут использовать скомпрометированные учетные записи для перемещения между устройствами, кражи учетных данных, удаленной эксфильтрации информации или шифрования данных.

По данным Microsoft, новая система защиты защищает от атак с использованием программ-вымогателей, целевого фишинга, атак типа «человек посередине» и «противник посередине». Технология включена по умолчанию и работает на «машинной скорости».

Редмонд отмечает, что с момента своего появления в 2022 году новая защита предотвратила 91% попыток шифрования данных. Только несколько клиентов Microsoft были отобраны для предварительного тестирования новой защитной технологии. В ноябре 2022 года Microsoft запустила Automatic Attack Disruption в Microsoft 365 Defender, что, по словам компании, является первым достижением в отрасли.

Один из клиентов Microsoft, медицинская исследовательская лаборатория, столкнулся с атакой в августе 2023 года. Злоумышленники применили атаку с использованием клавиатуры, выполняли команды вручную и использовали протокол удаленного рабочего стола для подключения к одному из SQL-серверов организации. Затем последовала атака с использованием дампа учетных данных, целью которой был доступ к другим устройствам в сети.

По заявлениям Microsoft, новые автоматические системы защиты Microsoft Defender for Endpoint успешно предотвратили атаку. Подключение к SQL-серверу стало последним этапом атаки, поскольку злоумышленникам «сразу же был закрыт доступ к любым устройствам лаборатории».  Таким образом, Microsoft 365 Defender становится «единственной платформой XDR, которая защищает от атак шифровальщиками на уровне организации и устройства».

Новые защитные возможности уже доступны в публичной предварительной версии Microsoft Defender for Endpoint Plan 2 и в соответствующих пакетах, а также в Microsoft Defender for Business Standalone и в соответствующих пакетах.

© . По материалам Ghacks
Комментарии и отзывы

Нашли ошибку?

Новое на сайте