Одной из самых больших проблем для ИТ-команд сегодня является обнаружение взлома учетной записи законного пользователя и предотвращение ее использования для доставки вредоносного ПО или кражи данных. С помощью последнего обновления Defender for Endpoint Microsoft хочет помочь решить эту проблему.
В настоящее время в общедоступной предварительной версии Microsoft Defender для Endpoint есть новый инструмент под названием Contain Users, который делает именно то, что заявлено на упаковке — блокирует потенциально проблемного пользователя.
Если инструмент обнаруживает, что учетная запись пользователя ведет себя «подозрительно», DoE вмешивается, чтобы закрыть все двери вокруг учетной записи и отрезать ее от других конечных точек и ресурсов. Microsoft надеется, что это позволит Министерству энергетики остановить злоумышленника до того, как он сможет нанести дальнейший ущерб (например, с помощью программ-вымогателей).
Блокировка всего трафика
«Attack Disruption достигает этого результата, удерживая скомпрометированных пользователей на всех устройствах, чтобы перехитрить злоумышленников, прежде чем у них появится возможность действовать злонамеренно, например «Например, использование учетных записей для удаленного перемещения, кражи учетных данных, кражи данных и шифрования», — сказал Роб Леффертс, корпоративный вице-президент по безопасности Microsoft 365 в компании запись в блоге.
«Эта функция, включенная по умолчанию, определяет, ведет ли скомпрометированный пользователь активность с другой конечной точкой, и немедленно останавливает все входящие и исходящие соединения, по существу сдерживая их».
Пока подозрительная учетная запись блокируется, все остальные конечные точки «прививаются» и весь входящий вредоносный трафик блокируется. Злоумышленнику, по сути, будет не с кем поговорить.
«Когда включено удостоверение, каждое поддерживаемое интегрированное устройство Microsoft Defender для конечной точки блокирует входящий трафик по определенным протоколам, связанным с атаками (сетевые входы, RPC, SMB, RDP), одновременно разрешая законный трафик», — продолжила Microsoft.
«Эта мера может существенно помочь снизить последствия атаки. Когда личность удерживается, у аналитиков безопасности появляется дополнительное время для обнаружения, идентификации и устранения угрозы скомпрометированной личности».
Над ПипКомпьютер
Больше от TechRadar Pro
