Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
13.10.2023

Новая функция Microsoft Defender заставляет взломанные аккаунты работать против хакеров

Microsoft представила новую функцию Defender for Endpoint под названием «Contain User» для автоматического прерывания атак, которая изолирует скомпрометированные учетные записи пользователей и блокирует боковое перемещение в атаках «hands-on-keyboard» . Новая опция находится в общедоступной предварительной версии.

В таких инцидентах, как атаки программам-вымогателей, злоумышленники проникают в сети, совершают боковое перемещение (Lateral Movement) после повышения привилегий с помощью украденных учетных записей и развертывают вредоносные нагрузки.

Отображение изолированного пользователя в панели управления Microsoft Defender

По словам представителей Microsoft, Defender for Endpoint теперь предотвращает попытки киберпреступников проникнуть в локальную или облачную ИТ-инфраструктуру жертв, временно изолируя скомпрометированные учетные записи пользователей (так называемые «подозрительные личности»), которые хакеры могут использовать для достижения своих целей, в том числе для бокового перемещения, кражи учетных данных, эксфильтрации данных и удаленного шифрования файлов.

Функция будет активна по умолчанию и будет определять, если скомпрометированный пользователь имеет какую-либо связь с другим конечным устройством, и немедленно обрывать все входящие и исходящие соединения между ними.

Видео-демонстрация новой функции

По данным Microsoft, когда начальные этапы атаки обнаруживаются на конечной точке с помощью Microsoft 365 Defender, функция автоматического прерывания атаки заблокирует атаку на этом устройстве. Одновременно Defender for Endpoint «прививает» все остальные устройства в организации, блокируя входящий вредоносный трафик, при этом разрешая легитимный трафик, не оставляя злоумышленникам шансов для атаки. Когда устройство изолировано, ИБ-специалисты получают дополнительное время для выявления, идентификации и устранения угрозы.

Напомним, что в июне 2022 года Microsoft представила функцию Defender for Endpoint, которая изолирует взломанные устройства Windows. После того, как компьютер будет помечен как изолированный, MDE заблокирует все соединения и обмен данными с устройством в сети. Если киберпреступник изменит IP-адрес компьютера, все зарегистрированные устройства будут блокировать связь даже с новым IP-адресом.