Sommario
Microsoft Defender per Endpoint ora utilizza la “disruption” automatica degli attacchi per isolare gli account utente compromessi e bloccare il movimento laterale negli attacchi hands-on-keyboard con l’aiuto di una nuova capacità “contain user” attualmente in anteprima pubblica. In incidenti come questi, ad esempio quelli che coinvolgono ransomware operati da esseri umani, gli attori delle minacce infiltrano le reti, si muovono lateralmente dopo aver elevato i privilegi tramite account rubati e distribuiscono payload malevoli.
Blocco del movimento laterale degli aggressori
Secondo Microsoft, Defender per Endpoint ora impedisce ai malintenzionati di tentare movimenti laterali all’interno delle infrastrutture IT delle vittime, sia on-premises che nel cloud, isolando temporaneamente gli account utente compromessi che potrebbero sfruttare per raggiungere i loro obiettivi. Rob Lefferts, Vicepresidente Corporate per la Sicurezza di Microsoft 365, ha dichiarato che la “disruption” dell’attacco raggiunge questo risultato contenendo gli utenti compromessi su tutti i dispositivi per anticipare gli aggressori prima che abbiano la possibilità di agire in modo malevolo.
Rilevamento e blocco degli attacchi
Quando vengono rilevate le fasi iniziali di un attacco operato da esseri umani su un endpoint utilizzando segnali da vari carichi di lavoro di Microsoft 365 Defender, la funzione di “disruption” dell’attacco automatico bloccherà l’attacco su quel dispositivo. Contemporaneamente, Defender per Endpoint “vaccinerà” anche tutti gli altri dispositivi all’interno dell’organizzazione bloccando il traffico in entrata malevolo, lasciando gli aggressori senza ulteriori obiettivi.
Riduzione dell’impatto degli attacchi
Quando un’identità viene contenuta, qualsiasi dispositivo supportato da Microsoft Defender per Endpoint bloccherà il traffico in entrata in protocolli specifici legati agli attacchi. Questa azione può aiutare significativamente a ridurre l’impatto di un attacco. Quando un’identità viene contenuta, gli analisti delle operazioni di sicurezza hanno più tempo per localizzare, identificare e rimediare alla minaccia per l’identità compromessa.
Aggiornamenti e capacità di Defender
Microsoft ha aggiunto la “disruption” automatica degli attacchi alla sua soluzione Microsoft 365 Defender XDR nel novembre 2022. Questa capacità aiuta a contenere gli attacchi in corso e a isolare automaticamente gli asset interessati limitando il movimento laterale attraverso le reti compromesse. Secondo i dati interni di Microsoft, da agosto 2023, più di 6.500 dispositivi sono stati risparmiati dalla cifratura delle campagne di ransomware eseguite da gruppi di hacker. Inoltre, Defender per Endpoint è anche in grado di isolare dispositivi Windows compromessi e non gestiti dal giugno 2022.
