Согласно Microsoft, чтобы воспользоваться новыми защитными возможностями, организациям достаточно подключить устройства к Microsoft Defender for Endpoint.
Новая функция автоматического прерывания атак (Automatic Attack Disruption) анализирует и использует сигналы, поступающие от рабочих нагрузок Microsoft 365 Defender. К ним относятся, в частности, электронная почта, SaaS-сервисы, идентификационные данные или конечные точки. Роб Леффертс (Rob Lefferts), корпоративный вице-президент подразделения Microsoft 365 Security утверждает, что новая защитная функция обнаруживает «продвинутые атаки с высокой степенью достоверности».
Когда Microsoft Defender для конечной точки обнаруживает атаку, осуществляемую человеком, на одном устройстве, то автоматически предотвращает ее на этом устройстве, а также на других устройствах организации. Это достигается за счет изоляции скомпрометированных систем или пользователей на всех устройствах. Система идентифицирует связи атакованного пользователя с другими конечными точками, чтобы «отрезать все входящие и исходящие коммуникации». По словам Microsoft, даже пользователи с наивысшим уровнем допуска будут «лишены доступа к любым устройствам в организации».
В результате у злоумышленников просто не будет времени на злонамеренные действия. Они не смогут использовать скомпрометированные учетные записи для перемещения между устройствами, кражи учетных данных, удаленной эксфильтрации информации или шифрования данных.
По данным Microsoft, новая система защиты защищает от атак с использованием программ-вымогателей, целевого фишинга, атак типа «человек посередине» и «противник посередине». Технология включена по умолчанию и работает на «машинной скорости».
Редмонд отмечает, что с момента своего появления в 2022 году новая защита предотвратила 91% попыток шифрования данных. Только несколько клиентов Microsoft были отобраны для предварительного тестирования новой защитной технологии. В ноябре 2022 года Microsoft запустила Automatic Attack Disruption в Microsoft 365 Defender, что, по словам компании, является первым достижением в отрасли.
Один из клиентов Microsoft, медицинская исследовательская лаборатория, столкнулся с атакой в августе 2023 года. Злоумышленники применили атаку с использованием клавиатуры, выполняли команды вручную и использовали протокол удаленного рабочего стола для подключения к одному из SQL-серверов организации. Затем последовала атака с использованием дампа учетных данных, целью которой был доступ к другим устройствам в сети.
По заявлениям Microsoft, новые автоматические системы защиты Microsoft Defender for Endpoint успешно предотвратили атаку. Подключение к SQL-серверу стало последним этапом атаки, поскольку злоумышленникам «сразу же был закрыт доступ к любым устройствам лаборатории». Таким образом, Microsoft 365 Defender становится «единственной платформой XDR, которая защищает от атак шифровальщиками на уровне организации и устройства».
Новые защитные возможности уже доступны в публичной предварительной версии Microsoft Defender for Endpoint Plan 2 и в соответствующих пакетах, а также в Microsoft Defender for Business Standalone и в соответствующих пакетах.
Последние статьи #Windows
• Как включить режим «Максимальная производительность» в Windows 11
• Windows 11 Build 27758 (Canary): Что нового, готовые ISO-образы
• Microsoft: требование TPM 2.0 в Windows 11 является «не подлежащим обсуждению» стандартом
• MSI анонсировала новые игровые консоли Claw на базе Windows 11 с процессором Intel Lunar Lake
• Samsung прекращает поддержку DeX для Windows — предлагает заменить его на «Связь с телефоном» от Microsoft
• Хакеры MAS смогли взломать защиту лицензирования ПО Microsoft, включая Windows 10 ESU