Microsoft Defender agora isola automaticamente as contas comprometidas
O Microsoft Defender for Endpoint agora usa a interrupção automática de ataques para isolar contas de usuário comprometidas e bloquear movimentos laterais em ataques com a ajuda de um novo recurso de “conter usuário”.
Em incidentes como os que envolvem ransomware operado por humanos, os agentes de ameaças se infiltram nas redes, se movem lateralmente após escalar privilégios por meio de contas roubadas e implantam cargas maliciosas.
De acordo com a Microsoft, o Defender for Endpoint agora impede as tentativas de movimento lateral dos invasores dentro da infraestrutura de TI local ou na nuvem das vítimas, isolando temporariamente as contas de usuário comprometidas (também conhecidas como identidades suspeitas) que elas podem explorar para atingir seus objetivos.
“A interrupção de ataque alcança esse resultado ao conter usuários comprometidos em todos os dispositivos para superar os invasores antes que eles tenham a chance de agir maliciosamente, como usar contas para se mover lateralmente, executar roubo de credenciais, exfiltração de dados e criptografar remotamente”, disse Rob Lefferts, vice-presidente corporativo de segurança do Microsoft 365.
“Esse recurso por padrão identificará se o usuário comprometido tem alguma atividade associada a qualquer outro ponto de extremidade e cortará imediatamente todas as comunicações de entrada e saída, essencialmente contendo-as.”
De acordo com a Microsoft, quando os estágios iniciais de um ataque operado por humanos são detectados em um ponto de extremidade usando sinais de várias cargas de trabalho do Microsoft 365 Defender (incluindo identidades, endpoints, e-mail e aplicativos SaaS), o recurso de interrupção de ataque automatizado bloqueará o ataque a esse dispositivo.
Simultaneamente, o Defender for Endpoint também “inoculará” todos os outros dispositivos dentro da organização, bloqueando o tráfego malicioso recebido, deixando os invasores sem mais alvos.
“Quando uma identidade é contida, qualquer dispositivo integrado do Microsoft Defender for Endpoint com suporte bloqueará o tráfego de entrada em protocolos específicos relacionados a ataques (logons de rede, RPC, SMB, RDP) enquanto habilita o tráfego legítimo”, explica Redmond em um documento de suporte.
“Essa ação pode ajudar significativamente a reduzir o impacto de um ataque. Quando uma identidade é contida, os analistas de operações de segurança têm tempo extra para localizar, identificar e remediar a ameaça à identidade comprometida.”
A Microsoft adicionou interrupção automática de ataque à sua solução Microsoft 365 Defender XDR (Extended Detection and Response) em novembro de 2022 durante sua conferência anual Microsoft Ignite para desenvolvedores e profissionais de TI.
O recurso ajuda a conter ataques em andamento e isolar automaticamente os ativos afetados, limitando o movimento lateral em redes comprometidas.
“Desde agosto de 2023, mais de 6.500 dispositivos foram poupados de campanhas de ransomware executadas por grupos de hackers, incluindo BlackByte e Akira, e até mesmo equipes vermelhas para contratação”, de acordo com dados internos da Microsoft.
O Defender for Endpoint também é capaz de isolar dispositivos Windows hackeados e não gerenciados desde junho de 2022, impedindo que agentes maliciosos se movam lateralmente pelas redes das vítimas, bloqueando todas as comunicações de e para os dispositivos comprometidos.
Fonte: Bleepingcomputer
