Uç Nokta için Microsoft Defender artık genel önizlemedeki yeni ‘kullanıcıyı içerme’ özelliğinin yardımıyla, güvenliği ihlal edilmiş kullanıcı hesaplarını yalıtmak ve uygulamalı klavye saldırılarında yanal hareketi engellemek için otomatik saldırı kesintisini kullanıyor.
İnsanlar tarafından çalıştırılan fidye yazılımları içeren bu tür olaylarda, tehdit aktörleri ağlara sızar, çalıntı hesaplar aracılığıyla ayrıcalıkları yükselttikten sonra yanal hareket eder ve kötü amaçlı yükleri dağıtır.
Microsoft’a göre Defender for Endpoint artık saldırganların, hedeflerine ulaşmak için yararlanabilecekleri ele geçirilmiş kullanıcı hesaplarını (diğer bir deyişle şüpheli kimlikleri) geçici olarak izole ederek, saldırganların kurbanların şirket içi veya bulut BT altyapısı içindeki yanal hareket girişimlerini engelliyor.
Kurumsal Rob Lefferts şöyle konuştu: “Saldırı kesintisi, tüm cihazlardaki güvenliği ihlal edilmiş kullanıcıları, saldırganlara, yanlara doğru hareket etmek için hesapları kullanmak, kimlik bilgileri hırsızlığı yapmak, veri sızdırmak ve uzaktan şifrelemek gibi kötü niyetli hareket etme şansına sahip olmadan önce üstünlük sağlamak için bu sonuca ulaşıyor.” Microsoft 365 Güvenliğinden Sorumlu Başkan Yardımcısı.
“Varsayılan olarak açık olan bu özellik, güvenliği ihlal edilen kullanıcının başka herhangi bir uç noktayla ilişkili herhangi bir etkinliği olup olmadığını belirleyecek ve esas olarak bunları içeren tüm gelen ve giden iletişimi derhal kesecektir.”
Microsoft’a göre, çeşitli Microsoft 365 Defender iş yüklerinden (kimlikler, uç noktalar, e-posta ve SaaS uygulamaları dahil) gelen sinyaller kullanılarak bir uç noktada insan tarafından gerçekleştirilen bir saldırının ilk aşamaları tespit edildiğinde, otomatik saldırı kesintisi geleceği, saldırıyı engelleyecektir. o cihaz.
Eş zamanlı olarak Defender for Endpoint, gelen kötü niyetli trafiği engelleyerek kuruluş içindeki diğer tüm cihazları da “zararsız hale getirecek” ve saldırganlara başka hedef bırakmayacak.
Redmond bir destek belgesinde şöyle açıklıyor: “Bir kimlik kapsandığında, desteklenen herhangi bir Uç Nokta için Microsoft Defender yerleşik cihazı, meşru trafiği mümkün kılarken saldırılarla (ağda oturum açma, RPC, SMB, RDP) ilgili belirli protokollerde gelen trafiği engelleyecektir.”
“Bu eylem, bir saldırının etkisinin azaltılmasına önemli ölçüde yardımcı olabilir. Bir kimlik kontrol altına alındığında, güvenlik operasyonları analistlerinin ele geçirilen kimliğe yönelik tehdidi bulmak, tanımlamak ve düzeltmek için ekstra zamanı olur.”
Microsoft, geliştiriciler ve BT profesyonellerine yönelik yıllık Microsoft Ignite konferansı sırasında Kasım 2022’de Microsoft 365 Defender XDR (Genişletilmiş Algılama ve Yanıt) çözümüne otomatik saldırı kesintisi ekledi.
Bu yetenek, devam eden saldırıların kontrol altına alınmasına ve güvenliği ihlal edilmiş ağlar arasındaki yanal hareketi sınırlayarak etkilenen varlıkların otomatik olarak izole edilmesine yardımcı olur.
Microsoft’un dahili verilerine göre “Ağustos 2023’ten bu yana 6.500’den fazla cihaz, BlackByte ve Akira gibi hacker grupları ve hatta kiralık kırmızı ekipler tarafından yürütülen fidye yazılımı kampanyalarından şifrelemeden kurtuldu.”
Defender for Endpoint ayrıca Haziran 2022’den bu yana saldırıya uğramış ve yönetilmeyen Windows cihazlarını izole etme yeteneğine sahip olup, güvenliği ihlal edilmiş cihazlara giden ve bu cihazlardan gelen tüm iletişimi engelleyerek kötü niyetli aktörlerin kurbanların ağları üzerinden yanal olarak hareket etmesini durdurur.