Microsoft testează o nouă capabilitate a Defender for Endpoint care va bloca traficul către și dinspre dispozitivele neidentificate pentru a împiedica încercările atacatorilor de a se deplasa lateral în rețea.
Conform informațiilor dezvăluite de companie mai devreme în această săptămână, acest lucru se realizează prin conținerea adreselor IP ale dispozitivelor care încă nu au fost descoperite sau integrate în Defender for Endpoint.
Redmond spune că noua funcționalitate va împiedica actorii de amenințare să se extindă către alte dispozitive neafectate, blocând comunicarea de intrare și ieșire cu dispozitivele care folosesc adrese IP conținute.
„Conținerea unei adrese IP asociate cu dispozitive neidentificate sau dispozitive neintegrate în Defender for Endpoint se realizează automat prin perturbarea automată a atacului. Politica de Conținere a IP-ului blochează automat o adresă IP dăunătoare atunci când Defender for Endpoint detectează că adresa IP este asociată cu un dispozitiv neidentificat sau un dispozitiv neintegrat”, explică Microsoft.
„Prin perturbarea automată a atacului, Defender for Endpoint incriminează un dispozitiv dăunător, identifică rolul dispozitivului pentru a aplica o politică corespunzătoare pentru a conține automat un activ critic. Conținerea granulară se realizează prin blocarea doar a anumitor porturi și direcții de comunicare.”
Această nouă funcționalitate va fi disponibilă pe dispozitivele integrate în Defender for Endpoint care rulează Windows 10, Windows 2012 R2, Windows 2016 și Windows Server 2019+.
Administratorii pot, de asemenea, opri conținerea unei adrese IP prin restabilirea conexiunii acesteia la rețea în orice moment selectând acțiunea „Conținere IP” în „Centrul de acțiune” și selectând „Anulare” în meniul contextual.
Din iunie 2022, Defender for Endpoint poate, de asemenea, izola dispozitivele Windows compromise și neadministrare, blocând toată comunicarea către și dinspre dispozitivele compromise pentru a opri atacatorii să se extindă prin rețelele victimelor.
Microsoft a început, de asemenea, testarea suportului de izolare a dispozitivelor pentru Defender for Endpoint pe dispozitivele Linux integrate, capacitatea ajungând la disponibilitate generală pe macOS și Linux în octombrie 2023.
În aceeași lună, compania a dezvăluit că Defender for Endpoint poate, de asemenea, izola conturile de utilizator compromise pentru a bloca mișcarea laterală în atacurile de ransomware cu intervenție umană folosind perturbarea automată a atacului.
Pe baza unei analize a 14M acțiuni dăunătoare, descoperiți cele mai bune 10 tehnici MITRE ATT&CK din spatele a 93% dintre atacuri și cum să vă apărați împotriva lor.
Microsoft începe testarea finală a retragerii Windows înainte de lansare
Microsoft: Folderul Windows ‘inetpub’ creat de remedierea de securitate, nu ștergeți
Microsoft spune că browserul Edge este acum cu 9% mai rapid după optimizări
Microsoft Aprilie 2025 Marți Patch rezolvă zero-day-ul exploatat, 134 probleme
Actualizările cumulative Windows 11 KB5055523 & KB5055528 lansate
Leave a Reply