Grazie a un aggiornamento Microsoft Defender per endpoint è ora in grado di isolare gli account degli utenti compromessi, con una sorta di “sistema di contenimento”.
Questa nuova funzione, mostrata con un’anteprima pubblica, può rivelarsi essenziale nella lotta a ransomware e altre potenziali campagne malware. Gli autori delle minacce, infatti, una volta compromesso un dispositivo tendono a muoversi “lateralmente” in un contesto aziendale (siano computer locali che cloud), andando a distribuire payload dannosi su più piattaforme.
Secondo Rob Lefferts, Corporate Vicepresidente per la sicurezza di Microsoft 365 “L’interruzione dell’attacco raggiunge questo risultato contenendo gli utenti compromessi su tutti i dispositivi per sconfiggere gli aggressori prima che abbiano la possibilità di agire in modo dannoso, ad esempio utilizzando gli account per spostarsi lateralmente, eseguendo il furto di credenziali, l’esfiltrazione di dati e la crittografia in remoto“.
Lo stesso Lefferts ha poi aggiunto come “Questa funzionalità attivata per impostazione predefinita identificherà se l’utente compromesso ha attività associate con qualsiasi altro endpoint e interromperà immediatamente tutte le comunicazioni in entrata e in uscita, essenzialmente contenendole“.
Microsoft Defender per endpoint agisce isolando la piattaforma colpita e “allertando” le altre presenti nella rete
Oltre al sistema di contenimento per il dispositivo infetto, Defender for Endpoint per endpoint agirà anche tutti gli altri dispositivi della rete, bloccando il traffico dannoso in entrata dalle altre postazioni di lavoro.
Per gli esperti “Questa azione può contribuire in modo significativo a ridurre l’impatto di un attacco. Quando un’identità viene contenuta, gli analisti delle operazioni di sicurezza hanno più tempo per individuare, identificare e porre rimedio alla minaccia per l’identità compromessa“.
Microsoft ha aggiunto l’interruzione automatica degli attacchi alla sua soluzione Microsoft 365 Defender XDR (Extended Detection and Response) nel novembre 2022 durante la conferenza annuale Microsoft Ignite per sviluppatori e professionisti IT.
Questa mossa sembra poter mettere in difficoltà i cybercriminali anche se, come successo più volte in passato, non è detto che gli stessi trovino presto una nuova contromisura.