NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Wyobraźmy sobie sytuację, w której na naszą służbową skrzynkę przychodzi wiadomość z atrakcyjną ofertą biznesową. Szczegóły mają być przedstawione w załączonym dokumencie. W mailu widnieje prośba o pilne zapoznanie się z treścią oraz możliwie jak najszybszą odpowiedź.
TLDR:
Zainteresowani propozycją bezrefleksyjnie pobieramy załącznik, a następnie otwieramy plik. Po krótkiej chwili wyświetla nam się komunikat, że dokument został uszkodzony i nie da się go otworzyć. Brzmi znajomo? To właśnie w taki sposób często dochodzi do ataku na nasz system.
W momencie, gdy z niecierpliwością klikamy po raz kolejny w niedziałający plik lub ponownie próbujemy go pobrać, cyberprzestępcy w tle wykonują szereg akcji w naszym systemie. Zanim się zorientujemy, że coś jest nie tak, atakujący zapewniają sobie dostęp do hosta, skanują sieć i przygotowują się do kolejnego etapu ataku.
Biorąc pod uwagę, że tego typu incydenty stają się coraz częstsze, a użytkownicy wciąż dają się zwieść i uruchamiają złośliwe pliki, Microsoft postanowił wdrożyć rozwiązanie ograniczające skutki ataków. W usłudze Microsoft Defender for Endpoint (MDE) rozwijana jest funkcja automatycznej izolacji urządzeń w ramach mechanizmu Automatic Attack Disruption.
Dotychczasowe systemy klasy XDR (Extended Detection and Response) opierają się na sygnaturach, heurystyce oraz wykrywaniu podejrzanych zachowań (IoC). Ich reakcja ogranicza się zazwyczaj do zablokowania konkretnego procesu lub wysłania alertu o wykryciu anomalii. Microsoft uznał jednak, że takie podejście to za mało i postanowił podejść do tematu znacznie szerzej.
W rozwiązaniu Automatic Attack Disruption zaimplementowano zaawansowane algorytmu, które na podstawie wielu sygnałów oraz zdarzeń zbieranych w czasie rzeczywistym podejmują działania. Jeśli system “uzna”, że na danej stacji roboczej trwa zaawansowany atak (np. rozpoczyna się proces skanowania sieci, szyfrowania dysku), nie czeka na reakcję człowieka tylko automatycznie zaczyna działać.
Co ważne, odcięty komputer nie zostaje odłączony całkowicie. Dostęp do niego jest możliwy tylko z poziomu usługi Microsoft Defender for Endpoint. Administratorzy mogą z poziomu konsoli MDE podejrzeć, dlaczego system podjął tak radykalną decyzję oraz jakie zagrożenie wykrył. Po wyeliminowaniu zagrożenia, administrator może jednym kliknięciem zdalnie przywrócić dostęp do maszyny.
Należy pamiętać, że automatyczna izolacja urządzeń działa wyłącznie na systemach klienckich Windows 10 i 11. W przypadku Windows Server oraz maszyn z systemem Linux oprogramowanie zaraportuje o wykryciu zagrożenia, jednak to administrator musi podjąć decyzję o odcięciu maszyny.
Źródło: learn.microsoft.com/
~_secmike
Czybto rozwiązanie będzie dostępne również dla użytkowników prywatnych – domowych, z wieloma sprzętami podłączonymi do Windows Defendera?
Szczerze przy ich podejsciu do tematu polowa aplikacji przestanie działać masa programów do elektroniki musi byc wykluczana bo wg defendera to wirusy. Bedzie wiecej klientow dla serwisow.
zakładam że Offline scan Defenderem rozwiązuje problem w większości przypadków.
wczoraj jedna ze stacji straciła dostęp do sieci, z niczym się nie dało połączyć, ustawienia pokazywały że wszystko powinno działać. Konkurencyjny MDR zablokował ruch, bo user ściągnał i rozpakował załącznik do maila. Także jak najbardziej dobry ruch ze strony M$. Jedyne co by było wczoraj pomocne, to komunikat na stacji roboczej że coś jest nie tak.
Według Windows Defender każdy mój program napisany w Python od wersji 3.8 jest groźnym wirusem. Z tego powodu musiałem zdowngradować pythona do wersji 3.7.9. To co MS wyrabia jest po prostu chore. Skończy się na tym że Windows Defender będzie po prostu wyłączany.
Się dziwię czemu nie wpadli 20 lat temu na ten pomysł.