Nowość w usłudze Microsoft Defender: zainfekowana maszyna zostanie automatycznie odcięta od sieci

Wyobraźmy sobie sytuację, w której na naszą służbową skrzynkę przychodzi wiadomość z atrakcyjną ofertą biznesową. Szczegóły mają być przedstawione w załączonym dokumencie. W mailu widnieje prośba o pilne zapoznanie się z treścią oraz możliwie jak najszybszą odpowiedź. 

TLDR:

• Microsoft wdraża nową funkcjonalność w oprogramowaniu Microsoft Defender for Endpoint (MDE), pozwalającą na automatyczną reakcję w przypadku wykrycia zagrożenia na urządzeniach klienckich.
• Jeżeli MDE uzna, że na maszynie użytkownika trwa zaawansowany atak, automatycznie odetnie ją od sieci wewnętrznej oraz internetu.
• Takie podejście ma na celu zredukowanie skutków działania malware oraz zmniejszenie płaszczyzny ataku.
• Przywrócenie stacji końcowej do sieci jest możliwe z poziomu konsoli MDE, po manualnej weryfikacji administratora.
• Funkcjonalność jest dostępna w systemach Windows 10 i 11. W rozwiązaniach serwerowych oraz stacjach z Linuksem nadal wymagane jest potwierdzenie administratora.

Zainteresowani propozycją bezrefleksyjnie pobieramy załącznik, a następnie otwieramy plik. Po krótkiej chwili wyświetla nam się komunikat, że dokument został uszkodzony i nie da się go otworzyć. Brzmi znajomo? To właśnie w taki sposób często dochodzi do ataku na nasz system.

W momencie, gdy z niecierpliwością klikamy po raz kolejny w niedziałający plik lub ponownie próbujemy go pobrać, cyberprzestępcy w tle wykonują szereg akcji w naszym systemie. Zanim się zorientujemy, że coś jest nie tak, atakujący zapewniają sobie dostęp do hosta, skanują sieć i przygotowują się do kolejnego etapu ataku. 

Biorąc pod uwagę, że tego typu incydenty stają się coraz częstsze, a użytkownicy wciąż dają się zwieść i uruchamiają złośliwe pliki, Microsoft postanowił wdrożyć rozwiązanie ograniczające skutki ataków. W usłudze Microsoft Defender for Endpoint (MDE) rozwijana jest funkcja automatycznej izolacji urządzeń w ramach mechanizmu Automatic Attack Disruption.

Dotychczasowe systemy klasy XDR (Extended Detection and Response) opierają się na sygnaturach, heurystyce oraz wykrywaniu podejrzanych zachowań (IoC). Ich reakcja ogranicza się zazwyczaj do zablokowania konkretnego procesu lub wysłania alertu o wykryciu anomalii. Microsoft uznał jednak, że takie podejście to za mało i postanowił podejść do tematu znacznie szerzej.

W rozwiązaniu Automatic Attack Disruption zaimplementowano zaawansowane algorytmu, które na podstawie wielu sygnałów oraz zdarzeń zbieranych w czasie rzeczywistym podejmują działania. Jeśli system “uzna”, że na danej stacji roboczej trwa zaawansowany atak (np. rozpoczyna się proces skanowania sieci, szyfrowania dysku), nie czeka na reakcję człowieka tylko automatycznie zaczyna działać. 

Co ważne, odcięty komputer nie zostaje odłączony całkowicie. Dostęp do niego jest możliwy tylko z poziomu usługi Microsoft Defender for Endpoint. Administratorzy mogą z poziomu konsoli MDE podejrzeć, dlaczego system podjął tak radykalną decyzję oraz jakie zagrożenie wykrył. Po wyeliminowaniu zagrożenia, administrator może jednym kliknięciem zdalnie przywrócić dostęp do maszyny.

Należy pamiętać, że automatyczna izolacja urządzeń działa wyłącznie na systemach klienckich Windows 10 i 11. W przypadku Windows Server oraz maszyn z systemem Linux oprogramowanie zaraportuje o wykryciu zagrożenia, jednak to administrator musi podjąć decyzję o odcięciu maszyny. 

Źródło:  learn.microsoft.com/ 

~_secmike