Microsoft Defender for Endpoint utilise désormais l’interruption automatique des attaques pour isoler les comptes d’utilisateurs compromis et bloquer les mouvements latéraux lors des attaques mains sur clavier à l’aide d’une nouvelle fonctionnalité « contenir l’utilisateur » en préversion publique.
Dans de tels incidents, comme ceux impliquant des ransomwares opérés par des humains, les acteurs malveillants infiltrent les réseaux, se déplacent latéralement après avoir augmenté leurs privilèges via des comptes volés et déploient des charges utiles malveillantes.
Selon Microsoft, Defender for Endpoint empêche désormais les tentatives de mouvement latéral des attaquants au sein de l’infrastructure informatique sur site ou dans le cloud des victimes en isolant temporairement les comptes d’utilisateurs compromis (c’est-à-dire les identités suspectes) qu’ils pourraient exploiter pour atteindre leurs objectifs.
« La perturbation des attaques permet d’atteindre ce résultat en contenant les utilisateurs compromis sur tous les appareils afin de déjouer les attaquants avant qu’ils n’aient la possibilité d’agir de manière malveillante, comme utiliser des comptes pour se déplacer latéralement, effectuer un vol d’identifiants, une exfiltration de données et un cryptage à distance. » dit Rob Lefferts, vice-président d’entreprise pour la sécurité Microsoft 365.
« Cette capacité d’activation par défaut identifiera si l’utilisateur compromis a une activité associée à un autre point final et coupera immédiatement toutes les communications entrantes et sortantes, les contenant essentiellement. »
Selon Microsoft, lorsque les premières étapes d’une attaque humaine sont détectées sur un point de terminaison à l’aide de signaux provenant de diverses charges de travail Microsoft 365 Defender (y compris les identités, les points de terminaison, la messagerie électronique et les applications SaaS), la fonctionnalité d’interruption automatisée de l’attaque bloquera l’attaque sur cet appareil.
Simultanément, Defender for Endpoint « inoculera » également tous les autres appareils de l’organisation en bloquant le trafic malveillant entrant, laissant ainsi les attaquants sans autre cible.
« Lorsqu’une identité est contenue, tout appareil intégré à Microsoft Defender for Endpoint pris en charge bloquera le trafic entrant dans des protocoles spécifiques liés aux attaques (connexions réseau, RPC, SMB, RDP) tout en permettant le trafic légitime », explique Redmond dans un communiqué. document justificatif.
« Cette action peut contribuer considérablement à réduire l’impact d’une attaque. Lorsqu’une identité est confinée, les analystes des opérations de sécurité disposent de plus de temps pour localiser, identifier et remédier à la menace pesant sur l’identité compromise. »
Microsoft a ajouté l’interruption automatique des attaques à sa solution Microsoft 365 Defender XDR (Extended Detection and Response) en novembre 2022 lors de sa conférence annuelle Microsoft Ignite destinée aux développeurs et aux professionnels de l’informatique.
Cette fonctionnalité permet de contenir les attaques en cours et d’isoler automatiquement les actifs affectés en limitant les mouvements latéraux sur les réseaux compromis.
« Depuis août 2023, plus de 6 500 appareils ont été épargnés par le chiffrement des campagnes de ransomware exécutées par des groupes de hackers, dont BlackByte et Akira, et même par des équipes rouges », selon les données internes de Microsoft.
Defender for Endpoint est également capable d’isoler les appareils Windows piratés et non gérés depuis juin 2022, empêchant les acteurs malveillants de se déplacer latéralement à travers les réseaux des victimes en bloquant toutes les communications vers et depuis les appareils compromis.