Microsoft Defender ora è in grado di isolare un account compromesso

su da Tiziano Gioiellieriin COMPUTER, MICROSOFT, MICROSOFT DEFENDER, Windows Defender Antivirus

Microsoft Defender per endpoint ora interviene isolando PC/cloud compromessi isolando l’infezione: ecco come funziona.

Fonte: IlSoftware

Grazie a un aggiornamento Microsoft Defender per endpoint è ora in grado di isolare gli account degli utenti compromessi, con una sorta di “sistema di contenimento”.

Questa nuova funzione, mostrata con un’anteprima pubblica, può rivelarsi essenziale nella lotta a ransomware e altre potenziali campagne malware. Gli autori delle minacce, infatti, una volta compromesso un dispositivo tendono a muoversi “lateralmente” in un contesto aziendale (siano computer locali che cloud), andando a distribuire payload dannosi su più piattaforme.

Secondo Rob Lefferts, Corporate Vicepresidente per la sicurezza di Microsoft 365 “L’interruzione dell’attacco raggiunge questo risultato contenendo gli utenti compromessi su tutti i dispositivi per sconfiggere gli aggressori prima che abbiano la possibilità di agire in modo dannoso, ad esempio utilizzando gli account per spostarsi lateralmente, eseguendo il furto di credenziali, l’esfiltrazione di dati e la crittografia in remoto“.

Lo stesso Lefferts ha poi aggiunto come “Questa funzionalità attivata per impostazione predefinita identificherà se l’utente compromesso ha attività associate con qualsiasi altro endpoint e interromperà immediatamente tutte le comunicazioni in entrata e in uscita, essenzialmente contenendole“.

Microsoft Defender per endpoint agisce isolando la piattaforma colpita e “allertando” le altre presenti nella rete

Oltre al sistema di contenimento per il dispositivo infetto, Defender for Endpoint per endpoint agirà anche tutti gli altri dispositivi della rete, bloccando il traffico dannoso in entrata dalle altre postazioni di lavoro.

Per gli esperti “Questa azione può contribuire in modo significativo a ridurre l’impatto di un attacco. Quando un’identità viene contenuta, gli analisti delle operazioni di sicurezza hanno più tempo per individuare, identificare e porre rimedio alla minaccia per l’identità compromessa“.

Microsoft ha aggiunto l’interruzione automatica degli attacchi alla sua soluzione Microsoft 365 Defender XDR (Extended Detection and Response) nel novembre 2022 durante la conferenza annuale Microsoft Ignite per sviluppatori e professionisti IT.

Scopri di più da Tiziano Gioiellieri

Iscriviti per ricevere gli ultimi articoli via e-mail.

Lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.