Microsoft Defender wird kompromittierte Geräte automatisch isolieren – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

Microsoft Defender wird gehackte Geräte automatisch isolieren

Microsoft testet eine neue Funktion für Defender for Endpoint, die kompromittierte Endpunkte automatisch isoliert, um Angreifer daran zu hindern, sich lateral im Netzwerk zu bewegen. Dieser Schritt soll die Belastung für Security Operations Centers (SOCs) verringern.

Das Microsoft Defender-Schild-Logo auf blauem Hintergrund, das die neue automatische Endpunktisolierungsfunktion darstellt.

Was ist passiert

Microsoft unternimmt einen neuen Schritt im Namen der Automatisierung in der Welt der Cybersicherheit. Das Unternehmen hat eine Funktion für sein Unternehmenssicherheitsprodukt Defender for Endpoint angekündigt, die sich derzeit in der Testphase befindet. Diese Funktion wird einen Computer oder Server (einen „Endpunkt“), der als von einem Angreifer kompromittiert identifiziert wurde, automatisch vom Rest des Netzwerks trennen. Stellen Sie es sich wie einen Feueralarm in einem Gebäude vor, der automatisch die Türen des Raumes verriegelt, in dem das Feuer ausgebrochen ist. Das Ziel ist es, zu verhindern, dass sich das Feuer – also der Angreifer – auf andere Räume ausbreitet.

Diese neue Fähigkeit ist Teil einer umfassenderen Strategie namens „automatische Angriffsunterbrechung“ (automatic attack disruption). Normalerweise sendet Defender eine Warnung an einen Sicherheitsanalysten, wenn er eine Anomalie feststellt, z. B. verdächtige Befehle, die vom Computer eines Benutzers an andere Rechner im Netzwerk gesendet werden. Der Analyst prüft die Warnung, bewertet den Schweregrad der Situation und isoliert bei Bedarf diese Maschine manuell vom Netzwerk. Dieser Prozess kann selbst den schnellsten Analysten Minuten, manchmal sogar länger, kosten. In einer Umgebung, in der sich Cyberangriffe in Sekundenschnelle ausbreiten können, sind diese Minuten kostbar.

Hier kommt die neue Funktion von Microsoft ins Spiel. Wenn das System nun mit hoher Zuverlässigkeit feststellt, dass ein Gerät kompromittiert wurde und der Angreifer versucht, eine „laterale Bewegung“ durchzuführen, wartet es nicht auf menschliches Eingreifen. Es stellt das Gerät sofort unter Quarantäne. Diese Isolierung blockiert den Zugriff des Geräts auf das Internet oder andere Netzwerkressourcen, während es die Kommunikation mit den Defender for Endpoint-Diensten aufrechterhält. Auf diese Weise kann das Sicherheitsteam das Gerät weiterhin aus der Ferne untersuchen, um zu verstehen, was passiert ist. Es ist, als würde man einen Eindringling in einem Raum einsperren, aber die Überwachungskameras weiterlaufen lassen.

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →

Kompromittierte Daten

Diese Nachricht handelt nicht von einer Datenpanne, sondern von der Ankündigung einer Technologie, die zukünftige Pannen verhindern soll. Daher können wir nicht sagen, „diese Daten wurden kompromittiert“. Um jedoch zu verstehen, warum diese Funktion entwickelt wurde, müssen wir darüber sprechen, nach welcher Art von Daten Angreifer suchen, sobald sie ein Netzwerk infiltriert haben. Diese Technologie existiert genau, um diese Daten zu schützen.

Ein Angreifer infiltriert normalerweise den Computer eines einzelnen Mitarbeiters über eine Phishing-E-Mail oder eine anfällige Software. Diese erste Maschine ist für sie typischerweise nur ein Sprungbrett. Ihr eigentliches Ziel befindet sich nicht auf dieser Maschine. Es liegt tiefer im Netzwerk. Wonach suchen sie also?

  • Administratorkonten: Der heilige Gral für Angreifer sind die Anmeldeinformationen von Konten mit voller Autorität über das gesamte Netzwerk, wie ein „Domain-Admin“. Sobald sie diese haben, können sie auf jeden Server, jeden Computer zugreifen, den sie wollen. Diese neue Isolationsfunktion zielt darauf ab, den Angreifer daran zu hindern, das Netzwerk nach diesen Anmeldeinformationen zu durchsuchen.
  • Finanzdaten: Server in der Buchhaltungsabteilung, Kundenzahlungsinformationen, Unternehmensbilanzen und Bankkontodetails sind immer Hauptziele.
  • Kunden- und Mitarbeiterinformationen (PII): Persönliche Daten wie Namen, Adressen, nationale ID-Nummern und Gehaltsinformationen sind auf dem Schwarzmarkt sehr wertvoll und bergen erhebliche rechtliche Haftungen.
  • Geistiges Eigentum: Produktdesigns, Patentanmeldungen, Geschäftsgeheimnisse und Software-Quellcode, die auf den Servern der F&E-Abteilung gespeichert sind, repräsentieren die Zukunft eines Unternehmens. Der Diebstahl dieser Daten kann ein Unternehmen sogar in den Bankrott treiben.
  • Datenbanken: Die Datenbanken von Kundenbeziehungsmanagement- (CRM) oder Enterprise-Resource-Planning- (ERP) Systemen sind das operative Herz eines Unternehmens. Angreifer können auf diese Daten zugreifen und sie verschlüsseln, um ein Lösegeld zu fordern.

Die automatische Isolierung soll genau diesen kritischen „Verbreitungsmoment“ verhindern, der es einem Angreifer ermöglicht, diese wertvollen Vermögenswerte zu erreichen. Wenn der Angreifer im ersten Raum, den er betritt, eingeschlossen ist, kann er nicht an die Juwelen im Rest des Hauses gelangen.

Wie der Angriff abläuft

Wir sprechen hier nicht über einen bestimmten Angriff, sondern über eine allgemeine Angriffsmethodik, die diese neue Funktion verhindern soll: „laterale Bewegung“ (lateral movement). Dies ist ein nahezu standardmäßiger Schritt bei modernen Cyberangriffen und funktioniert normalerweise wie folgt:

1. Erster Zugriff (Initial Access): Alles fängt irgendwo an. Normalerweise geschieht dies durch die Unachtsamkeit eines Mitarbeiters. Er klickt vielleicht auf einen bösartigen Link in einer E-Mail, die aussieht wie „Ihre Rechnung ist beigefügt“, oder ein Angreifer nutzt eine Schwachstelle in einer ungepatchten Software auf einem öffentlich zugänglichen Server aus. Der Angreifer ist nun im Netzwerk, aber nur auf einem einzigen, oft mit geringen Rechten ausgestatteten Computer.

2. Erkundung (Discovery): Sobald der Angreifer drinnen ist, beginnt er sofort, sich umzusehen. Wer ist an diesem Computer angemeldet? Auf welche anderen Maschinen im Netzwerk hat dieser Benutzer Zugriff? Wo befinden sich die wichtigen Server (wie der Domänencontroller)? In dieser Phase verwenden sie einfache Befehle wie „ping“ und „net view“ oder fortschrittlichere Netzwerk-Scanning-Tools.

3. Diebstahl von Anmeldeinformationen (Credential Theft): Das Ziel des Angreifers ist es, das Passwort oder den Hash eines höher privilegierten Kontos auf der Maschine zu erbeuten, auf der er sich befindet. Tools wie Mimikatz werden häufig verwendet, um Anmeldeinformationen zu stehlen, die sich gerade im Speicher des Computers befinden. Vielleicht hat sich ein Systemadministrator kürzlich an dieser Maschine angemeldet, und seine Spuren sind noch vorhanden.

4. Laterale Bewegung (Lateral Movement): Das ist der entscheidende Punkt. Der Angreifer verwendet die neu gestohlenen Anmeldeinformationen oder die Rechte des aktuellen Benutzers, um zu einem anderen Computer im Netzwerk zu springen. Sie verwenden dafür legitime Systemverwaltungstools wie PsExec oder die Windows-Verwaltungsinstrumentation (WMI). Dies erleichtert es ihnen, Sicherheitssystemen zu entgehen, da es wie normale administrative Aktivitäten aussieht. Mit jedem erfolgreichen Sprung kommen sie ihrem Ziel einen Schritt näher.

Die neue Funktion von Microsoft Defender zielt genau auf diesen 4. Schritt ab. Wenn Defender einen abnormalen Strom von WMI- oder PsExec-Befehlen von einer Maschine zu einer anderen sieht und entscheidet, dass diese Aktivität mit früheren verdächtigen Ereignissen verknüpft ist, sagt er: „Dies ist keine normale Admin-Aktivität, dies ist eine laterale Bewegung eines Angreifers“, und isoliert sofort die Quellmaschine. Es verhindert, dass der Angreifer den nächsten Schritt macht.

Wer ist betroffen

Direkt von dieser Funktion betroffen sind Unternehmen, die das Unternehmenssicherheits-Ökosystem von Microsoft nutzen, und deren Cybersicherheitsteams. Genauer gesagt:

  • Analysten im Security Operations Center (SOC): Dies sind die Soldaten an vorderster Front, die sich täglich mit Hunderten, sogar Tausenden von Warnungen befassen. Die automatische Isolierung kann ihre Arbeitslast erheblich reduzieren. Anstatt wegen einer nächtlichen Warnung aus dem Bett zu springen, können sie ruhiger schlafen, da sie wissen, dass das System bereits die erste Reaktion durchgeführt hat. Dies gibt ihnen Zeit, sich auf komplexere Bedrohungssuchen und Ermittlungsaktivitäten zu konzentrieren, anstatt auf einfache Eindämmung.
  • Mittlere und große Unternehmen: Insbesondere in großen Unternehmen mit Tausenden von Endpunkten ist es unmöglich, jedes Gerät manuell zu verfolgen. Die Automatisierung macht Netzwerke dieser Größenordnung beherrschbar. Der Unterschied zwischen der Ausbreitung eines Angriffs auf Hunderte von Maschinen und dem Stoppen bei nur einer kann der Unterschied zwischen der Zahlung eines millionenschweren Lösegelds und dessen Vermeidung sein.
  • Organisationen mit Microsoft 365 E5-Lizenzen: Diese fortschrittlichen Funktionen werden in der Regel in den Spitzenlizenzpaketen von Microsoft angeboten. Daher müssen Unternehmen, die diese Funktion nutzen möchten, wahrscheinlich eine Microsoft 365 E5-Lizenz oder eine gleichwertige Sicherheitslizenz besitzen.

Was sind die potenziellen negativen Auswirkungen? Jede Automatisierung birgt ein Risiko: Fehlalarme (false positives). Stellen Sie sich vor, was passiert, wenn eine völlig legitime Fernverwaltungsaufgabe, die von einem Systemadministrator durchgeführt wird, vom System fälschlicherweise als Angriff eingestuft wird. Die Maschine dieses Administrators oder, schlimmer noch, ein kritischer Server, an dem er arbeitet, könnte automatisch isoliert werden. Dies könnte Arbeitsabläufe zum Erliegen bringen und die Produktion stören. Deshalb betont Microsoft, dass das Konfidenzniveau dieser Funktion sehr hoch ist und sie nur ausgelöst wird, wenn sie mit bestimmten Angriffsmustern übereinstimmt.

Was Sie tun können

Wenn Sie ein Systemadministrator oder Sicherheitsexperte sind und Ihr Unternehmen Defender for Endpoint verwendet, beinhaltet diese neue Funktion direkte, umsetzbare Schritte für Sie. Wir sprechen nicht von allgemeinen Ratschlägen wie „verwenden Sie ein starkes Passwort“.

1. Überprüfen Sie die Public Preview-Einstellungen: Diese Funktion ist noch nicht allgemein verfügbar; sie befindet sich in der Testphase. Überprüfen Sie, ob Ihre Organisation die Public Preview-Funktionen im Microsoft 365 Defender-Portal aktiviert hat. Wenn ja, sehen Sie diese Funktion möglicherweise bereits in Ihrem Portal. Befolgen Sie die offizielle Dokumentation von Microsoft, um genau zu erfahren, wo sich die Funktion befindet und wie sie konfiguriert wird.

2. Testen und pilotieren Sie: Ein sofortiges Ausrollen dieser Funktion im gesamten Unternehmen könnte aufgrund der oben genannten Risiken von Fehlalarmen riskant sein. Beginnen Sie stattdessen damit, sie für eine kleinere, kontrollierbare Gruppe wie die IT-Abteilung oder eine bestimmte Testbenutzergruppe zu aktivieren. Beobachten Sie, wie das System auf normale administrative Aktivitäten reagiert. Achten Sie auf unerwartete Isolationen.

3. Lernen Sie das Verfahren zur Aufhebung der Isolation: Wenn ein Gerät (zu Recht oder zu Unrecht) isoliert wird, müssen Sie wissen, wie Sie es wieder mit dem Netzwerk verbinden können. Lernen und dokumentieren Sie die Schritte zur Freigabe eines Geräts aus der Isolation im Defender-Portal. Im Falle eines Fehlalarms sollten Sie in der Lage sein, einen kritischen Server innerhalb von Minuten wieder online zu bringen.

4. Erwartungen managen: Dies ist keine Wunderwaffe. Die automatische Isolierung mag den ersten Versuch eines Angreifers stoppen, aber das bedeutet nicht, dass Sie die grundlegende Sicherheitshygiene vernachlässigen können. Grundlagen wie Schwachstellenmanagement, Phishing-Schulungen und starke Authentifizierung sind nach wie vor unerlässlich. Dieses Werkzeug fügt Ihrer Verteidigung eine weitere Schicht hinzu; es ersetzt nicht die anderen.

5. Halten Sie Ihr Asset-Inventar auf dem neuesten Stand: Zu verstehen, welches Gerät isoliert wurde, beginnt damit zu wissen, wie kritisch dieses Gerät ist. Sie sollten ein aktuelles Inventar aller Geräte in Ihrem Netzwerk (Server, Laptops) haben, das Informationen darüber enthält, was sie tun, wem sie gehören und wie kritisch sie sind. Auf diese Weise wissen Sie sofort, wenn „SRV-DB-01“ isoliert wird, dass es sich um den Hauptdatenbankserver des Unternehmens handelt und dringende Aufmerksamkeit erfordert.

Was das Unternehmen sagt

In seinem Blogbeitrag und den technischen Dokumenten, die die neue Funktion ankündigen, gibt Microsoft an, dass dies eine Antwort auf moderne Ransomware-Angriffe und von Menschen betriebene Cyberkampagnen ist. Laut dem Unternehmen versuchen Angreifer, nachdem sie in ein Netzwerk eingedrungen sind, sich oft auf vorhersehbare und laute Weise zu verbreiten. Dieser „Lärm“ bietet eine Gelegenheit für die Automatisierung, sie zu erkennen.

Rob Lefferts, ein Produktmarketing-Manager bei Microsoft, sagte in einer Erklärung: „Die Geschwindigkeit der Angriffe hat die Geschwindigkeit des menschlichen Eingreifens übertroffen. Wir müssen den Sicherheitsteams in den ersten Momenten eines Angriffs wertvolle Sekunden und Minuten zurückgeben. Die automatische Angriffsunterbrechung soll verhindern, dass ein Angriff von einer Warnung auf einer einzelnen Maschine zu einer ausgewachsenen Unternehmenskrise eskaliert.“

Das Unternehmen unterstreicht, dass diese Funktion speziell entwickelt wurde, um die Ausbreitungsphase von Ransomware-Angriffen zu unterbrechen. Bei vielen Ransomware-Vorfällen erweitern Angreifer ihren Zugriff mithilfe von lateralen Bewegungstechniken, bevor sie Hunderte von Computern im gesamten Netzwerk verschlüsseln. Microsoft behauptet, dass diese automatische Isolierung die Angriffskette lange vor Beginn der Verschlüsselung durchbrechen kann.

Sie merken auch an, dass diese Funktion einen Einblick in die Zukunft von XDR-Plattformen (Extended Detection and Response) gibt. In Zukunft werden Sicherheitsprodukte nicht nur Warnungen generieren, sondern auch autonom gegen Bedrohungen mit hoher Zuverlässigkeit vorgehen und so die Arbeit der Analysten erleichtern. Diese Funktion wird als greifbares Beispiel für diese Vision präsentiert.

Quelle

https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-can-now-automatically-isolate-hacked-endpoints/

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag Datenleck bei 7-Eleven betrifft 185.000 Nutzer Nächster Beitrag → Kalifornien verklagt Ex-23andMe wegen Datenlecks

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.