Microsoft Defender будет автоматически изолировать скомпрометированные устройства – Veri Sızıntısı
Live
Поиск
Компания
О нас Слово основателя Пресса и СМИ Политика конфиденциальности Условия использования FAQ Пресс-кит
Продукты
HUBOne HUBCorp Скоро Veri Sızıntısı Android Скоро Veri Sızıntısı iOS Скоро Veri Sızıntısı Huawei Скоро Breach Radar Argus Flow Argus Engine LivePlatform
Технологии
Что такое Argus AI? Попробовать в HUBOne Что такое Argus Flow? Что такое Argus Engine?
Блог Контакты

Microsoft Defender теперь будет автоматически изолировать взломанные устройства

Microsoft тестирует новую возможность Defender for Endpoint, которая будет автоматически изолировать скомпрометированные конечные точки, чтобы остановить попытки злоумышленников перемещаться по сети. Этот шаг направлен на снижение нагрузки на центры операций по обеспечению безопасности (SOC).

Логотип-щит Microsoft Defender на синем фоне, символизирующий новую функцию автоматической изоляции конечных точек.

Что произошло

Microsoft делает новый шаг в области автоматизации в мире кибербезопасности. Компания анонсировала функцию, находящуюся на стадии тестирования, для своего корпоративного продукта безопасности Defender for Endpoint. Эта функция будет автоматически отключать компьютер или сервер («конечную точку»), который был идентифицирован как скомпрометированный злоумышленником, от остальной части сети. Представьте себе пожарную сигнализацию в здании, которая автоматически запирает двери комнаты, где начался пожар. Цель — предотвратить распространение огня, то есть злоумышленника, в другие комнаты.

Эта новая возможность является частью более широкой стратегии, называемой «автоматическое прерывание атак» (automatic attack disruption). Обычно, когда Defender обнаруживает аномалию, например, отправку подозрительных команд с компьютера пользователя на другие машины в сети, он отправляет предупреждение аналитику безопасности. Аналитик просматривает предупреждение, оценивает серьезность ситуации и, при необходимости, вручную изолирует эту машину от сети. Этот процесс может занять даже у самого быстрого аналитика несколько минут, а иногда и больше. В среде, где кибератаки могут распространяться за секунды, эти минуты драгоценны.

Именно здесь вступает в игру новая функция Microsoft. Теперь, если система с высокой степенью уверенности определит, что устройство скомпрометировано и злоумышленник пытается совершить «боковое перемещение», она не будет ждать вмешательства человека. Она мгновенно поместит устройство в карантин. Эта изоляция блокирует доступ устройства к интернету или другим сетевым ресурсам, но позволяет ему поддерживать связь со службами Defender for Endpoint. Таким образом, команда безопасности все еще может удаленно исследовать устройство, чтобы понять, что произошло. Это похоже на то, как запереть злоумышленника в комнате, но оставить камеры видеонаблюдения включенными.

Ваш email в утечке? Проверьте бесплатно — результат за секунды.

Проверить →

Скомпрометированные данные

Эта новость не об утечке данных, а об анонсе технологии, направленной на предотвращение будущих утечек. Поэтому мы не можем сказать «эти данные были скомпрометированы». Однако, чтобы понять, почему эта функция была разработана, нам нужно поговорить о том, за какими данными охотятся злоумышленники после проникновения в сеть. Эта технология существует именно для защиты этих данных.

Злоумышленник обычно проникает на компьютер одного сотрудника через фишинговое письмо или уязвимое программное обеспечение. Эта первая машина, как правило, является для них лишь трамплином. Их настоящая цель находится не на этой машине. Она находится глубже в сети. Так что же они ищут?

  • Учетные записи администраторов: Святой Грааль для злоумышленников — это учетные данные аккаунтов с полными правами на всю сеть, таких как «Администратор домена». Как только они получают их, они могут получить доступ к любому серверу, любому компьютеру. Новая функция изоляции направлена на то, чтобы помешать злоумышленнику перемещаться по сети в поисках этих учетных данных.
  • Финансовые данные: Серверы бухгалтерии, информация о платежах клиентов, балансовые отчеты компании и данные банковских счетов всегда являются основными целями.
  • Информация о клиентах и сотрудниках (PII): Личные данные, такие как имена, адреса, идентификационные номера и информация о зарплате, очень ценны на черном рынке и влекут за собой серьезные юридические обязательства.
  • Интеллектуальная собственность: Проектные разработки, патентные заявки, коммерческие тайны и исходный код программного обеспечения, хранящиеся на серверах отдела исследований и разработок, представляют собой будущее компании. Кража этих данных может даже привести компанию к банкротству.
  • Базы данных: Базы данных систем управления взаимоотношениями с клиентами (CRM) или планирования ресурсов предприятия (ERP) являются операционным сердцем компании. Злоумышленники могут получить доступ к этим данным и зашифровать их, чтобы потребовать выкуп.

Автоматическая изоляция предназначена для предотвращения того критического момента «распространения», который позволяет злоумышленнику добраться до этих ценных активов. Если злоумышленник заперт в первой комнате, в которую он вошел, он не сможет добраться до драгоценностей в остальной части дома.

Как происходит атака

Здесь мы говорим не о конкретной атаке, а об общей методологии атаки, которую эта новая функция призвана предотвратить: «боковое перемещение» (lateral movement). Это почти стандартный шаг в современных кибератаках, и обычно он работает следующим образом:

1. Первоначальный доступ (Initial Access): Все начинается с чего-то. Обычно это происходит из-за неосторожности сотрудника. Он может щелкнуть по вредоносной ссылке в письме, которое выглядит как «Ваш счет-фактура в приложении», или злоумышленник может использовать уязвимость в необновленном программном обеспечении на общедоступном сервере. Злоумышленник теперь находится внутри сети, но только на одном, часто с низкими привилегиями, компьютере.

2. Разведка (Discovery): Попав внутрь, злоумышленник немедленно начинает осматриваться. Кто вошел в систему на этом компьютере? К каким другим машинам в сети у этого пользователя есть доступ? Где находятся важные серверы (например, контроллер домена)? На этом этапе они используют простые команды, такие как «ping» и «net view», или более продвинутые инструменты сканирования сети.

3. Кража учетных данных (Credential Theft): Цель злоумышленника — захватить пароль или хеш более привилегированной учетной записи на машине, на которой он находится. Инструменты, такие как Mimikatz, часто используются для кражи учетных данных, находящихся в памяти компьютера в данный момент. Возможно, системный администратор недавно входил в систему на этой машине, и его следы все еще там.

4. Боковое перемещение (Lateral Movement): Это ключевой момент. Злоумышленник использует вновь украденные учетные данные или права текущего пользователя, чтобы перейти на другой компьютер в сети. Для этого они используют легитимные инструменты системного администрирования, такие как PsExec или инструментарий управления Windows (WMI). Это облегчает им уклонение от систем безопасности, потому что это выглядит как обычная административная деятельность. С каждым успешным переходом они становятся на шаг ближе к своей цели.

Новая функция Microsoft Defender нацелена именно на этот 4-й шаг. Когда Defender видит аномальный поток команд WMI или PsExec с одной машины на другую и решает, что эта активность связана с предыдущими подозрительными событиями, он говорит: «Это не нормальная административная деятельность, это боковое перемещение злоумышленника», и мгновенно изолирует исходную машину. Это мешает злоумышленнику сделать следующий шаг.

Кого это затрагивает

Непосредственно затронуты этой функцией будут компании, использующие корпоративную экосистему безопасности Microsoft, и их команды по кибербезопасности. Если говорить более конкретно:

  • Аналитики центра операций по обеспечению безопасности (SOC): Это солдаты на передовой, которые ежедневно сталкиваются с сотнями, даже тысячами предупреждений. Автоматическая изоляция может значительно снизить их нагрузку. Вместо того, чтобы вскакивать с постели из-за полуночного предупреждения, они могут спать спокойнее, зная, что система уже выполнила первоначальное реагирование. Это освобождает их для сосредоточения на более сложных задачах по поиску угроз и расследованию, а не на простом сдерживании.
  • Средние и крупные предприятия: Особенно в крупных компаниях с тысячами конечных точек ручное отслеживание каждого устройства невозможно. Автоматизация делает сети такого масштаба управляемыми. Разница между распространением атаки на сотни машин и ее остановкой на одной может быть разницей между выплатой многомиллионного выкупа и его отсутствием.
  • Организации с лицензиями Microsoft 365 E5: Эти расширенные функции обычно предлагаются в топовых лицензионных пакетах Microsoft. Поэтому компаниям, желающим использовать эту функцию, скорее всего, потребуется лицензия Microsoft 365 E5 или эквивалентная лицензия безопасности.

А как насчет потенциальных негативных последствий? Любая автоматизация несет в себе риск: ложные срабатывания (false positives). Представьте, что произойдет, если совершенно законная задача удаленного администрирования, выполняемая системным администратором, будет ошибочно помечена системой как атака. Машина этого администратора или, что еще хуже, критически важный сервер, над которым он работает, может быть автоматически изолирован. Это может привести к остановке рабочих процессов и нарушению производства. Вот почему Microsoft подчеркивает, что уровень достоверности этой функции очень высок, и она будет срабатывать только при совпадении с конкретными шаблонами атак.

Что вы можете сделать

Если вы системный администратор или специалист по безопасности, и ваша компания использует Defender for Endpoint, эта новая функция включает в себя прямые, действенные шаги для вас. Мы не говорим об общих советах вроде «используйте надежный пароль».

1. Проверьте настройки публичного предварительного просмотра (Public Preview): Эта функция еще не общедоступна; она находится на этапе тестирования. Проверьте, включила ли ваша организация функции публичного предварительного просмотра на портале Microsoft 365 Defender. Если да, вы можете начать видеть эту функцию в своем портале. Следуйте официальной документации Microsoft, чтобы точно узнать, где находится функция и как ее настроить.

2. Протестируйте и проведите пилотное внедрение: Немедленное развертывание этой функции на всю компанию может быть рискованным из-за вышеупомянутых рисков ложных срабатываний. Вместо этого начните с включения ее для небольшой, контролируемой группы, такой как IT-отдел или определенная группа тестовых пользователей. Наблюдайте, как система реагирует на обычные административные действия. Следите за любыми неожиданными изоляциями.

3. Изучите процедуру снятия изоляции: Когда устройство изолировано (справедливо или нет), вам нужно знать, как снова подключить его к сети. Изучите и задокументируйте шаги по снятию изоляции с устройства на портале Defender. В случае ложного срабатывания вы должны быть в состоянии вернуть критически важный сервер в онлайн в течение нескольких минут.

4. Управляйте ожиданиями: Это не волшебная палочка. Автоматическая изоляция может остановить первую попытку злоумышленника, но это не значит, что вы можете пренебрегать базовой гигиеной безопасности. Основы, такие как управление уязвимостями, обучение фишингу и строгая аутентификация, по-прежнему жизненно важны. Этот инструмент добавляет еще один уровень к вашей защите; он не заменяет другие.

5. Поддерживайте инвентаризацию активов в актуальном состоянии: Понимание того, какое устройство было изолировано, начинается со знания того, насколько это устройство критично. У вас должен быть актуальный перечень всех устройств в вашей сети (серверов, ноутбуков), который включает информацию о том, что они делают, кому принадлежат и их критичность. Таким образом, когда «SRV-DB-01» будет изолирован, вы сразу поймете, что это главный сервер баз данных компании и он требует срочного внимания.

Что говорит компания

В своем блоге и технических документах, анонсирующих новую функцию, Microsoft заявляет, что это ответ на современные атаки программ-вымогателей и киберкампании, управляемые человеком. По словам компании, после того как злоумышленники проникают в сеть, они часто пытаются распространяться предсказуемыми и шумными способами. Этот «шум» предоставляет возможность для автоматизации их обнаружения.

Роб Леффертс, менеджер по маркетингу продуктов в Microsoft, заявил: «Скорость атак превзошла скорость человеческого вмешательства. Мы должны вернуть командам безопасности драгоценные секунды и минуты в начальные моменты атаки. Автоматическое прерывание атак предназначено для предотвращения эскалации атаки с предупреждения на одной машине до полномасштабного корпоративного кризиса».

Компания подчеркивает, что эта функция была разработана специально для прерывания фазы распространения атак программ-вымогателей. Во многих инцидентах с программами-вымогателями злоумышленники расширяют свой доступ с помощью техник бокового перемещения, прежде чем зашифровать сотни компьютеров в сети. Microsoft утверждает, что эта автоматическая изоляция может разорвать цепь атаки задолго до начала шифрования.

Они также отмечают, что эта функция дает представление о будущем платформ XDR (Extended Detection and Response). В будущем продукты безопасности будут не только генерировать предупреждения, но и автономно действовать против угроз с высокой степенью уверенности, облегчая работу аналитиков. Эта функция представлена как ощутимый пример этого видения.

Источник

https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-can-now-automatically-isolate-hacked-endpoints/

Поделиться статьёй
X LinkedIn WhatsApp
← Предыдущая статья Утечка данных в 7-Eleven затронула 185 000 пользователей Следующая статья → Калифорния подала в суд на бывшую 23andMe из-за утечки

Еженедельная рассылка

Отборные новости об утечках данных каждую неделю в вашем почтовом ящике.