A Microsoft está testando uma nova capacidade do Defender for Endpoint que bloqueará o tráfego de e para endpoints não descobertos, com objetivo de frustrar as tentativas de movimento lateral na rede por atacantes.
Conforme revelado pela companhia no início desta semana, isso é alcançado ao conter os endereços IP de dispositivos que ainda não foram descobertos ou integrados ao Defender for Endpoint.
A empresa afirma que o novo recurso impedirá que os atores de ameaças se espalhem para outros dispositivos não comprometidos, bloqueando a comunicação de entrada e saída com dispositivos que usam endereços IP contidos.
"Conter um endereço IP associado a dispositivos não descobertos ou dispositivos não integrados ao Defender for Endpoint é feito automaticamente por meio da interrupção automática de ataque.
A política de Contain IP bloqueia automaticamente um endereço IP malicioso quando o Defender for Endpoint detecta o endereço IP associado a um dispositivo não descoberto ou um dispositivo não integrado", explica a Microsoft.
"Por meio da interrupção automática de ataque, o Defender for Endpoint incrimina um dispositivo malicioso, identifica o papel do dispositivo para aplicar uma política correspondente para conter automaticamente um ativo crítico.
O contêiner granular é feito bloqueando apenas portas específicas e direções de comunicação."
Este novo recurso estará disponível em dispositivos integrados ao Defender for Endpoint que executam Windows 10, Windows 2012 R2, Windows 2016 e Windows Server 2019+.
Os administradores também podem interromper a contenção de um endereço IP restaurando sua conexão com a rede a qualquer momento, selecionando a ação "Contain IP" no "Action Center" e selecionando "Desfazer" no menu suspenso.
Desde junho de 2022, o Defender for Endpoint também tem sido capaz de isolar dispositivos Windows hackeados e não gerenciados, bloqueando toda a comunicação de e para os dispositivos comprometidos para impedir que os atacantes se espalhem pelas redes das vítimas.
A Microsoft também começou a testar o suporte de isolamento de dispositivo para o Defender for Endpoint em dispositivos Linux integrados, com a capacidade alcançando a disponibilidade geral no macOS e Linux em outubro de 2023.
No mesmo mês, a empresa revelou que o Defender for Endpoint também poderia isolar contas de usuários comprometidas para bloquear o movimento lateral em ataques de ransomware hands-on-keyboard usando interrupção automática de ataque.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...