Microsoft Defender เปิดตัวความสามารถใหม่ ในการกักกันบัญชีที่ถูกโจมตีได้โดยอัตโนมัติ เพื่อหยุดการโจมตี และการแพร่กระจายไปในเครือข่าย โดยได้เพิ่ม 'contain user' ซึ่งเป็นความสามารถใหม่ไปใน public preview
การกักกันบัญชีที่ถูกโจมตี จะถูกใช้เมื่อพบเหตุการณ์การโจมตีโดยแรนซัมแวร์ ซึ่ง Hacker จะทำการแฝงตัวในเครือข่ายของเป้าหมาย และแพร่กระจายต่อไปในเครือข่าย หลังจากนั้นจะทำการยกระดับสิทธิ์เป็นสิทธิ์ระดับสูงผ่านบัญชีที่ถูกขโมย เพื่อติดตั้งเพย์โหลดที่เป็นอันตราย และเรียกใช้ในการการโจมตีต่อไป
Microsoft ระบุว่า Defender for Endpoint จะสามารถป้องกันความพยายามในการแพร่กระจายตัวไปในระบบของเป้าหมายได้ ทั้ง on-premise และ cloud โดยการกักกันบัญชีที่ถูกโจมตีชั่วคราว(หรือข้อมูลบัญชีที่น่าสงสัย) ที่อาจจะถูกใช้ในการโจมตีได้ ทำให้ Hacker ไม่สามารถทำการโจมตีในขั้นตอนต่อไปได้ เช่น การใช้บัญชีที่ถูกโจมตีเพื่อแพร่กระจายไปในระบบ การขโมยข้อมูลประจำตัว การขโมยข้อมูล และการเข้ารหัส
โดย Microsoft Defender มีความสามารถในการเก็บรวบรวมข้อมูล และระบุว่าบัญชีที่ถูกโจมตีมีพฤติกรรมที่เกี่ยวข้องกับเครื่องอื่น ๆ ในเครือข่ายหรือไม่ และสามารถตัดการเชื่อมต่อขาเข้า และขาออกทั้งหมดได้ทันที โดยการตรวจสอบ และบล็อกการรับส่งข้อมูลขาเข้าใน protocol ที่เกี่ยวข้องกับการโจมตี (network logon, RPC, SMB, RDP) ในขณะเดียวกันก็เปิดใช้งานการรับส่งข้อมูลที่เป็นปกติ
Defender for Endpoint จะทำการรวบรวมข้อมูลจาก Microsoft 365 Defender ต่าง ๆ (identities, endpoints, email และ SaaS apps) ทำให้สามารถที่จะวิเคราะห์ผล และหยุดการโจมตีที่เกิดขึ้นได้ทันที ซึ่งช่วยลดผลกระทบของการโจมตีได้อย่างมาก รวมถึง security operation ก็จะมีเวลาเพิ่มเติมในการค้นหา ระบุ และแก้ไขภัยคุกคามบนบัญชีที่ถูกโจมตีได้ทันท่วงที
Microsoft ได้เพิ่มความสามารถในการการกักกันบัญชีที่ถูกโจมตี ให้กับโซลูชัน Microsoft 365 Defender XDR (Extensed Detection and Response) ในเดือนพฤศจิกายน 2022 ในระหว่างการประชุม Microsoft Ignite ประจำปีสำหรับนักพัฒนา และผู้เชี่ยวชาญด้านไอที
ทั้งนี้ Defender for Endpoint สามารถแยกอุปกรณ์ Windows ที่ถูกโจมตี และมีความจากเสี่ยงด้านความปลอดภัย ตั้งแต่เดือนมิถุนายน 2023 โดยสามารถป้องการแพร่กระจายไปในเครือข่ายของ Hacker โดยการบล็อกการเชื่อมต่อทั้งหมดเข้า และออกจากอุปกรณ์ที่ถูกโจมตี
รวมถึง Microsoft ระบุว่าตั้งแต่เดือนสิงหาคม 2023 พบว่าอุปกรณ์มากกว่า 6,500 เครื่องที่ติดตั้ง Defender for Endpoint รอดจากการโจมตีด้วยการเข้ารหัสจากแคมเปญแรนซัมแวร์ที่ดำเนินการโดยกลุ่ม Hacker เช่น กลุ่ม BlackByte และ Akira และ red team ต่าง ๆ
ที่มา : bleepingcomputer
You must be logged in to post a comment.