0
0
Um novo recurso no Microsoft Defender for Endpoint pode dificultar que os atacantes realizem movimentos laterais dentro das redes da empresa, pois permite que os administradores evitem que o tráfego flua de e para dispositivos não gerenciados que foram comprometidos.
Isolando dispositivos não gerenciados
O movimento lateral é uma tática fundamental implantada pela maioria dos ciberatacantes hoje, o que significa que os defensores corporativos devem trabalhar para evitá-lo ou pelo menos minimizá-lo.
“Embora os dispositivos inscritos no Microsoft Defender for Endpoint possam ser isolados para evitar que atores ruins comprometam outros dispositivos, responder a um dispositivo comprometido não registrado no Microsoft Defender for Endpoint pode ser um desafio para as organizações hoje”, observou Yossi Basha, Gerente Principal de Produto, M365 Defender da Microsoft.
Dispositivos não registrados podem incluir impressoras, vários dispositivos IoT e até mesmo dispositivos de rede – embora, como a Microsoft adverte, conter estes últimos possa causar problemas.
“Nos casos em que o dispositivo contido é um dispositivo de rede, um aviso aparecerá com uma mensagem de que isso pode causar problemas de conectividade de rede (por exemplo, contendo um roteador que está agindo como um gateway padrão). Neste ponto, você poderá escolher se deseja conter o dispositivo ou não”, explicou a empresa.
O novo recurso “Contém”
O Microsoft Defender for Endpoint é uma plataforma de segurança de endpoints destinada a prevenir, detectar, investigar e responder a ameaças avançadas direcionadas a redes e sistemas corporativos. Inclui gerenciamento e relatórios centralizados.
O novo recurso “Contém” pode ser ativado (e desativado) na página de inventário do dispositivo ou na página do dispositivo:
“Esta ação pode ajudar a evitar que os dispositivos vizinhos sejam comprometidos enquanto o analista de operações de segurança localiza, identifica e corrige a ameaça no dispositivo comprometido”, acrescenta a Microsoft.
Uma limitação atual do recurso é que o bloqueio da comunicação de entrada e saída com um dispositivo “contido” só pode ser realizado no Microsoft Defender integrado para dispositivos Endpoint Windows 10 e Windows Server 2019+ – embora a empresa esteja trabalhando na criação de suporte adicional à plataforma.
Se um dispositivo contido alterar seu endereço IP, todos os dispositivos integrados do Microsoft Defender for Endpoint reconhecerão isso e começarão a bloquear as comunicações com o novo endereço IP dentro de 5 minutos. E se o novo IP for usado por outro dispositivo, os administradores serão avisados antes de decidir prosseguir com a contenção.
FONTE: HELPNET SECURITY