2min

Microsoft Defender for Endpoint onderneemt nu automatisch actie bij verdachte activiteiten. Zo sluit het gecompromitteerde accounts automatisch af van het netwerk en blokkeert het hands-on-keyboard-aanvallen.

Microsoft Defender for Endpoint krijgt belangrijke verbeteringen voor de veiligheid van bedrijven. Automatische acties zetten gebruikersaccounts bij verdachte activiteiten onmiddellijk in isolatie. Dit weerhoudt hackers ervan zijdelings te bewegen en de volledige organisatie te besmetten met malware of ransomware.

De functie zal automatisch geactiveerd worden voor alle Microsoft Defender for Endpoint, eens algemene beschikbaarheid is bereikt. Momenteel staat de mogelijkheid in publieke preview.

De eerste bouwstenen voor de nieuwe functie werden in de zomer van 2022 al gelegd. In een blogpost was toen te horen dat de beveiligingsoplossing beter was in het identificeren en onderscheppen van geavanceerde aanvallen. Dit gegeven heeft Microsoft nu weten om te zetten in een functie die bedrijven ook helpt.

Hoe werkt het?

In een video demonstreert Microsoft hoe de oplossing kan helpen tijdens een hands-on-keyboard-aanval. Op een toestel dat geen Microsoft Defender for Endpoint gebruikt, is de hacker binnengevallen op het eerste administrator-account. Alle toestellen waar het account mee in contact staat, zijn wel reeds aangemeld op de beveiligingsoplossing.

De hacker verzekert zich voor het uitzetten van de aanval tot meer toegang in de bedrijfsomgeving, door te verbinden met een domeincontroller. De hacker bevindt zich vanaf dat moment in twee domein-adminstratoraccounts en daarmee toegang tot de volledige digitale omgeving van het bedrijf.

Vanaf daar wil de hacker zich zijwaarts bewegen in de organisatie, om malware op zoveel mogelijk toestellen te kunnen verspreiden. De activiteiten om meer inloggegevens te verkrijgen, worden echter geblokkeerd door de antivirus. Microsoft Defender for Endpoint grijpt verder in door de detectie van laterale beweging en verwijdert het account dat toegang probeert te krijgen van de domeincontroller. Opnieuw inloggen op dit account is niet meer mogelijk.

Hackers houden natuurlijk vanaf de start van hun acties rekening met deze mogelijkheid en creëren hiervoor een nieuw account eens zij een ingang vonden in het administratoraccount. Dit account is nog nieuw en is daarom nog niet gemarkeerd met verdachte activiteiten. Maar de oplossing van Microsoft weet dat het account gelinkt is aan het account dat net werd verwijderd en zal daarom het nieuwe account eveneens blokkeren.

De administrator kan via het Microsoft 365 Defender-portaal de acties opvolgen en ongedaan maken, mocht de oplossing per ongeluk een werknemer hebben buitengesloten.

De volledige video is hier te bekijken.

Impact van een aanval verkleinen

“Deze actie kan aanzienlijk helpen de impact van een aanval te verminderen. Wanneer een identiteit onder controle is, hebben beveiligingsanalisten extra tijd om de bedreiging voor de gecompromitteerde identiteit te lokaliseren, te identificeren en te verhelpen”, zegt Rob Lefferts, vicepresident van Microsoft 365 Security.

De functie heeft wel degelijk voordelen op vlak van cybersecurity eens een aanval plaatsvond. Bovendien werkt de oplossing ook voor Linux-devices. Aanvallen op deze toestellen zullen dezelfde afhandeling krijgen als toestellen die op Windows draaien. Het neemt echter de nodige investeringen in oplossingen om endpoints te beveiligen, niet weg.