Microsoft teste un nouveau défenseur pour la capacité des points de terminaison qui bloquera le trafic vers et depuis des points de terminaison non découverts afin de contrecarrer les tentatives de mouvement latéral du réseau des attaquants.
Comme l’entreprise l’a révélé plus tôt cette semaine, cela est réalisé en contenant les adresses IP des appareils qui n’ont pas encore été découverts ou intégrés à Defender pour Endpoint.
Redmond affirme que la nouvelle fonctionnalité empêchera les acteurs de la menace de se propager à d’autres appareils non compromis en bloquant les communications entrantes et sortantes avec les appareils utilisant des adresses IP contenues.
« Contenir une adresse IP associée à des appareils non découverts ou à des appareils non intégrés à Defender for Endpoint se fait automatiquement via une interruption automatique des attaques. La stratégie Contain IP bloque automatiquement une adresse IP malveillante lorsque Defender for Endpoint détecte que l’adresse IP doit être associée à un périphérique non découvert ou à un périphérique non intégré », explique Microsoft.
« Grâce à la perturbation automatique des attaques, Defender for Endpoint incrimine un appareil malveillant, identifie le rôle de l’appareil pour appliquer une stratégie de correspondance afin de contenir automatiquement un actif critique. Le confinement granulaire se fait en bloquant uniquement des ports et des directions de communication spécifiques. »
Cette nouvelle fonctionnalité sera disponible sur Defender pour les appareils intégrés aux points de terminaison exécutant Windows 10, Windows 2012 R2, Windows 2016 et Windows Server 2019+.
Les administrateurs peuvent également arrêter le confinement d’une adresse IP en rétablissant sa connexion au réseau à tout moment en sélectionnant l’action « Contenir l’adresse IP » dans le « Centre d’action » et en sélectionnant « Annuler » dans le menu déroulant.
Depuis juin 2022, Defender for Endpoint est également en mesure d’isoler les appareils Windows piratés et non gérés, bloquant toutes les communications vers et depuis les appareils compromis pour empêcher les attaquants de se propager à travers les réseaux des victimes.
Microsoft a également commencé à tester la prise en charge de l’isolation des périphériques pour Defender for Endpoint sur les périphériques Linux embarqués, la fonctionnalité atteignant une disponibilité générale sur macOS et Linux en octobre 2023.
Le même mois, la société a révélé que Defender for Endpoint pouvait également isoler les comptes d’utilisateurs compromis pour bloquer les mouvements latéraux dans les attaques de ransomware mains sur le clavier en utilisant la perturbation automatique des attaques.