Flera avancerade funktioner i Microsoft XNUMX Defender, som först tillkännagavs förra året som ett sätt att stoppa ransomware och affärs-e-postkompromissattacker (BEC), har nu nått en offentlig förhandsvisning, meddelade företaget.
Funktionerna, som kallas "auto-termination", använder "high-trust extended detection and response (XDR) signaler över endpoints, identiteter, e-post och Software as a Service-applikationer", förklarade Microsoft och sa att de "kommer att hjälpa till att förhindra attacker." "aktiv säkerhet" snabbt och säkert. visst"..
De kommer att fungera genom att automatiskt inaktivera eller begränsa enheter och användarkonton som hotaktörer har äventyrat och aktivt använder i en attack.
Begränsad påverkan
Genom att stänga denna åtkomst hoppas Microsoft att angripare inte kommer att vara så effektiva som de borde vara, och med tiden kommer SOC-teamen att få mer tid att införa extra motåtgärder.
Som ett resultat bör ransomware och BEC-attacker ha en mer begränsad inverkan på målorganisationen, hävdar företaget.
Auto Attack Interrupt fungerar i 3 steg. I det första skedet uppmärksammas attacken och "högt förtroende" etableras. I det andra steget klassificeras olika scenarier, liksom de tillgångar som angripare för närvarande kontrollerar. Slutligen, i det tredje steget, utlöses automatiska svarsåtgärder med hjälp av Microsoft XNUMX Defender, som innehåller attacken och minimerar dess påverkan.
Som namnet antyder är aktiviteten för dessa nya funktioner automatisk, vilket kanske inte är bekvämt för vissa cybersäkerhetsproffs. Microsoft verkar vara medveten om detta faktum och säger att antalet signaler som används borde lindra någons oro för automatisering:
"Vi förstår att att vidta automatiska åtgärder kan väcka frågor, med tanke på den potentiella inverkan det kan ha på en organisation", sa företaget. "Det är därför automatisk attackstörning i Microsoft XNUMX Defender är utvecklad för att utnyttja XDR-signaler med hög lojalitet, kombinerat med information från den pågående utredningen av tusentals och åter tusentals incidenter av Microsofts forskningsteam. "Microsoft."
Ransomware är fortfarande en av de mest störande formerna av cyberbrottslighet. Företag rekommenderas att utbilda sina anställda om riskerna med nätfiske och se till att de har en robust säkerhetskopieringslösning. Antivirus, brandvägg (öppnas i en ny flik) och multifaktorautentisering anses också vara bästa praxis.