Microsoft Defender zavádza funkciu, ktorá môže zastaviť útok ešte skôr, než si ho vôbec všimneš
Microsoft opäť posúva hranice ochrany, Defender for Endpoint teraz automaticky izoluje neznáme zariadenia a zamedzí šíreniu útokov ešte predtým, než sa vôbec začnú.
Kybernetické útoky sú čoraz sofistikovanejšie. Útočníci hľadajú nové cesty, ako preniknúť do firemných sietí. Často sa zameriavajú na slabé miesta, ako sú nezabezpečené alebo nespravované zariadenia. Microsoft preto prináša novú funkciu v Defender for Endpoint, ktorá automaticky zastaví komunikáciu s takýmito zariadeniami. Na novinku upozorňuje portál bleepingcomputer.com.
Takzvané „neznáme“ zariadenia ešte neprešli onboardingom, teda nie sú zaradené pod správu Defenderu. Práve tieto predstavujú vysoké riziko, pretože útočníci ich môžu využiť na pohyb po sieti (lateral movement) alebo na útoky na citlivé systémy. Aj jedno takéto zariadenie dokáže otvoriť útočníkom dvere do celej siete, ak nie je včas odhalené.
Ako funguje izolácia neznámych IP adries?
Keď Defender zistí komunikáciu s IP adresou, ktorá nepatrí do zoznamu chránených koncových bodov, automaticky ju označí a zablokuje. V praxi ide o takzvaný IP containment, teda prerušenie obojsmernej komunikácie medzi touto IP a všetkými známymi zariadeniami v sieti.
Microsoft túto funkciu označuje ako automatic attack disruption. Vďaka nej Defender reaguje okamžite, bez potreby zásahu správcu. To útočníkom výrazne sťažuje šírenie škodlivého kódu a zároveň ti dáva viac času na analýzu situácie.
Špeciálna ochrana pre kritické zariadenia
Niektoré zariadenia musíš udržať v prevádzke za každých okolností. Medzi ne patria napríklad DNS servery, doménové radiče alebo DHCP servery. Ich úplné odpojenie by narušilo chod siete. Microsoft preto zavádza granulárnu izoláciu. Defender v tomto prípade zablokuje len rizikové porty a komunikačné smery. Nevyhnutné služby pritom zostávajú funkčné.
Neprehliadni
Správcovia si môžu kritické zariadenia označiť špeciálnym tagom priamo v Defenderi. Tým zabezpečia, že systém s nimi bude zaobchádzať citlivejšie, teda s dôrazom na bezpečnosť, no bez ohrozenia ich dostupnosti. Táto forma selektívnej ochrany spája bezpečnostné opatrenia s požiadavkami na plynulú prevádzku.
Prehľadné riadenie v Action Centre
Každú akciu Defender zaznamená do Action Centre. Tam si vieš pozrieť zoznam IP adries, ktoré systém izoloval, dôvody, prečo k tomu došlo, aj časový rámec. Ak sa neskôr ukáže, že išlo o omyl, môžeš izoláciu jednoducho zrušiť, cez funkciu Undo, teda späť. Celý proces je rýchly a prehľadný, čo oceníš najmä v stresových situáciách.
Ochrana aj na úrovni identít
Defender dokáže izolovať nielen zariadenia, ale aj podozrivé používateľské účty. Ak zistí pokus o zneužitie identity, napríklad administrátorskej, okamžite podnikne kroky. Ukončí aktívne relácie, preruší RDP spojenia a zablokuje protokoly ako SMB, RPC či sieťové prihlásenie. Tým výrazne obmedzí šírenie ransomvéru, najmä v prípadoch, keď útočník jedná manuálne (hands-on-keyboard útoky).
Ide o ďalšiu vrstvu ochrany, ktorá reaguje na realitu dnešných útokov, kde útočníci často cielene preberajú kontrolu nad kontami správcov.
Funkcia je dostupná pre zariadenia s Windows 10, Windows Server 2012 R2, 2016, 2019 a novšie verzie. Podpora sa však neobmedzuje len na Windows, Microsoft minulý rok rozšíril možnosti aj na Linux a macOS. Riešenie je teda vhodné pre hybridné prostredia, kde sa kombinuje viacero platforiem.
Nový štandard ochrany
Vďaka tejto funkcii posúva Microsoft Defender hranice automatizovanej bezpečnosti. Zariadenia, ktoré doteraz unikali kontrole, už viac nebudú slabým miestom tvojej siete. Ako IT správca, technik alebo bezpečnostný nadšenec získaš do rúk silný nástroj, ktorý funguje aj vtedy, keď ty oddychuješ. A práve takéto nástroje dnes rozhodujú o tom, kto útok prežije bez ujmy, a kto nie.
Komentáre