Microsoft Defender for Endpoint utilise désormais l’interruption automatique des attaques pour isoler les comptes d’utilisateurs compromis et bloquer les mouvements latéraux dans les attaques par clavier à main levée, à l’aide d’une nouvelle fonction « contenir l’utilisateur » en aperçu public.
Selon Microsoft, Defender for Endpoint empêche désormais les tentatives de déplacement latéral des attaquants au sein de l’infrastructure informatique sur site ou en nuage des victimes en isolant temporairement les comptes d’utilisateurs compromis qu’ils pourraient exploiter pour atteindre leurs objectifs.
« La perturbation des attaques permet d’atteindre ce résultat en contenant les utilisateurs compromis sur tous les appareils afin de déjouer les attaquants avant qu’ils n’aient la possibilité d’agir de manière malveillante, comme l’utilisation de comptes pour se déplacer latéralement, le vol d’informations d’identification, l’exfiltration de données et le chiffrement à distance », a déclaré Rob Lefferts, vice-président de la sécurité de Microsoft 365.
Selon Microsoft, lorsque les premières étapes d’une attaque humaine sont détectées sur un terminal à l’aide de signaux provenant de diverses charges de travail de Microsoft 365 Defender, la future interruption automatisée de l’attaque bloquera l’attaque sur ce terminal.
Microsoft a ajouté l’interruption automatique des attaques à sa solution Microsoft 365 Defender XDR en novembre 2022, lors de sa conférence annuelle Microsoft Ignite destinée aux développeurs et aux professionnels de l’informatique.
Les attaques de LinkedIn Smart Links ciblent à nouveau les comptes Microsoft.
