Microsoft представляет новую функцию автоматической изоляции устройств в инструменте автоматического пресечения атак Defender for Endpoint, призванную помочь специалистам по безопасности сдерживать кибератаки, происходящие в их ИТ-сетях.
Компания объявила о появлении этой возможности ранее в этом месяце в статье о новых функциях Defender. Пока нет информации о том, когда автоматическая изоляция устройств будет введена в полноценную эксплуатацию.
Однако в новом исследовательском отчете SANS Institute предупреждается, что при определенных условиях злоумышленник может использовать новую функцию для отключения всех учетных записей пользователей.
Вывод, по словам Йоханнеса Ульриха, декана по исследованиям института, заключается в том, что инструменты автономных действий ИИ должны настраиваться и тестироваться, как и любая другая функция автоматизации.
«Автоматическая изоляция и пресечение атак — не новые концепции», — сказал Ульрих в электронном письме, — «но подобные идеи использовались в прошлом в инструментах с открытым исходным кодом и коммерческих продуктах. Эта функция наиболее важна для организаций с недостаточно укомплектованными командами ИТ-безопасности, поскольку она автоматизирует реагирование на атаки. Однако эти функции должны быть тщательно настроены. Если их оставить без конфигурации, злоумышленники могут использовать их для задержки реагирования, нарушая работу учетных записей, используемых администраторами».
Тем не менее, в современных условиях такие инструменты важны. Роберт Эндерл, ИТ-консультант и глава Enderle group, отметил, что современные автоматизированные атаки вредоносного ПО и программ-вымогателей развиваются со скоростью машины, что делает время реакции человека фактически устаревшим.
По его словам, к тому моменту, когда аналитик увидит тревожный сигнал, злоумышленник уже закрепился в системе или начал шифровать файлы. Автоматическая изоляция устройств от Microsoft действует как «быстрый логический воздушный зазор. Она мгновенно разрывает сетевые соединения устройства, отключая командный центр (C2) злоумышленника и останавливая эксфильтрацию данных на корню. Необходимо применять автоматизированную защиту в автоматизированной борьбе».
Он добавил, что вторичное преимущество, часто более критичное для выживания предприятия, заключается в сдерживании радиуса поражения. Злоумышленники неизменно используют скомпрометированный ПК в качестве плацдарма для горизонтального перемещения по корпоративной сети в поисках более ценных целей, таких как контроллеры домена, указал он.
«Мгновенно помещая этот первоначальный конечный узел в карантин, вы ловите угрозу на месте. Вы гарантируете, что один скомпрометированный ноутбук не перерастет в катастрофу в масштабах всего предприятия», — сказал он.
Существует также огромное судебно-медицинское преимущество, добавил Эндерл. «В старые времена инстинктом часто было буквально выдернуть вилку из розетки, что уничтожает критически важную оперативную память, или физически выдернуть сетевой кабель, что полностью ослепляет вашу удаленную команду безопасности. Логическая изоляция устройства при сохранении безопасного канала связи с сервисами безопасности сохраняет место преступления. Это не позволяет злоумышленнику развернуть вредоносное ПО-вайпер или уничтожить журналы, и дает Центру оперативного управления безопасностью (SOC) необходимое пространство для маневра, чтобы безопасно исследовать и восстановить машину без паники из-за активно распространяющейся инфекции».
Как работает автоматическое пресечение атак
Автоматическое пресечение атак предлагается организациям, подписанным на Microsoft Defender XDR — унифицированный облачный пакет безопасности, который обнаруживает и расследует кибератаки на ПК, серверы и IoT-устройства. Он также управляет гибридными идентификаторами и защищает инструменты электронной почты и совместной работы. Таким образом, он сопоставляет данные для выявления атак и реагирования на них.
Скоро появится функция автоматической изоляции, которая блокирует большую часть сетевого трафика, сохраняя при этом подключение устройства к службам безопасности. Это действие ограничено по времени и привязано к инциденту, заявила Microsoft; операторы безопасности могут отменить изоляцию в любой момент.
Широкая возможность автоматического пресечения атак использует ИИ для ограничения горизонтального перемещения злоумышленников. «Пресечение атак использует весь спектр наших сигналов расширенного обнаружения и реагирования (XDR), учитывая всю атаку для действий на уровне инцидента», — заявила Microsoft в подробной статье, описывающей этот инструмент. «Эта возможность отличается от известных методов защиты, таких как предотвращение и блокировка на основе единого индикатора компрометации».
Чтобы использовать автоматическое пресечение атак, ИТ-отделу необходимо как минимум включить Microsoft Defender for Endpoint Plan 2. Эффективность повышается, если также развернуты Defender for Identity, Defender for Office 365 и Defender for Cloud Apps. Администраторы также должны настроить соответствующие разрешения и мониторинг.
Возможные операционные сбои
В академической работе SANS Institute, подготовленной студентом Марсио Энрикесом, отмечается, что системы ИИ, выполняющие автономные решения, такие как сдерживание, улучшают время реагирования и масштабируемость. Однако они также полагаются на логику, основанную на пороговых значениях, полученных из телеметрии. «Даже при работе с данными в масштабах предприятия они не всегда учитывают влияние на уровне системы при принятии решений о принудительном исполнении», — говорится в статье, — «и поэтому могут вызывать непреднамеренные сбои при активации в большом масштабе. Это создает разрыв между необходимостью быстрых оборонительных действий и способностью организации поддерживать операционную непрерывность».
Исследование оценило этот разрыв, проанализировав, как автономные действия по сдерживанию, управляемые пороговыми значениями, могут привести к тому, что автор называет «крупномасштабным операционным сбоем».
Энрикес столкнулся с примером этого во время реального инцидента безопасности весной 2025 года. Пользователя в организации обманули фишинговым сообщением, и он ввел свои учетные данные на вредоносном веб-сайте. Defender обнаружил это и в течение нескольких минут инициировал автоматические меры сдерживания, включая отключение затронутой учетной записи, принудительный сброс пароля и ограничение входов в систему на нескольких управляемых устройствах.
Однако, поскольку аналитики по безопасности не осознавали, что это было автоматическое принудительное исполнение, они изначально предположили, что произошло горизонтальное перемещение или широкомасштабный компрометация. Это вызвало экстренную эскалацию с привлечением руководства по безопасности, пока дальнейшее расследование не показало, что распространение мер сдерживания было вызвано Defender.
«Инцидент демонстрирует эффективность автономного сдерживания в быстром прерывании активных угроз», — написал Энрикес. «В то же время он иллюстрирует, как автоматизированные действия по реагированию могут вызывать операционные эффекты в масштабах всего предприятия, которые не сразу очевидны для операторов-людей».
Может быть использовано как оружие
Чтобы проверить способность злоумышленника использовать слабость в функции автоматического пресечения атак Defender XDR, Энрикес создал гибридную корпоративную среду с 18 «пользователями» и выполнил враждебную активность, имитирующую поведение с клавиатуры для нескольких учетных записей, чтобы спровоцировать высокие пороги обнаружения в Defender, используя тактику атаки, которую он назвал «Автономное пресечение, вызванное защитой» (Autonomous Defense Induced Disruption, ADID). По сути, это обманывает функцию автоматического пресечения Defender, заставляя ее присвоить высокий балл уверенности в том, что сеть подверглась атаке.
«Результаты показали, что при достижении пороговых значений уверенности в обнаружении автоматические действия отключили все [18] учетные записи Active Directory, включая локального администратора домена, сделав домен недоступным», — написал Энрикес.
«Исследование подчеркивает необходимость в элементах управления управлением, защитных механизмах с учетом привилегий и ограничениях на уровне системы, чтобы предотвратить операционные сбои, вызванные автономным сдерживанием», — заключил он.
Рекомендации Microsoft: Оставляйте автоматическое пресечение атак включенным
Представитель Microsoft сообщил, что компания не комментирует исследовательский отчет.
Однако они заявили, что рекомендация Microsoft — оставлять автоматическое пресечение атак включенным по умолчанию. «Отказ от этой функции существенно увеличивает риск, особенно при многодоменных, многоэтапных атаках, таких как HumOR [операции по сбору человеческой разведки, например, социальная инженерия], BEC [компрометация деловой переписки] и AiTM [adversary in the middle], где даже дополнительные минуты нахождения в системе могут привести к значительному влиянию на бизнес».
«В то же время», — отметила Microsoft, — «мы признаем, что командам по безопасности необходим контроль над автономными действиями. Именно поэтому эта функция разработана с гранулярными элементами управления. Администраторы безопасности могут настраивать уровни автоматизации по группам устройств и выборочно исключать пользователей, устройства или диапазоны IP-адресов в зависимости от операционных потребностей. Рекомендуемый подход — это целенаправленная, обдуманная конфигурация, а не полный отказ. Клиенты сохраняют полную видимость предпринятых действий и имеют возможность отменить автоматизированное реагирование в любой момент».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
