Microsoft Defender for Endpoint soll Angriffe von Menschen unterbinden

Microsoft kündigt an, dass Microsoft Defender for Endpoints mit KI-Unterstützung menschengesteuerte Angriffe wie Ransomware-Attacken automatisch erkennen und unterbinden können soll. Und das, ohne weitere Funktionen oder Komponenten im Netzwerk verteilen zu müssen. Maschinen müssten lediglich das Onboarding für Microsoft Defender for Endpoint absolvieren und kommen dadurch in den Genuss der neuen "Extended Detection and Response"(XDR)-Funktion.

Wie Microsofts Entwickler in einem Blog-Beitrag erklären, nutze die automatische Angriffsunterbrechung Signale querbeet aus den Microsoft 365 Defender-Installationen, etwa aus Identitäten, Endpunkten, E-Mails sowie Software-as-a-Service-Apps. Sie erreiche eine hohe Sicherheit bei der Trefferquote, liefert demnach also kaum Fehlalarme. Neben Ransomware-Angriffen soll sie auch Spearphishing (Business E-Mail Compromise, BEC) oder Adversary-in-the-Middle (AitM, auch als Man-in-the-Middle [MitM] bekannt) abwehren können.

Microsoft Defender for Endpoint: Erkennung manueller Angriffe

Grob erklären die IT-Forscher, dass im Falle der Erkennung einer menschengesteuerten Attacke auf einer einzelnen Maschine die Angriffskampagne auf diesem Gerät gestoppt und weitere Geräte in der Organisation "geimpft" würden. Die Angreifer könnten dann nirgendwo mehr hin im Netzwerk. Internen Daten zufolge hätten 91 Prozent der angegriffenen Geräte mit der Angriffsunterbrechung vor Verschlüsselungsversuchen geschützt werden können.

Dies soll gelingen, indem kompromittierte Nutzerkonten geräteübergreifend eingeschränkt würden, noch bevor die Angreifer die Möglichkeit hätten, bösartige Operationen auszuführen oder sich im Netzwerk fortzubewegen, Zugangsdaten zu stehlen, Daten auszuschleusen und diese aus der Ferne zu verschlüsseln. Die nun standardmäßig aktivierte Funktion soll erkennen, ob der unterwanderte Zugang Aktivitäten auf anderen Endpunkten gestartet hat und blockiert alle ein- und ausgehende Kommunikation. Selbst in Nutzerkonten mit höchsten Zugriffsrechten, die sonst außerhalb solcher Sicherungsmaßnahmen stehen, könnten Angreifer auf keine weiteren Geräte in der Organisation mehr zugreifen.

Erste Tests verliefen vielversprechend

Bislang stellten solche frühzeitigen Einbruchserkennungen Sicherheitsteams vor größere Herausforderungen, erläutert Microsoft. Die Angreifer tarnten ihre Aktivitäten als normales Nutzerverhalten. Zwar könnten Sicherheitsteams anderer Anbieter solche Angriffe möglicherweise erkennen, die automatische Abwehr rund um die Uhr sei jedoch neu. Seit 2022 habe die Funktion als Vorschau bei einigen Unternehmen im Stillen bereits Angriffe unterbunden. Ein konkretes Beispiel aus dem August nennen die IT-Forscher. Angreifer hatten Geräte eines medizinischen Forschungslabors kompromittiert. Während der manuellen, von Menschenhand gesteuerten Attacke führten die bösartigen Akteure Befehle aus und nutzten RDP für den Zugriff auf einen SQL-Server der Einrichtung.

Dort haben sie Zugangsdaten gesammelt, um etwa auf weitere Geräte im Netzwerk zuzugreifen. Jedoch führte der Zugriff auf den SQL-Server bereits zum Aussperren von weiteren Zugriffen auf etwaige weitere Geräte des Labors. Die IT-Sicherheitsspezialisten hätten dazu keinen Finger rühren müssen.

Die Funktion steht als öffentliche Vorschau in Defender for Business sowie ab Microsoft Defender for Enspoint Plan 2 und jeweils verwandten Bundles bereit.

Vor etwa einem Jahr hatte Microsoft den Defender for Endpoints bereits mit neuen Funktionen etwa zum Schutz vor Ransomware ausgestattet. Zudem fügte der Hersteller einen Windows-Port von Zeek hinzu, das mit einer potenten Netzwerk-Traffic-Analyse fortgeschrittene Netzwerk-basierte Angriffe wie Log4Shell oder PrintNightmare erkennen und unterbinden sollte.

(dmk)