Un certain nombre de fonctionnalités avancées de Microsoft 365 Defender, annoncées pour la première fois l’année dernière comme un moyen d’arrêter les ransomwares et les attaques de compromission des e-mails professionnels (BEC), ont maintenant atteint la préversion publique, a annoncé la société.
Les fonctionnalités, appelées «interruption automatique», utilisent «des signaux de détection et de réponse étendues (XDR) à haute confiance sur les points de terminaison, les identités, les e-mails et les applications SaaS», a expliqué Microsoft, affirmant qu’elles aideront à contenir les attaques de sécurité actives «rapidement et efficacement». .
Ils fonctionneront en désactivant ou en restreignant automatiquement les appareils et les comptes d’utilisateurs que les acteurs de la menace ont compromis et utilisent activement dans une attaque.
Impact limité
En fermant cet accès, Microsoft espère que les attaquants ne seront pas aussi efficaces qu’ils le devraient, et en même temps, les équipes SOC auront plus de temps pour déployer des contre-mesures supplémentaires.
En conséquence, les rançongiciels et les attaques BEC devraient avoir un impact plus limité sur l’organisation cible, affirme la société.
L’interruption d’attaque automatique fonctionne en trois étapes. Dans la première étape, l’attaque est détectée et une « confiance élevée » est établie. Dans la deuxième étape, différents scénarios sont classés, ainsi que les actifs que les attaquants contrôlent actuellement. Enfin, dans la troisième étape, des actions de réponse automatique sont déclenchées via Microsoft 365 Defender, contenant l’attaque et minimisant son impact.
Comme son nom l’indique, l’activité de ces nouvelles fonctionnalités est automatique, ce qui pourrait ne pas convenir à certains professionnels de la cybersécurité. Microsoft semble être conscient de ce fait, déclarant que le nombre de signaux utilisés devrait apaiser l’anxiété de quiconque autour de l’automatisation :
« Nous comprenons que prendre des mesures automatiques peut s’accompagner d’hésitations, compte tenu de l’impact potentiel que cela peut avoir sur une organisation », a déclaré la société. « C’est pourquoi la perturbation automatique des attaques dans Microsoft 365 Defender est conçue pour s’appuyer sur des signaux XDR haute fidélité, associés à des informations issues de l’enquête continue sur des milliers d’incidents par les équipes de recherche de Microsoft.
Les ransomwares continuent d’être l’une des formes de cybercriminalité les plus perturbatrices. Il est conseillé aux entreprises de former leurs employés aux dangers du phishing et de s’assurer qu’ils mettent en place une solution de sauvegarde robuste. Un antivirus, un pare-feu (s’ouvre dans un nouvel onglet)et l’authentification multifacteur sont également considérées comme des bonnes pratiques.