Microsoft ha da poco comunicato di aver provveduto ad implementare una nuova funzione in Microsoft Defender per Endpooint per il rilevamento del traffico di comando e controllo (C2), in modo tale da garantire ancora più sicurezza sul fronte aziendale.
Microsoft Defender: nuova funzione per il traffico di comando e controllo
La funzionalità è attualmente disponibile in anteprima pubblica e grazie ad essa gli amministratori possono rilevare eventuali malware che tentano di comunicare con i server controllati dai malintenzionati.
Più precisamente, le connessioni C2 vengono individuate dall'agente Network Protection (NP), andando a mappare l'indirizzo IP, la porta, il nome host e altri valori della connessione in uscita con i dati di Microsoft Cloud. Nel caso in cui la connessione venga considerata a rischio, Microsoft Defender per Endpoint blocca in automatico la connessione.
Successivamente, viene inoltrato al portale Microsoft 365 Defender un avviso indicante il blocco applicato. L’avviso include pure il livello di gravità, le risorse interessate e la durata dell’attività. Andando ad aprire l’allert è poi possibile accedere ad ulteriori informazioni, tra cui il flusso di attacco e la timeline completa.
Riportiamo di seguito, in forma tradotta, quanto dichiarato da Oludele Ogunrinde, responsabile senior del programma Microsoft Defender per Endpoint, riguardo la novità in questione.
Con le nuove funzionalità di Microsoft Defender per Endpoint, i team SecOps possono rilevare gli attacchi C2 di rete all'inizio della catena di attacco, ridurre al minimo la diffusione bloccando rapidamente qualsiasi ulteriore propagazione degli attacchi e ridurre il tempo necessario per mitigare rimuovendo facilmente i binari dannosi.
Nel caso in cui il funzionamento della soluzione per la sicurezza proprietaria di Microsoft venisse giudicato come insufficiente, è possibile proteggere i propri sistemi anche tramite soluzioni antivirus di terze parti, come l’ottimo Norton 360 Premium.