Microsoft testează o nouă capabilitate pentru Defender for Endpoint care poate izola automat endpointurile compromise, în încercarea de a bloca atacatorii înainte ca aceștia să se deplaseze lateral în rețea. Funcția este disponibilă în prezent în modul preview și face parte din mecanismul de automatic attack disruption, conceput pentru a limita impactul unui incident și pentru a oferi echipelor de securitate mai mult timp pentru remediere. Sursa: BleepingComputer
Ce s-a schimbat
Potrivit Microsoft, atunci când un dispozitiv din organizație este suspectat că a fost compromis, Defender for Endpoint îl poate izola automat. În această stare, endpointul este deconectat de la rețea pentru a reduce riscul de extindere a atacului, dar păstrează conexiunea la serviciul Microsoft Defender for Endpoint, care continuă să monitorizeze dispozitivul.
De ce contează
Izolarea automată este gândită să reducă riscul de mișcare laterală, să limiteze impactul asupra organizației și să prevină scenarii precum exfiltrarea de date sau propagarea ransomware-ului. În practică, asta înseamnă că un dispozitiv suspect poate fi scos rapid din ecuație înainte ca un atac să afecteze mai multe sisteme.
Microsoft a precizat că această funcție este disponibilă doar pentru stațiile de lucru end-user onboardate și administrate prin Defender for Endpoint. Cu alte cuvinte, nu orice dispozitiv dintr-o rețea poate fi izolat automat, ci doar cele integrate în platforma de securitate a companiei.
Cum funcționează izolarea
În timpul izolării automate, dispozitivul rămâne vizibil pentru echipa de securitate prin serviciul Defender, ceea ce permite monitorizarea în continuare a activității sale. După finalizarea investigației și după ce riscurile au fost reduse, operatorii de securitate pot scoate dispozitivul din izolare.
Microsoft spune că eliberarea din containment se poate face din zona Device inventory sau din pagina dispozitivului, prin opțiunea Release from isolation din meniul de acțiuni. Această abordare sugerează că izolarea automată este menită să fie un pas de răspuns rapid, nu o blocare permanentă.
Context: ce a mai introdus Microsoft în Defender
Noutatea vine după alte extinderi ale capabilităților Defender for Endpoint. În iunie 2022, Microsoft a anunțat că administratorii pot izola manual dispozitive Windows compromise și neadministrate, prin tăierea comunicațiilor inbound și outbound cu endpointurile onboardate în Defender for Endpoint.
Compania a început, de asemenea, să testeze suportul pentru izolarea dispozitivelor Linux onboardate în ianuarie 2023, iar funcția a ajuns la disponibilitate generală în octombrie 2023. În aceeași perioadă, Microsoft a spus că Defender for Endpoint poate izola și conturi de utilizator compromise, ca parte a mecanismului de automatic attack disruption, pentru a bloca mișcarea laterală în atacuri de tip hands-on-keyboard ransomware.
Mai recent, Microsoft a început să testeze o funcție care blochează automat traficul către și dinspre endpointuri Windows nedescoperite, pentru a împiedica atacatorii să ajungă la alte dispozitive necompromise din rețea. La începutul acestei luni, compania a mai anunțat și un preview pentru scanări antivirus programate pe sisteme Linux administrate prin Defender for Endpoint, cu opțiuni de scanări rapide zilnice, rapide la intervale și scanări complete săptămânale.
Ce urmează
Deocamdată, izolarea automată a endpointurilor compromise este în testare, nu în lansare generală. Pentru organizațiile care folosesc Defender for Endpoint, funcția poate deveni utilă mai ales în scenarii în care timpul de reacție este critic, iar echipele de securitate au nevoie să oprească rapid răspândirea unui incident înainte ca acesta să escaladeze.
Pe măsură ce Microsoft continuă să extindă automatizarea în Defender for Endpoint, accentul pare să se mute tot mai mult de la răspuns manual la izolare și conținere automată, cu obiectivul de a reduce fereastra în care un atacator poate acționa într-o rețea compromisă.
