Microsoft introducerade en ny funktion i Microsoft Defender for Endpoint som automatiskt kan isolera komprometterade enheter under pågående cyberattacker. Funktionen ska stoppa angripare från att röra sig lateralt genom företagsnätverk efter att de tagit sig in i ett system.
Den nya funktionen för automatisk endpoint-isolering arbetar genom Microsofts ramverk Automatic Attack Disruption i Defender for Endpoint. När plattformen upptäcker en kompromettering med hög säkerhet kan den drabbade enheten automatiskt kopplas bort från nätverket utan att säkerhetsteam behöver ingripa manuellt.
Funktionen hjälper organisationer att stoppa attacker snabbare
Microsoft förklarade att funktionen isolerar komprometterade endpoints samtidigt som begränsad anslutning till Defenders säkerhetstjänster behålls. Det gör att analytiker fortfarande kan undersöka incidenten samtidigt som angripare hindras från att sprida sig djupare i miljön.
Forskare uppgav att automatisk endpoint-isolering är utformad för att minska risker kopplade till:
- Lateral rörelse
- Spridning av ransomware
- Stöld av autentiseringsuppgifter
- Dataexfiltration
- Interaktiv angriparaktivitet
Den nuvarande utrullningen fokuserar främst på arbetsstationer som är anslutna till Microsoft Defender for Endpoint. Microsoft uppgav att ohanterade enheter och de flesta serversystem ännu inte omfattas av den aktuella förhandsversionen.
Microsoft fortsätter satsa på automatiserad säkerhet
Lanseringen speglar Microsofts bredare satsning på automatiserade säkerhetsåtgärder i hela säkerhetsekosystemet.
Microsoft Defender XDR analyserar kontinuerligt telemetri från endpoints, identiteter, molntjänster, e-postsystem och nätverksaktivitet för att upptäcka pågående attacker. När plattformen bekräftar skadlig aktivitet med hög säkerhet kan den automatiskt aktivera åtgärder för att begränsa attacken.
Forskare påpekade att automatiserad begränsning blivit allt viktigare eftersom ransomwaregrupper idag rör sig betydligt snabbare genom nätverk efter en initial kompromettering.
Säkerhetsteam har ofta svårt att isolera infekterade system tillräckligt snabbt under snabbrörliga attacker. Automatiserade verktyg försöker minska den fördröjningen genom att begränsa angripares rörelse inom några sekunder.
Microsoft lade till skydd för administratörer
Microsoft uppgav att isoleringsprocessen endast riktar sig mot enheter som är direkt involverade i en incident istället för att införa breda nätverksbegränsningar över hela miljöer.
Administratörer kan dessutom manuellt återansluta isolerade system efter att undersökning och återställningsarbete avslutats. Microsoft varnade samtidigt organisationer för att noggrant utvärdera distributionsstrategier innan funktionen aktiveras i produktionsmiljöer.
Bolaget noterade också att vissa verksamhetskritiska arbetsflöden kan påverkas om automatisk isolering aktiveras oväntat. Enheter som använder fullständiga VPN-tunnlar kan dessutom drabbas av tillfälliga anslutningsproblem under isoleringen.
Automatiserat cyberförsvar fortsätter växa
Funktionen för automatisk endpoint-isolering visar den växande övergången mot autonoma cybersäkerhetssystem i företagsmiljöer.
Säkerhetsleverantörer använder allt oftare beteendeanalys, AI-driven detektion och automatiserad återställning för att minska svarstider vid cyberattacker. Forskare tror att automatisering kommer att spela en ännu större roll när organisationer möter större attackytor och allt mer avancerade hotaktörer.
Experter varnar dock samtidigt för att automatiserade säkerhetssystem kräver noggrann finjustering för att undvika falska positiva resultat och onödiga störningar i verksamheten.
Slutsats
Microsofts funktion för automatisk endpoint-isolering markerar ännu ett stort steg mot automatiserad begränsning av cyberattacker i företagsnätverk. Funktionen gör det möjligt för Defender for Endpoint att isolera komprometterade system automatiskt samtidigt som säkerhetsanalytiker behåller insyn i incidenten. Forskare tror att automatiserade skyddsverktyg kommer att få en allt större roll i takt med att cyberattacker fortsätter öka i både hastighet och komplexitet.
0 svar till ”Microsoft Defender introduerar automatisk endpoint-isolering”