Microsoft introduserte en ny funksjon i Microsoft Defender for Endpoint som automatisk kan isolere kompromitterte enheter under aktive cyberangrep. Funksjonen skal hindre angripere i å bevege seg lateralt gjennom bedriftsnettverk etter at de har kompromittert et system.

Den nye funksjonen for automatisk endpoint-isolering fungerer gjennom Microsofts Automatic Attack Disruption-rammeverk i Defender for Endpoint. Når plattformen oppdager en kompromittering med høy sikkerhet, kan den berørte enheten automatisk kobles fra nettverket uten at sikkerhetsteam må gripe inn manuelt.

Funksjonen hjelper organisasjoner med å stoppe angrep raskere

Microsoft forklarte at funksjonen isolerer kompromitterte endpoints samtidig som begrenset tilkobling til Defenders sikkerhetstjenester opprettholdes. Det gjør at analytikere fortsatt kan undersøke hendelsen samtidig som angripere hindres fra å spre seg dypere inn i miljøet.

Forskere opplyste at automatisk endpoint-isolering er utviklet for å redusere risiko knyttet til:

  • Lateral bevegelse
  • Spredning av ransomware
  • Tyveri av legitimasjon
  • Dataeksfiltrering
  • Interaktiv angriperaktivitet

Den nåværende utrullingen fokuserer hovedsakelig på arbeidsstasjoner som er registrert i Microsoft Defender for Endpoint. Microsoft opplyste at uadministrerte enheter og de fleste servermiljøer foreløpig ikke omfattes av forhåndsvisningen.

Microsoft fortsetter satsingen på automatisert sikkerhet

Lanseringen gjenspeiler Microsofts bredere satsing på automatisert hendelsesrespons i hele sikkerhetsøkosystemet.

Microsoft Defender XDR analyserer kontinuerlig telemetri fra endpoints, identiteter, skytjenester, e-postsystemer og nettverksaktivitet for å oppdage pågående angrep. Når plattformen bekrefter skadelig aktivitet med høy sikkerhet, kan den automatisk aktivere tiltak for å begrense angrepet.

Forskere påpekte at automatisert inneslutning har blitt stadig viktigere fordi ransomware-grupper nå beveger seg langt raskere gjennom nettverk etter en innledende kompromittering.

Sikkerhetsteam sliter ofte med å isolere infiserte systemer raskt nok under hurtige angrep. Automatiserte verktøy forsøker å redusere denne forsinkelsen ved å begrense angriperes bevegelser i løpet av sekunder.

Microsoft la til beskyttelse for administratorer

Microsoft opplyste at isoleringsprosessen kun retter seg mot enheter som er direkte involvert i en hendelse, i stedet for å innføre brede nettverksbegrensninger på tvers av hele miljøer.

Administratorer kan også manuelt koble til isolerte systemer igjen etter at undersøkelser og utbedring er fullført. Microsoft advarte samtidig organisasjoner om å evaluere utrullingsstrategier nøye før funksjonen aktiveres i produksjonsmiljøer.

Selskapet bemerket også at enkelte forretningskritiske arbeidsflyter kan oppleve forstyrrelser dersom automatisk isolering aktiveres uventet. Enheter som bruker full VPN-tunnel kan dessuten oppleve midlertidige tilkoblingsproblemer under inneslutningen.

Automatisert cyberforsvar fortsetter å vokse

Funksjonen for automatisk endpoint-isolering viser den økende overgangen mot autonome cybersikkerhetssystemer i bedriftsmiljøer.

Sikkerhetsleverandører bruker i økende grad atferdsanalyse, AI-drevet deteksjon og automatisert respons for å redusere responstiden under cyberangrep. Forskere mener automatisering vil bli enda viktigere etter hvert som organisasjoner møter større angrepsflater og stadig mer avanserte trusselaktører.

Eksperter advarer samtidig om at automatiserte sikkerhetssystemer krever nøye finjustering for å unngå falske positiver og unødvendige driftsforstyrrelser.

Konklusjon

Microsofts funksjon for automatisk endpoint-isolering markerer enda et viktig steg mot automatisert begrensning av cyberangrep i bedriftsnettverk. Funksjonen gjør det mulig for Defender for Endpoint å isolere kompromitterte systemer automatisk samtidig som sikkerhetsanalytikere beholder innsyn i hendelsen. Forskere mener automatiserte sikkerhetsverktøy vil få en stadig større rolle etter hvert som cyberangrep fortsetter å øke i både hastighet og kompleksitet.


0 responses to “Microsoft Defender introduserer automatisk endpoint-isolering”