Microsoft Defender for Endpoint: Automatická izolace kompromitovaných zařízení míří do firemních sítí

Microsoft testuje novou funkci v platformě Defender for Endpoint, která umožňuje automaticky izolovat kompromitovaná zařízení bez nutnosti manuálního zásahu bezpečnostního týmu. Hlavním cílem je zabránit útočníkům v laterálním pohybu po firemní síti poté, co se jim podaří proniknout do prvního koncového bodu. Pro bezpečnostní týmy, které čelí stále sofistikovanějším ransomwarovým útokům a hrozbám typu APT, jde o funkci, která může zásadně zkrátit dobu reakce a omezit rozsah případného incidentu.

Funkce je aktuálně ve fázi preview a tvoří součást širšího systému automatického přerušení útoků (Automatic Attack Disruption). Nástroj byl navržen s důrazem na rychlé zadržení hrozby, minimalizaci jejího dopadu a poskytnutí bezpečnostním týmům dostatečného časového prostoru pro vyšetřování a reakci.

Jak automatická izolace funguje v praxi

Jakmile systém vyhodnotí pracovní stanici jako podezřelou nebo kompromitovanou, okamžitě ji odpojí od firemní sítě. Toto opatření zabraňuje scénářům, které jsou pro firmy nejnebezpečnější – krádeži citlivých dat nebo šíření ransomwaru na další koncové body. Klíčové je, že zařízení i po izolaci udržuje komunikaci výhradně se službou Defender for Endpoint, takže bezpečnostní tým může zařízení nadále sledovat a analyzovat v reálném čase.

Automatická izolace se přitom aktivuje pouze na zařízeních, která jsou řádně spravována a nakonfigurována v rámci platformy. Po dokončení vyšetřování a odstranění kořenové příčiny incidentu může správce izolaci ručně zrušit přímo z konzole v inventáři zařízení a uživateli obnovit standardní přístup do sítě.

Postupné rozšiřování bezpečnostního ekosystému

Nová funkce automatické izolace navazuje na sérii kroků, kterými Microsoft systematicky posiluje možnosti Defenderu for Endpoint. V červnu 2022 dostali správci možnost ručně izolovat zařízení s Windows, která nebyla aktivně spravována platformou, a přerušit jim veškerou externí komunikaci. V průběhu roku 2023 byla podpora izolace rozšířena také na systémy Linux. Krátce poté Microsoft aplikoval stejnou logiku na kompromitované uživatelské účty v kontextu ransomwarových útoků.

V poslední době firma testuje rovněž blokování síťového provozu pro neznámá zařízení v síti a přidala podrobnější možnosti plánování antivirových prověrek napříč různými systémovými architekturami.

Pro firmy, které provozují hybridní prostředí s kombinací Windows a Linux systémů a zároveň se potýkají s nedostatkem zkušených bezpečnostních specialistů, představuje automatizace reakce na incidenty klíčový prvek moderní bezpečnostní strategie. Schopnost systému jednat autonomně v prvních minutách útoku může být rozdíl mezi lokalizovaným incidentem a plošnou krizí.

Zdroj: bleepingcomputer.com

Zdroj ilustračního obrázku: