Microsoft sedang menguji kemampuan Defender for Endpoint baru yang secara otomatis akan mengisolasi titik akhir yang disusupi untuk menggagalkan upaya penyerang untuk bergerak secara lateral di seluruh jaringan.
Ini sekarang tersedia dalam mode pratinjau dan berfungsi sebagai bagian dari gangguan serangan otomatis, sebuah fitur yang dirancang untuk menahan serangan, membatasi dampaknya, dan memberikan waktu remediasi yang lebih lama bagi tim keamanan.
Titik akhir yang disusupi dan diisolasi secara otomatis akan terputus dari jaringan untuk mengurangi risiko dampak lebih lanjut, namun titik akhir tersebut tetap mempertahankan konektivitas ke layanan Pertahanan Microsoft untuk Titik Akhir, yang akan terus memantau perangkat.
“Jika perangkat di organisasi Anda diduga telah disusupi, Pertahanan Microsoft untuk Titik Akhir dapat secara otomatis mengisolasi perangkat tersebut sebagai bagian dari gangguan serangan otomatis,” kata Microsoft.
“Isolasi otomatis membantu mengurangi risiko dampak lebih lanjut terhadap organisasi, membatasi pergerakan lateral penyerang, dan mencegah dampak seperti penyelundupan data dan penyebaran ransomware.”
Isolasi perangkat otomatis hanya berfungsi pada stasiun kerja pengguna akhir terpasang yang dikelola oleh Pertahanan Microsoft untuk Titik Akhir.
Seperti yang dijelaskan Microsoft, mereka juga dapat dibebaskan dari penahanan kapan saja oleh operator keamanan setelah menyelesaikan penyelidikan insiden dan memitigasi risikonya.
Untuk melepaskan perangkat dari isolasi otomatis, pilih perangkat dari “Inventaris perangkat” atau buka halaman perangkat dan pilih “Lepaskan dari isolasi” dari menu tindakan.
Hampir empat tahun lalu, pada Juni 2022, Microsoft juga mengumumkan hal itu admin dapat memuatnya secara manual perangkat Windows yang tidak dikelola dan disusupi dengan memutus komunikasi masuk dan keluar dengan titik akhir Defender for Endpoint yang terpasang.
Microsoft juga memulai menguji dukungan isolasi perangkat untuk Defender for Endpoint pada perangkat Linux yang terpasang pada bulan Januari 2023, dengan kemampuan mencapai ketersediaan umum pada bulan Oktober 2023.
Pada bulan yang sama, terungkap bahwa Defender for Endpoint juga bisa mengisolasi akun pengguna yang disusupi sebagai bagian dari gangguan serangan otomatis untuk memblokir pergerakan lateral dalam serangan ransomware langsung pada keyboard.
Baru-baru ini, Microsoft mulai menguji fitur baru lainnya untuk platform keamanan titik akhir perusahaan Defender for Endpoint yang secara otomatis memblokir lalu lintas ke dan dari titik akhir Windows yang belum ditemukan, mencegah penyerang menerobos perangkat lain yang tidak disusupi di jaringan.
Awal bulan ini, mereka mengungkapkan fitur pratinjau Defender for Endpoint lainnya yang memungkinkan admin melakukannya menjadwalkan pemindaian antivirus pada sistem Linux yang terpasang menggunakan portal Pertahanan Microsoft, konfigurasi JSON terkelola mdatp, atau alat baris perintah mdatp.
“Pemindaian terjadwal mendukung pemindaian cepat harian, pemindaian cepat berbasis interval, dan pemindaian penuh mingguan, dengan opsi untuk eksekusi prioritas rendah, penjadwalan waktu idle, dan waktu mulai acak,” katanya.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
