Microsoft laat Defender geïnfecteerde pc's automatisch isoleren

In dit artikel:

Microsoft breidt Defender for Endpoint uit met een previewfunctie die geïnfecteerde apparaten automatisch van het bedrijfsnetwerk kan afschermen. Wanneer verdachte activiteit wordt gedetecteerd, kan het endpoint geïsoleerd worden terwijl er een beveiligde verbinding met Microsofts cloud openblijft, zodat securityteams het systeem op afstand blijven onderzoeken en beheren. De uitbreiding maakt deel uit van Microsofts “automatic attack disruption”-aanpak en is bedoeld om de zogenaamde dwell time te verkleinen: door snelle isolatie moet laterale beweging van aanvallers, het uitrollen van ransomware of datadiefstal worden bemoeilijkt.

De automatische isolatie geldt voorlopig alleen voor werkstations die al in Defender for Endpoint zijn opgenomen; na onderzoek kunnen beheerders een apparaat handmatig weer toegang geven. De stap volgt een bredere trend in cybersecurity waarbij leveranciers reageren op korter wordende aanvallercycli met meer geautomatiseerde responsmogelijkheden.

Dit is een vervolgstap op eerdere containment-opties binnen Defender for Endpoint: sinds 2022 waren er al manieren om (onbeheerste) Windows-systemen handmatig af te schermen, later kwam Linux-ondersteuning en automatische afscherming van gecompromitteerde gebruikersaccounts bij ransomware. Volgens berichten werkt Microsoft bovendien aan aanvullende functies om verkeer van onbekende Windows-endpoints automatisch te blokkeren; bovendien kreeg Defender for Endpoint deze maand een preview voor geplande antivirusscans op Linux.