Microsoft กำลังทดสอบฟีเจอร์ใหม่ใน Defender for Endpoint ที่สามารถบล็อกการรับส่งข้อมูลระหว่าง undiscovered endpoints เพื่อป้องกันไม่ให้ผู้โจมตีสามารถโจมตีต่อไปภายในเครือข่ายได้
โดยตามข้อมูลที่บริษัทเปิดเผยเมื่อต้นสัปดาห์ที่ผ่านมา ฟีเจอร์นี้จะทำงานผ่านการจำกัด IP addresses ของอุปกรณ์ที่ยังไม่ผ่านการค้นพบ หรือยังไม่ได้เชื่อมต่อกับระบบ Defender for Endpoint
Microsoft ระบุว่า ฟีเจอร์ใหม่นี้จะช่วยป้องกันไม่ให้ผู้โจมตีสามารถโจมตีต่อไปยังอุปกรณ์อื่นที่ยังไม่ถูกบุกรุก โดยการบล็อกการเชื่อมต่อทั้งขาเข้า และขาออกกับอุปกรณ์ที่ใช้ IP addresses ที่ถูก contained
Microsoft อธิบายว่า การ contain IP addresses ที่เชื่อมโยงกับอุปกรณ์ที่ยังไม่ถูกค้นพบ หรืออุปกรณ์ที่ยังไม่ได้เชื่อมต่อกับ Defender for Endpoint จะทำโดยอัตโนมัติผ่านกระบวนการหยุดการโจมตีอัตโนมัติ ซึ่ง Contain IP policy จะบล็อก IP address ที่เป็นอันตรายเมื่อ Defender for Endpoint ตรวจพบว่า IP ดังกล่าวเกี่ยวข้องกับอุปกรณ์ที่ยังไม่ได้ถูกค้นพบ หรือยังไม่ได้มีการเชื่อมต่อ
นอกจากนี้ ผ่านกระบวนการหยุดการโจมตีอัตโนมัติ Defender for Endpoint ยังสามารถระบุอุปกรณ์ที่เป็นอันตราย และตรวจสอบบทบาทของอุปกรณ์นั้น เพื่อใช้การตั้งค่า policy ที่เหมาะสมในการ Contain critical asset โดยอัตโนมัติ การ contain นี้จะมีความละเอียด โดยจะบล็อกเฉพาะพอร์ต และการเชื่อมต่อที่เกี่ยวข้อง
ฟีเจอร์ใหม่นี้จะสามารถใช้งานได้กับอุปกรณ์ที่เชื่อมต่อกับ Defender for Endpoint และใช้ระบบปฏิบัติการ Windows 10, Windows 2012 R2, Windows 2016 หรือ Windows Server 2019 ขึ้นไป
ผู้ดูแลระบบยังสามารถยกเลิกการ Contain IP ได้ตลอดเวลา โดยการเลือก "Contain IP" ใน "Action Center" และคลิก "Undo" ในเมนูที่แสดงขึ้นมา
ตั้งแต่เดือนมิถุนายน 2022, Defender for Endpoint สามารถ isolate อุปกรณ์ Windows ที่ถูกแฮ็ก และไม่ได้รับการจัดการออกจากเครือข่าย โดยบล็อกการเชื่อมต่อทั้งหมดระหว่างอุปกรณ์ที่ถูกโจมตี และเครือข่าย เพื่อป้องกันไม่ให้ผู้โจมตีสามารถโจมตีต่อไปยังอุปกรณ์อื่นในเครือข่าย
นอกจากนี้ Microsoft ยังเริ่มทดสอบการรองรับฟีเจอร์การ isolate อุปกรณ์บน Defender for Endpoint สำหรับอุปกรณ์ที่ใช้ระบบปฏิบัติการ Linux โดยฟีเจอร์นี้จะพร้อมใช้งานทั่วไปบน macOS และ Linux ในเดือนตุลาคม 2023
ในเดือนเดียวกันนั้น บริษัทได้เปิดเผยว่า Defender for Endpoint สามารถแยกบัญชีผู้ใช้งานที่ถูกบุกรุกออกจากเครือข่าย เพื่อป้องกันการแพร่กระจายของการโจมตีภายในเครือข่าย โดยเฉพาะในกรณีการโจมตีแบบ ransomware ที่ผู้โจมตีใช้การควบคุมผ่านแป้นพิมพ์ โดยอาศัยกระบวนการหยุดการโจมตีอัตโนมัติ
ที่มา : bleepingcomputer
You must be logged in to post a comment.