Microsoft กำลังทดสอบความสามารถใหม่ของ Defender for Endpoint ที่จะทำการ isolate อุปกรณ์ที่ถูกโจมตีออกโดยอัตโนมัติ เพื่อขัดขวางความพยายามของผู้โจมตีในการขยายผลการโจมตีไปยังส่วนอื่น ๆ ภายในเครือข่าย
ขณะนี้ฟีเจอร์ดังกล่าวเปิดให้ใช้งานใน Preview mode และทำงานเป็นส่วนหนึ่งของการขัดขวางการโจมตีโดยอัตโนมัติ ซึ่งเป็นฟีเจอร์ที่ออกแบบมาเพื่อจำกัดขอบเขตการโจมตี, ลดผลกระทบ และเพิ่มเวลาให้ทีมรักษาความปลอดภัยในการแก้ไขปัญหา
อุปกรณ์ Endpoint ที่ถูกโจมตี ซึ่งถูก isolate ออกโดยอัตโนมัติ จะถูกตัดการเชื่อมต่อจากเครือข่ายเพื่อลดความเสี่ยงที่จะได้รับผลกระทบเพิ่มเติม แต่จะยังคงรักษาสถานะการเชื่อมต่อกับบริการ Microsoft Defender for Endpoint ไว้ เพื่อทำการตรวจสอบอุปกรณ์ดังกล่าวต่อไป
Microsoft ระบุว่า "เมื่ออุปกรณ์ในองค์กรของคุณถูกสงสัยว่าถูกโจมตี Microsoft Defender for Endpoint สามารถ isolate อุปกรณ์ดังกล่าวออกโดยอัตโนมัติ ซึ่งเป็นส่วนหนึ่งของกระบวนการขัดขวางการโจมตีอัตโนมัติ"
"การแยกอุปกรณ์อัตโนมัติช่วยลดความเสี่ยงของผลกระทบเพิ่มเติมที่อาจเกิดกับองค์กร จำกัดการโจมตีของแฮ็กเกอร์ และป้องกันผลกระทบต่าง ๆ เช่น การขโมยข้อมูล และการแพร่กระจายของแรนซัมแวร์"
การ isolate อุปกรณ์อัตโนมัติจะทำงานเฉพาะกับ Workstations ของผู้ใช้ที่ได้รับการลงทะเบียนเข้าสู่ระบบ และจัดการโดย Microsoft Defender for Endpoint เท่านั้น
ตามที่ Microsoft ได้อธิบายไว้ ผู้ดูแลระบบรักษาความปลอดภัยสามารถยกเลิกการ isolate อุปกรณ์ได้ตลอดเวลาหลังจากเสร็จสิ้นการตรวจสอบเหตุการณ์ และลดความเสี่ยงแล้ว
สำหรับการปลดอุปกรณ์ออกจากการ isolate อัตโนมัติ ให้เลือกอุปกรณ์ที่ต้องการจาก "Device inventory" หรือเปิดไปที่หน้าของอุปกรณ์นั้น แล้วเลือก "Release from isolation" จากเมนูการดำเนินการ (action menu)
เมื่อเกือบสี่ปีที่แล้ว ในเดือนมิถุนายน 2022 Microsoft ได้ประกาศว่าผู้ดูแลระบบสามารถควบคุมอุปกรณ์ Windows ที่ถูกโจมตี และไม่ได้อยู่ภายใต้การจัดการได้ด้วยตนเอง โดยการตัดการสื่อสารทั้งขาเข้า และขาออกกับอุปกรณ์ที่ลงทะเบียนไว้กับ Defender for Endpoint
นอกจากนี้ Microsoft ยังได้เริ่มทดสอบการรองรับการ isolate อุปกรณ์สำหรับ Defender for Endpoint บนอุปกรณ์ Linux ที่ลงทะเบียนเข้าระบบเมื่อเดือนมกราคม 2023 โดยฟีเจอร์ดังกล่าวเปิดให้ใช้งานอย่างเต็มรูปแบบในเดือนตุลาคม 2023
ในเดือนเดียวกันนั้น บริษัทยังเปิดเผยว่า Defender for Endpoint สามารถแยกบัญชีผู้ใช้ที่ถูกบุกรุกได้เช่นกัน ซึ่งเป็นส่วนหนึ่งของระบบขัดขวางการโจมตีอัตโนมัติ เพื่อบล็อกการแพร่กระจายในเครือข่ายของการโจมตีด้วยแรนซัมแวร์แบบ hands-on-keyboard
ล่าสุด Microsoft ได้เริ่มทดสอบฟีเจอร์ใหม่อีกรายการสำหรับแพลตฟอร์มรักษาความปลอดภัยอุปกรณ์ระดับองค์กร Defender for Endpoint ซึ่งจะบล็อกการรับส่งข้อมูลทั้งเข้า และออกจากอุปกรณ์ Windows ที่ระบบไม่รู้จักโดยอัตโนมัติ เพื่อป้องกันไม่ให้ผู้โจมตีเจาะเข้าไปยังอุปกรณ์อื่น ๆ ในเครือข่ายที่ยังไม่ถูกโจมตี
เมื่อต้นเดือนที่ผ่านมา Microsoft ยังได้เปิดเผยฟีเจอร์ใน Preview mode อีกตัวของ Defender for Endpoint ที่จะช่วยให้ผู้ดูแลระบบสามารถตั้งเวลาสแกนไวรัสล่วงหน้าบนระบบ Linux ที่ลงทะเบียนไว้ได้ โดยใช้งานผ่าน Microsoft Defender portal การกำหนดค่า JSON ที่จัดการด้วย mdatp หรือ command-line mdatp
บริษัทระบุว่า "การตั้งเวลาสแกนล่วงหน้ารองรับทั้งการสแกนด่วนรายวัน การสแกนด่วนตามช่วงเวลาที่กำหนด และการสแกนแบบเต็มรูปแบบรายสัปดาห์ พร้อมตัวเลือกสำหรับการดำเนินการที่มีลำดับความสำคัญต่ำ การกำหนดเวลาในช่วงเวลาที่ไม่ได้ใช้งาน และเวลาเริ่มต้นแบบสุ่ม"
ที่มา : bleepingcomputer