Microsoft Defender sedaj sam odklopi ogrožene računalnike z omrežja

Hitrost je glavno orožje sodobnih kibernetskih kriminalcev. Skupine, ki se ukvarjajo z izsiljevalskimi programi, poskušajo v najkrajšem možnem času okužiti čim več naprav, preden kdor koli opazi vdor. Tradicionalni postopek, kjer varnostni analitiki ročno pregledujejo opozorila in nato ukrepajo, je pogosto prepočasen. Microsoft Defender za osebne računalnike (Microsoft Defender for Endpoint) zato uvaja pomembno novost v okviru svojega širšega sistema za samodejno prekinitev napadov. Gre za funkcijo, ki ob zaznavi nevarnosti z visoko stopnjo zanesljivosti nemudoma in samodejno odklopi ogroženo delovno postajo iz omrežja.

Ko platforma prepozna aktivno kampanjo izsiljevalske programske opreme ali drug prefinjen vdor, takoj prekine vse omrežne povezave naprave. S tem se napadalcem popolnoma onemogoči dostop do sistema. Vendar pa ta izolacija ne pomeni popolne blokade komunikacije z varnostno platformo. Sistem je zasnovan tako, da naprava še naprej ohranja povezavo s storitvijo Defender. To varnostnim strokovnjakom omogoča, da nemoteno prejemajo telemetrične podatke in obdržijo popoln pregled nad dogajanjem na okuženem računalniku, kljub temu da je ta popolnoma ločen od preostalega poslovnega okolja.

Ta napredna zmožnost je namenjena končnim delovnim postajam uporabnikov, ki so vključene v upravljanje s tem Microsoftovim varnostnim orodjem. Trenutno ta funkcija ne velja za strežnike in naprave, ki niso aktivno upravljane.

Ozadje tega delovanja sloni na sistemu Microsoft Defender XDR, ki povezuje in primerja milijone različnih signalov iz končnih točk, uporabniških identitet, elektronske pošte in aplikacij SaaS. Ko se ti podatki združijo v enoten in zanesljiv pregled nad incidentom, sistem ukrepa na ravni celotnega dogodka in ne le na ravni posameznega opozorila. Če se potrdi vdor, kot je kraje podatkov za dostop ali širjenje izsiljevalskega virusa, se sproži samodejna izolacija. Napadalci tako izgubijo odskočno desko, s katere bi se lahko premikali naprej po omrežju, kradli podatke ali zaklepali sosednje sisteme. Varnostne ekipe pa obdržijo popoln nadzor.