Microsoft Defender sada automatski izoluje zarazene uređaje da spreči širenje ransomvera
Microsoft Defender automatski izoluje kompromitovane uređaje od mreže čim detektuje napad visokog rizika.
Šta se desilo?
Kompanija Microsoft je predstavila novu mogućnost u Microsoft Defender for Endpoint - automatsku izolaciju uređaja koji su kompromitovani. Čim platforma detektuje napad sa visokim stepenom sigurnosti, odmah prekida mrežnu konekciju zahvaćenog računara bez čekanja na ručnu intervenciju, dok pritom održava komunikaciju sa Defender servisom za potrebe analize.
Koga pogađa?
Ova funkcionalnost je namenjena primarno organizacijama koje koriste Microsoft Defender for Endpoint i njihovim korisničkim računarima koji su upravljani kroz platformu. Posebno je od koristi za kompanije koje se bore protiv ransomver napada i sofisticiranijih cyber pretnji - startapima, malim i srednjim preduzećima, kao i velikim korporacijama.
Kako se zaštititi?
- Aktivirajte automatsku izolaciju uređaja u Microsoft Defender for Endpoint ako je dostupna u vašoj verziji
- Konfigurirajte pravila za izuzimanje kritičnih poslovnih sistema kako bi zadržali neophodnu dostupnost
- Redovno pregledavajte tajmlajn incidenta i istoriju automatskih akcija u Defender portalu
- Osigurajte da su svi krajnji uređaji registrovani i upravljani kroz Defender for Endpoint
- Postavite jasne proceduro za ručno oslobađanje izolacije nakon potvrde remedijacije
Tehnički detalji
Automatska izolacija se primenjuje samo na uređaje koji su direktno uključeni u lanac napada, ne na celu mrežnu sredinu. Microsoft je uključio nekoliko zaštitnih mehanizama: izolacija je vremenski ograničena i automatski se pokreće nakon određenog vremena, operatori sigurnosti mogu ručno osloboditi uređaj, a organizacije mogu definisati pravila za iskljucivanje kritičnih sistema. Svi detalji izolacije i ponovno povezivanja beleže se u Defender portalu sa vremenskim markama i informacijom o tome šta je pokrenulo akciju.
Preporuka Sajber Radara
Ova funkcionalnost predstavlja značajan napredak u automatizaciji brze zaustavljanja ransomver napada. Preporučujemo da sve organizacije koje koriste Microsoft Defender for Endpoint redovno proveravaju da li je ova mogućnost dostupna u njihovoj konfiguraciji i da je pravilno podese sa jasnim procedurama za ručnu intervenciju gde je potrebna.