Microsoft breidt zijn beveiligingsplatform Defender for Endpoint uit met een functie die geïnfecteerde systemen automatisch van het bedrijfsnetwerk kan loskoppelen. De nieuwe mogelijkheid moet voorkomen dat aanvallers zich na een eerste inbraak verder door een organisatie kunnen bewegen, bijvoorbeeld om ransomware uit te rollen of data buit te maken.
De functionaliteit is voorlopig beschikbaar als preview binnen Microsoft Defender for Endpoint. Zodra het platform verdachte activiteit detecteert op een apparaat, kan het systeem dat endpoint automatisch isoleren van de rest van het netwerk. Daarbij blijft wel een beveiligde verbinding met de cloudomgeving van Microsoft actief, zodat securityteams het apparaat op afstand kunnen blijven onderzoeken en beheren.
Volgens Microsoft maakt de uitbreiding deel uit van het bredere “automatic attack disruption”-programma. Daarmee probeert het bedrijf cyberaanvallen sneller in te dammen zonder dat beheerders eerst handmatig hoeven in te grijpen. In technische documentatie stelt Microsoft dat automatische isolatie de kans moet verkleinen dat aanvallers lateraal door een netwerk bewegen of extra schade veroorzaken.
De functie werkt voorlopig alleen op werkstations die al zijn opgenomen in Defender for Endpoint. Securityteams kunnen een systeem na onderzoek bovendien handmatig weer toegang geven tot het netwerk zodra de risico’s zijn weggenomen.
De stap past in een bredere ontwikkeling binnen cybersecurity waarbij leveranciers steeds meer inzetten op geautomatiseerde responsmechanismen. Aanvallers werken namelijk steeds sneller. De tijd tussen een eerste inbraak en het uitrollen van ransomware of het stelen van gevoelige gegevens wordt volgens beveiligingsbedrijven steeds korter.
Door direct een besmet systeem af te zonderen, hopen leveranciers zoals Microsoft die zogeheten dwell time te beperken. Het idee is dat een aanvaller minder mogelijkheden krijgt om andere systemen te bereiken, accounts over te nemen of gegevens weg te sluizen.
Microsoft positioneert Defender for Endpoint al langer als een platform dat detectie, dreigingsanalyse en geautomatiseerde respons combineert. De nieuwe isolatiefunctie moet organisaties helpen sneller op incidenten te reageren, vooral in omgevingen waar securityteams niet continu handmatig alle meldingen kunnen opvolgen.
Uitbreiding van eerdere containment-functies
De nieuwe functie bouwt voort op eerdere mogelijkheden binnen Defender for Endpoint. Microsoft introduceerde in 2022 al opties om besmette unmanaged Windows-systemen handmatig af te schermen van netwerkverkeer. Later volgde ondersteuning voor Linux-systemen en automatische isolatie van gecompromitteerde gebruikersaccounts bij ransomware-aanvallen.
Volgens BleepingComputer werkt Microsoft daarnaast aan extra beveiligingsfuncties die verkeer van onbekende Windows-endpoints automatisch kunnen blokkeren. Daarmee wil het bedrijf voorkomen dat aanvallers zich via onbeheerde systemen verder door een netwerk verspreiden.
Eerder deze maand maakte Microsoft ook bekend dat Defender for Endpoint in preview ondersteuning krijgt voor geplande antivirusscans op Linux-systemen. Beheerders kunnen die scans centraal configureren via het Defender-portaal of via commandoregeltools.