Microsoft近日为端点安全平台Defender for Endpoint新增自动网络隔离功能,可在检测到可疑活动后自动将设备从企业网络中隔离。
据Techzine报道,一旦系统检测到端点出现可疑活动,就会自动切断其与企业网络的连接。隔离期间,设备仍可保持与Microsoft云服务的连接,方便安全团队远程开展调查和管理。该功能目前以预览版形式提供,仅支持已接入Defender for Endpoint的工作站。
Microsoft表示,这项能力属于“automatic attack disruption(自动攻击阻断)”计划的一部分,也是对现有隔离机制的扩展。其核心目标是在管理员介入前遏制攻击进一步扩散,防止攻击者在首次入侵后继续部署勒索软件或窃取数据。
在此之前,Microsoft已于2022年推出针对未受管控Windows设备的手动隔离功能,随后又扩展至Linux系统,并增加了在遭遇勒索软件攻击时自动隔离遭入侵用户账户的能力。BleepingComputer称,Microsoft还在开发另一项功能,用于自动阻断来自未知Windows终端的流量,以防未受管控系统成为网络横向扩散的入口。
记者信息
Chi-gyu Hwang
delight@d-today.co.kr