Microsoft đã bổ sung tính năng tự động cô lập thiết bị có dấu hiệu bị xâm nhập khỏi mạng doanh nghiệp vào nền tảng bảo mật endpoint Defender for Endpoint, đồng thời vẫn duy trì kết nối với dịch vụ đám mây của hãng để đội ngũ bảo mật có thể điều tra và xử lý từ xa.

Theo Techzine, khi phát hiện hoạt động đáng ngờ trên thiết bị, hệ thống sẽ ngay lập tức cô lập endpoint khỏi mạng doanh nghiệp. Trong thời gian này, thiết bị vẫn duy trì kết nối với dịch vụ đám mây của Microsoft, qua đó hỗ trợ công tác điều tra và ứng phó từ xa.

Tính năng hiện được cung cấp dưới dạng bản preview và mới chỉ hoạt động trên các máy trạm đã đăng ký Defender for Endpoint.

Microsoft cho biết đây là một phần trong chương trình “automatic attack disruption”. Tính năng này mở rộng cơ chế cô lập hiện có, với mục tiêu ngăn chặn sự lây lan của các cuộc tấn công mà không cần quản trị viên can thiệp. Cách tiếp cận này nhằm chặn động thái tấn công trước khi tin tặc phát tán ransomware hoặc đánh cắp dữ liệu ngay từ giai đoạn đầu xâm nhập.

Trước đó, Microsoft đã ra mắt tính năng cô lập thủ công cho các thiết bị Windows chưa được quản lý vào năm 2022. Sau đó, hãng tiếp tục mở rộng hỗ trợ sang Linux và bổ sung cơ chế tự động cô lập các tài khoản người dùng bị xâm nhập trong các vụ tấn công ransomware.

Theo BleepingComputer, Microsoft cũng đang phát triển thêm một tính năng có khả năng tự động chặn lưu lượng từ các endpoint Windows chưa được nhận diện, nhằm ngăn nguy cơ lây lan trong mạng thông qua các hệ thống chưa được quản lý.