A Microsoft está a testar uma nova funcionalidade no Defender for Endpoint que promete mudar a forma como as empresas lidam com intrusões informáticas. A partir de agora, a plataforma consegue isolar automaticamente dispositivos comprometidos para evitar que os atacantes se espalhem pela rede. Esta novidade encontra-se em fase de pré-visualização e integra o sistema de interrupção automática de ataques da tecnológica.
Uma barreira contra a propagação de ameaças
Quando o sistema identifica uma campanha de ransomware activa ou uma intrusão sofisticada, corta de imediato as ligações de rede do equipamento afectado. No entanto, a máquina mantém o canal de comunicação aberto com o próprio serviço Defender for Endpoint. Isto significa que os analistas de segurança continuam a receber dados de telemetria e mantêm a visibilidade sobre o computador, mesmo enquanto este se encontra isolado.
A capacidade foca-se em estações de trabalho de utilizadores finais geridas pela plataforma, não se aplicando, para já, a servidores ou dispositivos não geridos. O isolamento rápido é crucial em ambientes empresariais onde a gestão de dezenas de máquinas com sistemas operativos recentes é uma realidade diária.
Salvaguardas para evitar bloqueios operacionais
Para garantir que o isolamento não se transforma num obstáculo para o funcionamento das empresas, a Microsoft implementou várias medidas de protecção. Em primeiro lugar, a contenção tem um limite de tempo, o que significa que o isolamento é revertido de forma automática após um período definido, o que garante que os dispositivos não ficam desligados da rede de permanentemente.
Em segundo lugar, existe a possibilidade de intervenção manual, o que permite que as equipas de segurança cancelem o isolamento a qualquer momento, logo após concluírem os passos de investigação e mitigação do problema. Além disso, o sistema aplica um direccionamento restrito, pois isola apenas os dispositivos directamente implicados na cadeia de ataque e nunca o ambiente informático na sua totalidade.
Por fim, as organizações podem configurar regras de exclusão para máquinas críticas, para assegurar que os equipamentos de alta prioridade mantêm determinados processos e destinos de rede acessíveis, em vez de sofrerem um corte total de ligação.
Auditoria e resposta imediata
Após a aplicação do isolamento automático, os operadores de segurança podem auditar todo o rasto de actividade directamente no portal do Microsoft Defender. O separador de actividades regista cada evento de bloqueio e desbloqueio, onde se inclui a data, o alerta que desencadeou a acção e a entidade responsável.
Grupos de cibercriminosos dependem fortemente da velocidade para se moverem lateralmente numa rede. Ao automatizar a contenção no momento exacto em que um sinal de alta confiança é detectado, a Microsoft elimina o atraso crítico entre a detecção e a resposta, o que reduz drasticamente o impacto financeiro e a perda de produtividade.
