Microsoft introduce o funcție nouă în Defender care izolează automat PC-urile atacate de ransomware

Microsoft a anunțat o nouă funcție importantă pentru Microsoft Defender for Endpoint, iar schimbarea ar putea reduce semnificativ impactul atacurilor ransomware asupra companiilor. Sistemul poate acum să izoleze automat dispozitivele compromise imediat ce detectează un atac activ, fără să mai aștepte intervenția unui administrator IT.

Noua funcție face parte din strategia Microsoft de automatizare a răspunsului la incidente de securitate și este integrată în platforma Defender XDR. Scopul este simplu: limitarea rapidă a propagării unui atac înainte ca acesta să afecteze alte calculatoare din rețea, scrie Cyber Security News.

Cum funcționează izolarea automată a dispozitivelor compromise

Atunci când sistemul detectează cu un nivel ridicat de încredere un atac ransomware sau o intruziune complexă în desfășurare, Defender for Endpoint întrerupe imediat conexiunile de rețea ale dispozitivului afectat. Practic, calculatorul compromis este separat automat de restul infrastructurii companiei.

Important este că izolarea nu taie complet comunicarea cu serviciile Microsoft Defender. Sistemul continuă să trimită telemetrie și informații către platforma de securitate, ceea ce le permite echipelor IT să monitorizeze în continuare dispozitivul și să investigheze incidentul.

Microsoft spune că funcția este disponibilă momentan pentru stațiile de lucru administrate prin Defender for Endpoint și nu se aplică serverelor sau dispozitivelor neadministrate.

Platforma analizează simultan semnale provenite din mai multe surse, inclusiv endpoint-uri, identități, email-uri și aplicații SaaS. Dacă sunt detectate semne clare ale unui atac activ, sistemul poate lua măsuri automate la nivelul întregului incident, nu doar pentru o alertă individuală.

În practică, asta înseamnă că atacatorii pierd rapid accesul la dispozitivul compromis și nu îl mai pot folosi pentru propagarea ransomware-ului, furt de date sau mișcare laterală în rețea.

Vezi și:

Microsoft confirmă două vulnerabilități grave în Defender exploatate deja de hackeri. Ce trebuie să verifici urgent dacă ești pe Windows

Alerta falsă care a speriat administratorii Windows: Microsoft Defender a confundat certificate DigiCert legitime cu malware

Microsoft încearcă să reducă timpul dintre detecție și răspuns

Compania susține că noul sistem a fost gândit special pentru a reduce una dintre cele mai mari probleme din securitatea cibernetică: timpul pierdut între detectarea unui atac și intervenția efectivă.

Grupările ransomware se bazează adesea pe viteză. Cu cât se pot deplasa mai rapid prin infrastructura unei organizații, cu atât pot provoca mai multe daune înainte să fie blocate. Prin automatizarea izolării dispozitivelor compromise, Microsoft încearcă să reducă drastic această fereastră critică.

Totuși, compania spune că au fost introduse și mai multe mecanisme de protecție pentru a evita blocarea inutilă a sistemelor importante. Izolarea este temporară și poate fi anulată automat după o anumită perioadă de timp. În plus, administratorii IT pot elimina manual restricțiile imediat ce investigația este finalizată.

Organizațiile pot configura inclusiv excepții pentru dispozitive critice, astfel încât anumite calculatoare importante să nu fie complet deconectate în cazul unei alerte.

Toate acțiunile automate sunt înregistrate în portalul Microsoft Defender, unde echipele de securitate pot vedea exact momentul în care a fost aplicată izolarea, alerta care a declanșat-o și statusul operațiunii.

Jucătorii internaționali ai naționalelor Spaniei, Germaniei, Argentinei, Japoniei și Mexicului poartă pantofii personalizați adidas Originals Hyperboost Euphoria în timpul meciurilor de deschidere FIFA World Cup 2026