Microsoft heeft een nieuwe beveiligingsfunctie aangekondigd binnen zijn platform Microsoft Defender for Endpoint waarmee geïnfecteerde computers automatisch van het bedrijfsnetwerk kunnen worden losgekoppeld. De uitbreiding is bedoeld om cyberaanvallen sneller in te dammen en te voorkomen dat aanvallers zich na een eerste compromis verder binnen een organisatie kunnen verspreiden.
De functionaliteit is momenteel beschikbaar als preview en maakt deel uit van Microsofts bredere strategie rond geautomatiseerde incidentrespons en “automatic attack disruption”. Het systeem moet organisaties helpen sneller te reageren op dreigingen zonder dat beveiligingsmedewerkers eerst handmatig hoeven in te grijpen.
Automatische netwerkisolatie bij verdachte activiteit
Wanneer Defender for Endpoint verdachte of kwaadaardige activiteiten detecteert op een endpoint, kan het platform het betreffende systeem automatisch isoleren van de rest van het netwerk. Hierdoor wordt het apparaat afgesneden van interne communicatie met andere systemen, servers en werkstations binnen de organisatie.
De maatregel is specifiek ontworpen om zogenoemde laterale bewegingen van aanvallers te blokkeren. Cybercriminelen proberen na een succesvolle inbraak vaak aanvullende systemen te compromitteren, beheerdersrechten te verkrijgen, data te exfiltreren of ransomware uit te rollen. Door een besmet systeem direct af te zonderen, wordt het voor aanvallers aanzienlijk moeilijker om zich verder door het netwerk te bewegen.
Ondanks de isolatie blijft er wel een beveiligde verbinding actief tussen het endpoint en de cloudomgeving van Microsoft. Daardoor kunnen securityteams het apparaat op afstand blijven onderzoeken, aanvullende analyses uitvoeren, logs verzamelen en indien nodig herstelacties uitvoeren zonder fysieke toegang tot het systeem.
Volgens Microsoft moet deze aanpak organisaties helpen om de impact van aanvallen te beperken in de cruciale eerste minuten nadat een compromis is vastgesteld.
Focus op verkorting van ‘dwell time’
De uitbreiding past binnen een bredere ontwikkeling in de cybersecuritysector waarbij leveranciers steeds meer inzetten op geautomatiseerde detectie- en responsmechanismen. Aanvallers opereren steeds sneller en geavanceerder. In veel moderne ransomware-aanvallen zit er nog maar weinig tijd tussen de initiële inbraak en het daadwerkelijk versleutelen van systemen of het stelen van gevoelige gegevens.
Beveiligingsbedrijven spreken hierbij vaak over de zogenoemde “dwell time”: de periode waarin een aanvaller ongemerkt actief blijft binnen een netwerk voordat de aanval wordt ontdekt of gestopt. Hoe langer die periode duurt, hoe groter doorgaans de schade.
Door verdachte systemen automatisch te isoleren probeert Microsoft die dwell time aanzienlijk te verkorten. Het doel is om aanvallers zo vroeg mogelijk af te remmen voordat zij aanvullende systemen kunnen bereiken, accounts kunnen overnemen of bedrijfskritische gegevens kunnen buitmaken.
Onderdeel van bredere Defender-strategie
Microsoft positioneert Defender for Endpoint al geruime tijd als een geïntegreerd beveiligingsplatform waarin endpointdetectie, dreigingsanalyse, geautomatiseerde respons en cloudgebaseerde beveiligingsinformatie samenkomen. De nieuwe isolatiefunctie vormt volgens het bedrijf een verdere uitbreiding van die strategie.
Met name organisaties die grote aantallen endpoints beheren of beperkte capaciteit hebben binnen hun securityteams zouden baat moeten hebben bij automatische responsmechanismen. In veel omgevingen genereren beveiligingssystemen dagelijks grote hoeveelheden waarschuwingen, waardoor het voor analisten lastig kan zijn om iedere melding direct handmatig te beoordelen.
Door kritieke acties automatisch uit te voeren, zoals het isoleren van een potentieel gecompromitteerd systeem, wil Microsoft de reactietijd bij incidenten verkorten en de operationele druk op beveiligingsteams verminderen.
Herstel en beheer blijven mogelijk
Wanneer een systeem automatisch is geïsoleerd, behouden beheerders de mogelijkheid om het endpoint nader te onderzoeken en handmatig weer toegang tot het netwerk te geven zodra het risico is weggenomen. De functionaliteit biedt organisaties daarmee controle over het verdere herstelproces.
De nieuwe mogelijkheid werkt voorlopig uitsluitend op apparaten die al zijn geïntegreerd binnen Defender for Endpoint. Het gaat in eerste instantie vooral om beheerde werkstations binnen zakelijke omgevingen.
Voortbouwend op eerdere containment-functies
De uitbreiding bouwt voort op eerdere containment- en isolatiefuncties die Microsoft de afgelopen jaren heeft toegevoegd aan Defender for Endpoint. In 2022 introduceerde het bedrijf al ondersteuning voor het handmatig isoleren van unmanaged Windows-systemen die verdacht gedrag vertoonden. Later werd die ondersteuning uitgebreid naar Linux-systemen.
Daarnaast introduceerde Microsoft eerder mechanismen waarmee gecompromitteerde gebruikersaccounts tijdens ransomware-incidenten automatisch kunnen worden beperkt of geïsoleerd om verdere verspreiding van aanvallen tegen te gaan.
Volgens technische documentatie werkt Microsoft bovendien aan aanvullende beveiligingsmaatregelen waarmee verkeer van onbekende of onbeheerde Windows-endpoints automatisch kan worden geblokkeerd. Daarmee wil het bedrijf voorkomen dat aanvallers ongecontroleerde systemen gebruiken als springplank binnen bedrijfsnetwerken.
Ook uitbreiding van Linux-beveiliging
Naast de nieuwe isolatiefunctie breidt Microsoft Defender for Endpoint ook verder uit op Linux-platformen. Eerder deze maand maakte het bedrijf bekend dat Defender in preview ondersteuning krijgt voor geplande antivirusscans op Linux-systemen.
Beheerders kunnen deze scans centraal configureren via het Defender-portaal of beheren via commandoregeltools. Daarmee probeert Microsoft zijn endpointbeveiliging consistenter beschikbaar te maken over verschillende besturingssystemen en hybride IT-omgevingen.
Steeds meer geautomatiseerde verdediging
De introductie van automatische endpointisolatie onderstreept de bredere trend binnen de cybersecuritymarkt waarbij beveiligingsleveranciers steeds meer inzetten op autonome en geautomatiseerde verdedigingstechnieken.
Nu aanvallen sneller verlopen en organisaties steeds grotere en complexere IT-omgevingen beheren, wordt het voor securityteams moeilijker om iedere dreiging handmatig op tijd te detecteren en te neutraliseren. Automatische containmentmaatregelen moeten helpen om aanvallen sneller te stoppen en de potentiële schade te beperken voordat menselijke analisten volledig kunnen ingrijpen.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack