TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Microsoft เปิดตัวความสามารถใหม่ใน Defender for Endpoint ที่สามารถแยกอุปกรณ์ที่ถูกบุกรุกออกจากเครือข่ายโดยอัตโนมัติ เพื่อป้องกันไม่ให้ผู้โจมตีเคลื่อนย้ายภายในระบบได้ โดยขณะนี้อยู่ในสถานะ Preview
ฟีเจอร์ดังกล่าวทำงานเป็นส่วนหนึ่งของ automatic attack disruption ซึ่งเป็นความสามารถที่ออกแบบมาเพื่อควบคุมการโจมตี จำกัดผลกระทบ และให้เวลาทีม security มากขึ้นในการตอบสนองและแก้ไขสถานการณ์ เมื่ออุปกรณ์ถูกระบุว่าอาจถูกบุกรุก ระบบจะแยกอุปกรณ์ออกจากเครือข่ายโดยอัตโนมัติ เพื่อลดความเสี่ยงจากการแพร่กระจายของ ransomware และการขโมยข้อมูล ฟีเจอร์นี้จะช่วยป้องกันไม่ให้ผู้โจมตีใช้อุปกรณ์ที่ถูกยึดครองเป็นจุดเริ่มต้นในการโจมตีอุปกรณ์อื่นบนเครือข่ายเดียวกัน
อุปกรณ์ที่ถูกแยกออกจะยังคงเชื่อมต่อกับ Microsoft Defender for Endpoint service เพื่อให้สามารถติดตามและตรวจสอบอุปกรณ์ได้อย่างต่อเนื่อง ฟีเจอร์นี้ทำงานเฉพาะบน workstation ของผู้ใช้งานที่ถูก onboard เข้ากับ Defender for Endpoint แล้วเท่านั้น ทีม security สามารถปลดการแยกอุปกรณ์ได้ตลอดเวลาผ่าน Device inventory หรือหน้า Device page หลังจากตรวจสอบเหตุการณ์และแก้ไขความเสี่ยงเรียบร้อยแล้ว
ก่อนหน้านี้ Microsoft ได้เพิ่มความสามารถในการแยกอุปกรณ์แบบ manual สำหรับ unmanaged Windows device ตั้งแต่กลางปี 2022 ตามด้วยการรองรับ Linux device ในปี 2023 นอกจากนี้ยังมีฟีเจอร์แยก user account ที่ถูกบุกรุกโดยอัตโนมัติเพื่อป้องกัน lateral movement ในการโจมตีแบบ ransomware อีกด้วย ล่าสุด Microsoft ยังทดสอบการบล็อก traffic ไปยัง undiscovered endpoint บนเครือข่าย และเพิ่มฟีเจอร์ preview สำหรับการตั้งเวลาสแกน antivirus บนระบบ Linux ผ่าน Microsoft Defender portal
