A Microsoft está a testar uma nova funcionalidade no Defender for Endpoint que permite isolar automaticamente computadores comprometidos. O objetivo passa por impedir que os piratas informáticos se consigam mover lateralmente através da rede das empresas após uma invasão inicial.
Conforme detalhado na documentação oficial da Microsoft, esta capacidade encontra-se em fase de antevisão e funciona como parte integrante do sistema de interrupção automática de ataques. A ferramenta foi desenhada para conter ameaças rapidamente, limitar o impacto das mesmas e dar mais margem de manobra às equipas de segurança.
Como funciona a contenção de ameaças
Quando uma estação de trabalho de um utilizador final é dada como suspeita ou comprometida, o sistema corta imediatamente a sua ligação à rede corporativa. Esta ação previne consequências graves, como o roubo de dados sensíveis ou a propagação de ransomware para outros terminais. Apesar do bloqueio, o equipamento mantém a comunicação exclusiva com o serviço de proteção da marca, garantindo que o dispositivo continua a ser monitorizado em tempo real.
É importante sublinhar que este bloqueio automático atua apenas em máquinas que se encontrem devidamente configuradas e geridas pelo serviço de segurança empresarial. Assim que a equipa técnica conclui a investigação ao incidente e resolve o problema central, pode levantar a restrição manualmente através das opções do inventário no painel de controlo, restaurando o acesso normal do utilizador.
Uma estratégia em expansão no ecossistema de segurança
Esta nova camada de defesa junta-se a um conjunto de soluções que a tecnológica tem vindo a expandir. Em junho de 2022, há cerca de quatro anos, os administradores já tinham recebido a capacidade de isolar manualmente dispositivos Windows que não fossem ativamente geridos pela plataforma, cortando-lhes as comunicações externas.
Durante o ano de 2023, este suporte de isolamento foi alargado de forma geral aos sistemas Linux e, pouco tempo depois, aplicou-se a mesma lógica às contas de utilizador comprometidas em ataques de ransomware. Recentemente, a empresa começou ainda a testar o bloqueio de tráfego para equipamentos desconhecidos na rede e introduziu opções detalhadas para o agendamento de verificações antivírus em várias arquiteturas de sistema.
Nenhum comentário
Seja o primeiro!