L’endpoint Microsoft Defender ora isola i dispositivi Windows non gestiti e compromessi.

Microsoft Defender ora bloccherà tutti i messaggi in entrata e in uscita da un dispositivo Windows compromesso e non gestito. Microsoft Defender for Endpoint (MDE) ha ricevuto una nuova funzionalità che tenta di rallentare e potenzialmente impedire agli aggressori di viaggiare attraverso una rete usando dispositivi compromessi e non gestiti.

Gli amministratori che gestiscono i dispositivi Windows, che possono o meno essere protetti da Microsoft Defender per Endpoint, potranno ora “possedere” computer specifici. Questa nuova funzionalità offre agli amministratori di rete la possibilità di limitare il movimento di dati, informazioni e comandi da un dispositivo che può essere compromesso dagli hacker. È interessante notare che gli amministratori potranno limitare il flusso di informazioni anche da dispositivi non protetti da MDE:

A partire da oggi, quando si sospetta che un dispositivo non registrato con Microsoft Defender per Endpoint sia stato compromesso, l’analista SOC sarà in grado di “contenerlo”. Di conseguenza, qualsiasi dispositivo registrato con Microsoft Defender per Endpoint ora bloccherà tutte le connessioni in entrata e in uscita al dispositivo sospetto.

Non è un segreto che gli hacker predano dispositivi deboli e canaglia. Una volta che tali dispositivi vengono compromessi, gli hacker hanno molta più libertà di muoversi all’interno della rete. Microsoft afferma che il 71% degli attacchi ransomware controllati dall’uomo inizia con un dispositivo compromesso.

I dispositivi Windows che fanno parte di un ambiente MDE possono essere facilmente messi in quarantena per impedire agli hacker di hackerare altri dispositivi sulla rete. Tuttavia, è spesso difficile isolare rapidamente un dispositivo che non è protetto da MDE. Il ritardo può essere costoso, poiché gli hacker potrebbero aver già compromesso altri dispositivi.

La nuova funzionalità in pratica istruisce qualsiasi dispositivo protetto da MDE a limitare le comunicazioni in entrata e in uscita con un dispositivo sospettato di essere violato. Non è ancora chiaro se Microsoft Defender for Endpoint possa contrassegnare in modo indipendente un dispositivo come sospetto e indicare ad altri dispositivi registrati con MDE di bloccare il flusso di dati. Attualmente, l’amministratore dovrà contenere il dispositivo compromesso.

La nuova funzionalità è supportata solo sui dispositivi che eseguono Windows 10 e Windows Server 2019+ protetti da Microsoft Defender per Endpoint.