مایکروسافت در حال آزمایش قابلیت جدیدی در Defender for Endpoint است که با استفاده از ایزولهسازی خودکار (Automatic Isolation)، سیستمهای آلوده یا مشکوک به نفوذ را بهسرعت از شبکه سازمان جدا میکند تا جلوی گسترش حمله و حرکت جانبی (Lateral Movement) مهاجمان گرفته شود. قابلیت ایزولهسازی خودکار که در حالت پیشنمایش (Preview Mode) ارائه شده، بهعنوان بخشی از یک سازوکار دفاعی برای مهار خودکار حمله و کاهش دامنه اثر نفوذ طراحی شده است تا زمان بیشتری را برای تیمهای امنیتی جهت انجام اقدامات اصلاحی و مقابله با تهدیدات فراهم کند.
نحوه عملکرد ایزولهسازی خودکار در Microsoft Defender for Endpoint
به گفته مایکروسافت، زمانی که یک دستگاه در سازمان آلوده یا مشکوک به نفوذ باشد، Defender for Endpoint میتواند آن را بهصورت خودکار از شبکه سازمان جدا کند. هدف از این اقدام، جلوگیری از گسترش رخداد امنیتی، توقف حرکت جانبی مهاجم در شبکه و کاهش ریسکهایی مانند افشای دادهها و انتشار باجافزار است.
در این وضعیت، دستگاه آلوده دیگر به شبکه داخلی سازمان دسترسی ندارد، اما همچنان به سرویس Microsoft Defender for Endpoint متصل باقی میماند. این سازوکار باعث میشود مانیتورینگ امنیتی و جمعآوری دادههای تحلیلی ادامه یابد و تیمهای امنیتی بدون از دست دادن دید عملیاتی نسبت به رخداد، وضعیت سیستم را بررسی کنند.
چرا حفظ اتصال به سرویس Defender ضروری است؟
قطع ارتباط شبکهای اگرچه برای مهار حمله ضروری است، اما در صورت از دست رفتن تلهمتری میتواند فرآیند پاسخ به رخداد را کُند و محدود کند. در طراحی مایکروسافت، حتی پس از فعال شدن ایزولهسازی خودکار، دستگاه همچنان به سرویس Defender for Endpoint متصل باقی میماند. از این طریق همچنان امکان مانیتورینگ وضعیت سیستم، جمعآوری لاگها و دادههای امنیتی و تصمیمگیری برای اقدامات اصلاحی برقرار میماند.
قابلیت ایزولهسازی خودکار برای چه دستگاههایی فعال میشود؟
طبق اعلام مایکروسافت، قابلیت ایزولهسازی خودکار فعلاً فقط برای ایستگاههای کاری کاربران (User Workstations) قابل استفاده است؛ آن هم در شرایطی که این دستگاهها در Defender for Endpoint ثبت و مدیریت شده باشند. این محدودیت به این معناست که در حالت پیشنمایش، تمرکز اصلی روی Endpointهای رایج سازمانی است که معمولاً نقطه ورود اولیه مهاجمان یا بستر گسترش حملات محسوب میشوند.
چگونه دستگاه از وضعیت ایزولهسازی خارج میشود؟
مایکروسافت اعلام کرده است که اپراتورهای امنیتی پس از تکمیل بررسی رخداد امنیتی و رفع ریسکها، میتوانند در هر زمان دستگاه را از وضعیت ایزولهسازی خودکار خارج کنند.
برای انجام این کار، مراحل زیر طی میشود:
- انتخاب دستگاه از بخش Device Inventory
- یا ورود به صفحه اختصاصی همان دستگاه
- انتخاب گزینه Release from Isolation از منوی عملیات
با انجام این مراحل، دستگاه دوباره به شبکه سازمانی بازمیگردد. این فرآیند باعث میشود کنترل کامل بر ایزولهسازی خودکار همچنان در اختیار تیم امنیت باقی بماند و امکان مدیریت و بازگردانی آن در هر زمان فراهم باشد.
سابقه مایکروسافت در ایزولهسازی
مایکروسافت در ژوئن 2022 اعلام کرده بود که ادمینها میتوانند دستگاههای ویندوزی مدیریتنشده و مشکوک به نفوذ را بهصورت دستی ایزوله کنند؛ اقدامی که با قطع ارتباط ورودی و خروجی این سیستمها از گسترش تهدید جلوگیری میکرد.
همچنین مایکروسافت در ژانویه 2023 قابلیت ایزولهسازی دستگاه در Defender for Endpoint برای سیستمهای لینوکسِ متصل به این پلتفرم را وارد فاز آزمایشی کرد. این قابلیت در اکتبر 2023 به مرحله دسترسپذیری عمومی (General Availability – GA) رسید.
در همان بازه، مایکروسافت اعلام کرد Defender for Endpoint برای جلوگیری از حرکت جانبی در حملات باجافزاری hands-on-keyboard (HOK) میتواند حسابهای کاربری مشکوک به نفوذ را نیز بهصورت خودکار ایزوله کند و دسترسی آنها را موقتاً محدود کند.
قابلیتهای جدید در Microsoft Defender for Endpoint
مایکروسافت اخیراً در کنار ایزولهسازی خودکار، قابلیت دیگری را هم برای نسخه سازمانی Defender for Endpoint آزمایش کرده است. این قابلیت به مسدودسازی خودکار ترافیک ورودی و خروجی (Inbound/Outbound Traffic Blocking) در endpointهای ویندوزی شناسایینشده مربوط میشود؛ اقدامی که با هدف جلوگیری از سوءاستفاده مهاجمان از دستگاههای خارج از دید سازمان برای نفوذ به سایر سیستمهای سالم شبکه طراحی شده است.
همچنین اوایل همین ماه، قابلیت دیگری در حالت پیشنمایش معرفی شد که امکان زمانبندی اسکن آنتیویروس روی سیستمهای لینوکسی ثبتشده در پلتفرم را فراهم میکند. این قابلیت از طریق پورتالMicrosoft Defender ، فایل پیکربندی JSON (mdatp) یا ابزار خط فرمان mdatp CLI قابل مدیریت است.
مایکروسافت اعلام کرده است که این قابلیت از اسکن سریع روزانه (Daily Quick Scan)، اسکن سریع دورهای و اسکن کامل هفتگی (Weekly Full Scan) پشتیبانی میکند. همچنین امکان اجرای اسکنها با اولویت پایین، زمانبندی آنها در زمانهای عدم فعالیت سیستم (Idle Time) و تعیین زمان شروع تصادفی برای آنها بهمنظور کاهش فشار بر منابع سیستم وجود دارد.
