Microsoft เพิ่มฟีเจอร์ใหม่ให้ Defender ตัดเน็ตเครื่องที่ถูกแฮกอัตโนมัติ ลดความเสี่ยงแรนซัมแวร์ลามทั้งองค์กร
Microsoft กำลังทดสอบฟีเจอร์ใหม่ในระบบ Microsoft Defender for Endpoint ที่สามารถ “แยกเครื่องที่ถูกเจาะระบบออกจากเครือข่ายอัตโนมัติ” เพื่อหยุดการโจมตีไม่ให้ลุกลามไปยังอุปกรณ์อื่นภายในองค์กร
ฟีเจอร์ดังกล่าวอยู่ในสถานะ Preview และทำงานร่วมกับระบบ Automatic Attack Disruption ซึ่งถูกออกแบบมาเพื่อช่วยหยุดการโจมตี จำกัดผลกระทบ และเพิ่มเวลาให้ทีมความปลอดภัยสามารถรับมือกับเหตุการณ์ได้เร็วขึ้น
เมื่อระบบตรวจพบว่าอุปกรณ์ใดมีความเสี่ยงถูกเจาะ ระบบจะทำการ “Isolate” หรือแยกอุปกรณ์นั้นออกจากเครือข่ายทันที เพื่อลดโอกาสที่แฮกเกอร์จะเคลื่อนที่ไปยังเครื่องอื่นในองค์กร หรือที่เรียกว่า Lateral Movement
แม้อุปกรณ์จะถูกตัดออกจากเครือข่ายภายใน แต่ยังคงเชื่อมต่อกับบริการของ Microsoft Defender for Endpoint ได้ตามปกติ ทำให้ระบบยังสามารถติดตาม ตรวจสอบ และจัดการอุปกรณ์ดังกล่าวต่อได้
Microsoft ระบุว่า ระบบ Automatic Isolation จะช่วยลดความเสี่ยงจากการโจมตีที่อาจนำไปสู่การขโมยข้อมูล การแพร่กระจายของแรนซัมแวร์ และความเสียหายต่อระบบโดยรวมขององค์กร
ก่อนหน้านี้ Microsoft เคยเปิดให้ผู้ดูแลระบบสามารถ “แยกเครื่องที่ถูกโจมตีแบบแมนนวล” ได้ตั้งแต่ปี 2022 โดยสามารถตัดการสื่อสารทั้งขาเข้าและขาออกของอุปกรณ์ Windows ที่เชื่อมต่อกับ Defender for Endpoint
ต่อมาในปี 2023 บริษัทเริ่มทดสอบความสามารถในการ Isolate อุปกรณ์ Linux และเปิดใช้งานอย่างเป็นทางการในช่วงปลายปีเดียวกัน
นอกจากนี้ Microsoft ยังเพิ่มความสามารถในการ “แยกบัญชีผู้ใช้ที่ถูกเจาะ” แบบอัตโนมัติ เพื่อหยุดการเคลื่อนที่ของผู้โจมตีในรูปแบบ Hands-on-Keyboard Ransomware ซึ่งเป็นการโจมตีที่แฮกเกอร์เข้าควบคุมระบบโดยตรงผ่านบัญชีผู้ใช้งาน
ล่าสุด Microsoft ยังทดสอบอีกหนึ่งฟีเจอร์ใหม่ ที่สามารถบล็อกการรับส่งข้อมูลไปยังอุปกรณ์ Windows ที่ยังไม่ถูกค้นพบในระบบ เพื่อป้องกันไม่ให้ผู้โจมตีใช้เครื่องเหล่านั้นเป็นช่องทางขยายการโจมตีไปยังอุปกรณ์อื่นในเครือข่าย
ขณะเดียวกัน Microsoft ยังเปิดตัวฟีเจอร์ Preview ใหม่สำหรับระบบ Linux ที่ช่วยให้ผู้ดูแลสามารถตั้งเวลาสแกนแอนติไวรัสได้โดยตรง ผ่าน Microsoft Defender Portal, ไฟล์ JSON configuration หรือเครื่องมือ command-line ของระบบ
ฟีเจอร์ดังกล่าวรองรับทั้งการสแกนแบบ Quick Scan รายวัน การสแกนตามช่วงเวลา และ Full Scan รายสัปดาห์ พร้อมตัวเลือกเพิ่มเติม เช่น การทำงานแบบใช้ทรัพยากรต่ำ การตั้งเวลาสแกนเฉพาะช่วงที่เครื่องว่าง และการสุ่มเวลาเริ่มสแกนเพื่อลดผลกระทบต่อระบบ