Avec sa solution Microsoft Defender for Endpoint, Microsoft teste une fonctionnalité d’isolation automatique des terminaux. Lorsqu’un poste de travail est jugé compromis avec un haut niveau de confiance, il est immédiatement déconnecté du réseau pour empêcher l’attaquant de se propager.
Le principe de cette isolation automatique
La nouvelle capacité s’intègre dans le cadre plus large de la perturbation automatique des attaques. Le système ne se contente pas de réagir à une simple alerte, mais analyse des millions de signaux pour identifier une attaque en cours avec une forte certitude.
Une fois l’incident confirmé, comme une propagation de ransomware, l’isolation se déclenche sans intervention humaine. L’appareil est alors coupé de la plupart des communications réseau, ce qui bloque tout mouvement latéral de l’attaquant.
Le terminal isolé conserve une connexion sécurisée avec les services de Microsoft Defender for Endpoint. Cela permet aux analystes de sécurité de continuer à surveiller l’appareil, de collecter des données et de préparer la remédiation à distance, tout en contenant la menace.
Des limites et des garanties pour ce système
Pour l’instant, cette fonctionnalité est en préversion et ne s’applique qu’aux postes de travail des utilisateurs finaux gérés par Microsoft Defender for Endpoint. Les serveurs et les appareils non gérés ne sont pas encore concernés.
Microsoft a également mis en place plusieurs garde-fous pour éviter les blocages intempestifs et la perturbation des opérations. L’isolation est par exemple limitée dans le temps et peut être levée manuellement à tout moment par un administrateur via le portail Microsoft Defender.
Les entreprises peuvent aussi configurer des règles d’exclusion pour les machines critiques, afin qu’elles ne soient pas déconnectées de manière inopinée.