Microsoft Defender puede aislar automáticamente dispositivos hackeados para frenar ataques
Microsoft prueba en Defender for Endpoint una función que aísla automáticamente dispositivos comprometidos para frenar ataques y limitar el movimiento lateral en redes corporativas.
Microsoft está probando una nueva capacidad dentro de Microsoft Defender for Endpoint que permite aislar automáticamente equipos comprometidos con el objetivo de detener movimientos laterales de los atacantes dentro de una red corporativa. Esta función se encuentra actualmente en fase de vista previa.
El objetivo principal de esta mejora es contener incidentes de seguridad en cuanto se detecta una actividad sospechosa. Cuando un dispositivo se considera potencialmente comprometido, el sistema puede desconectarlo automáticamente de la red de la organización, reduciendo así el riesgo de propagación de malware, robo de datos o ataques de ransomware.
A pesar de este aislamiento, el equipo afectado no queda completamente desconectado dado que sigue manteniendo conexión con el servicio de Microsoft Defender for Endpoint, lo que permite continuar con la monitorización y el análisis del incidente en tiempo real.
Microsoft explica que esta función está diseñada para actuar de forma preventiva. En palabras de la compañía, cuando un dispositivo se sospecha comprometido, puede ser aislado automáticamente dentro del sistema de interrupción de ataques. Esto ayuda a limitar el impacto del incidente, frenar el movimiento lateral del atacante y evitar consecuencias más graves como la exfiltración de datos o la propagación de ransomware.
Actualmente, el aislamiento automático solo se aplica a dispositivos de usuario final que estén correctamente integrados en la plataforma de seguridad de Microsoft. Sin embargo, los administradores de sistemas mantienen el control total y pueden revertir el aislamiento en cualquier momento una vez que se haya investigado el incidente y se hayan aplicado las medidas correctivas necesarias.
Para restaurar el acceso de un equipo aislado, los responsables de seguridad pueden acceder al inventario de dispositivos o a la ficha del endpoint afectado y seleccionar la opción de “liberar de aislamiento” desde el menú de acciones.
También se están probando nuevas herramientas que permiten bloquear automáticamente el tráfico hacia dispositivos no detectados dentro de la red, reforzando así la protección frente a intrusiones laterales.