企业版Microsoft Defender推出强效安全措施 可自动处理威胁无需等待批准
在微软安全性和合规性博客上,微软宣布面向企业的Microsoft Defender for Endpoint 开始推出强效安全措施。
该强效安全措施可规避人为因素造成的恶意软件无法及时扑杀问题,从而快速扑杀相关恶意软件避免再横向传播。
我们知道目前多种针对企业的恶意软件都会横向传播,即感染某台设备后立即以该设备为节点感染内网其他设备。
这导致企业在没有反应时间的情况下立即被恶意软件攻陷,而微软端点保护此次推出的新功能就用来防御该情况。
以往若微软扫描到恶意软件或者怀疑有问题的软件时,会预先向企业安全团队发出报警再由企业安全团队来处理。
例如安全团队经过评估后对问题软件进行查杀或放行动作,这可以避免误杀降低对企业的干扰但可能降低安全性。
此次新推出的自动完全修复模式则属于先斩后奏类型,即微软扫描到问题软件后会立即进行调查包括全内网扫描。
全内网扫描后微软会为每台计算机的每个实体创建判断列表,在判断列表里微软会标注其恶意、可疑或干净状态。
同时为每个恶意实体创建修复操作,创建完成后立即删除包含该恶意实体的文件,确保恶意实体无法在横向传播。
而半自动模式则扫描完毕后上报给安全团队由安全团队处理,这种可以降低误杀的可能性但却可以提高拦截效率。
微软表示在实际环境中发现若将其设置为全自动模式时,删除恶意实体的效率要比设置半自动模式的企业高40%。
因此这可以完全自动化并且释放企业的关键安全资源,企业可以将更多精力放在其战略计划上无需操心恶意软件。
同时如果设置为半自动模式发现的恶意实体在等待安全团队处理时,其引发横向传播等潜在问题会造成严重损失。
当然微软没有说明的是自家防病毒软件误报率比较高,微软防病毒软件查杀效率确实高但误杀也可能会影响企业。
微软称该公司正在努力提高恶意软件检测的准确性,包括改变其自动调查基础结构以及增加撤销和补救措施等等。
这意味着企业内部文件如果遭到误杀应该也可以比较容易的恢复,在可以恢复的情况下全自动模式确实效率更高。