AI securing digital infrastructure, analyzing biometric authentication, monitoring threats, and managing identity protection through intelligent cybersecurity protocols. Latch

Microsoft présente l’isolation automatique des appareils dans Defender for Endpoint

Lucas Morel

La nouvelle fonctionnalité sera ajoutée à l’outil de perturbation automatique des attaques. Toutefois, de nouvelles recherches préviennent que l’outil doit être optimisé pour éviter qu’il ne devienne un vecteur d’attaque.

Microsoft présente en avant-première une nouvelle fonctionnalité d’isolation automatique des appareils dans l’outil d’interruption automatique des attaques de Defender for Endpoint pour aider les professionnels de la sécurité à contenir les cyberattaques en cours sur leurs réseaux informatiques.

La société a annoncé cette fonctionnalité plus tôt ce mois-ci dans une chronique sur les nouvelles fonctionnalités de Defender. On ne sait pas quand l’isolation automatique des appareils sera en pleine production.

Cependant, un nouveau document de recherche du SANS Institute prévient que, dans certaines conditions, un attaquant pourrait exploiter la nouvelle fonction pour désactiver tous les comptes d’utilisateurs.

La leçon, a déclaré Johannes Ullrich, doyen de la recherche à l’institut, est que les outils d’action autonomes de l’IA doivent être réglés et testés comme toute autre capacité d’automatisation.

« L’isolation automatique et l’interruption des attaques ne sont pas des concepts nouveaux », a déclaré Ullrich dans un e-mail, « mais des idées comme celles-ci ont été utilisées dans le passé dans des outils open source et commerciaux. Cette fonctionnalité est très importante dans les organisations dont les équipes de sécurité informatique manquent de ressources, car elle automatise la réponse aux attaques. Cependant, ces fonctionnalités doivent être soigneusement ajustées. Si elles ne sont pas configurées, les attaquants peuvent les utiliser pour retarder la réponse en perturbant les comptes utilisés par les administrateurs. « 

Néanmoins, dans l’environnement actuel, des outils comme ceux-ci sont importants. Robert Enderle, consultant informatique et responsable du groupe Enderle, a souligné que les attaques automatisées modernes de logiciels malveillants et de ransomwares se déplacent à la vitesse des machines, ce qui signifie que les temps de réponse humains sont effectivement obsolètes.

Au moment où un analyste voit un signal d’alarme, dit-il, l’attaquant a déjà établi la persistance ou commencé à chiffrer les fichiers. L’isolation automatique des appareils de Microsoft agit comme « une lame d’air rapide et logique. Elle coupe instantanément les connexions réseau de l’appareil, coupant le commandement et le contrôle (C2) de l’attaquant et stoppant net l’exfiltration des données. Vous devez apporter une défense automatisée à un combat automatisé. »

Il a ajouté qu’un avantage secondaire, souvent le plus critique pour la survie de l’entreprise, est de contenir le rayon d’explosion. Les attaquants utilisent invariablement un PC compromis comme tête de pont pour se déplacer latéralement à travers le réseau de l’entreprise, à la recherche de cibles de plus grande valeur comme les contrôleurs de domaine, a-t-il souligné.

« En mettant instantanément en quarantaine ce point final initial, vous piègez la menace là où elle se trouve. Vous garantissez qu’un seul ordinateur portable compromis ne se métastase pas en une catastrophe à l’échelle de l’entreprise », a-t-il déclaré.

Il existe également un énorme avantage médico-légal, a ajouté Enderle. « Auparavant, l’instinct consistait souvent à débrancher littéralement la prise d’alimentation, ce qui détruit la mémoire volatile critique, ou à tirer physiquement sur le câble réseau, ce qui aveugle complètement votre équipe de sécurité à distance. Isoler logiquement l’appareil tout en maintenant une bouée de sauvetage sécurisée vers les services de sécurité préserve la scène du crime. Cela empêche l’attaquant de déployer des logiciels malveillants d’effacement ou de détruire les journaux, et cela donne au centre d’opérations de sécurité (SOC) la marge de manœuvre dont il a besoin pour enquêter en toute sécurité et remédier à la machine sans la panique d’une infection qui se propage activement. « 

Comment fonctionne l’interruption automatique des attaques

L’interruption automatique des attaques est proposée aux organisations qui s’abonnent à Microsoft Defender XDR, une suite de sécurité unifiée basée sur le cloud qui détecte et enquête sur les cyberattaques contre les PC, les serveurs et les points de terminaison IoT. Il gère également les identités hybrides et protège les outils de messagerie et de collaboration. En tant que tel, il corrèle les données pour identifier et répondre aux attaques.

La capacité d’isolation automatique, qui sera bientôt disponible, bloque la plupart du trafic réseau tout en gardant l’appareil connecté aux services de sécurité. L’action est limitée dans le temps et limitée à l’incident, a déclaré Microsoft ; les opérateurs de sécurité peuvent lever l’isolement à tout moment.

La vaste capacité automatique de perturbation des attaques utilise l’IA pour limiter les mouvements latéraux des attaquants. « La perturbation des attaques utilise toute l’étendue de nos signaux étendus de détection et de réponse (XDR), en prenant en compte l’ensemble de l’attaque pour agir au niveau de l’incident », a déclaré Microsoft dans une colonne détaillée décrivant l’outil. « Cette capacité est différente des méthodes de protection connues telles que la prévention et le blocage basés sur un seul indicateur de compromission. »

Pour utiliser l’interruption automatique des attaques, le service informatique doit au moins activer Microsoft Defender pour Endpoint Plan 2. Cela devient plus efficace si les applications Defender pour Identity, Defender pour Office 365 et Defender pour Cloud sont également déployées. Les administrateurs doivent également configurer les autorisations et la surveillance appropriées.

Perturbation opérationnelle possible

L’article académique de l’Institut SANS rédigé par l’étudiant Marcio Enriquez a noté que les systèmes d’IA qui prennent des décisions autonomes comme le confinement améliorent les temps de réponse et l’évolutivité. Mais ils s’appuient également sur une logique basée sur des seuils dérivée de la télémétrie. « Même lorsqu’ils opèrent sur des données à l’échelle de l’entreprise, ils ne tiennent pas systématiquement compte de l’impact au niveau du système dans leurs décisions d’application », indique le document, et peuvent donc provoquer des perturbations involontaires lorsqu’ils sont activés à grande échelle. « Cela crée un fossé entre la nécessité d’actions défensives rapides et la capacité de l’organisation à maintenir la continuité opérationnelle. »

L’étude a examiné cette lacune en évaluant comment des actions de confinement autonomes basées sur des seuils peuvent entraîner ce qu’elle appelle une « perturbation opérationnelle à grande échelle ».

Enriquez en a vu un exemple lors d’un véritable incident de sécurité au printemps 2025. Un utilisateur d’une organisation a été trompé par un message de phishing et a saisi ses informations d’identification sur un site Web malveillant. Defender l’a détecté et a lancé en quelques minutes des mesures de confinement automatisées, notamment la désactivation du compte concerné, la réinitialisation forcée du mot de passe et la restriction des connexions sur plusieurs appareils gérés.

Cependant, comme les analystes de sécurité n’avaient pas réalisé qu’il s’agissait d’une application automatisée, ils ont d’abord pensé qu’il y avait eu un mouvement latéral ou une compromission généralisée. Cela a déclenché une escalade d’urgence impliquant les dirigeants de la sécurité, jusqu’à ce qu’une enquête plus approfondie révèle que la propagation des contrôles de confinement était due au Defender.

« Cet événement démontre l’efficacité du confinement autonome pour interrompre rapidement les menaces actives », a écrit Enriquez. « Dans le même temps, cela illustre comment les actions de réponse automatisées peuvent générer des effets opérationnels à l’échelle de l’entreprise qui ne sont pas immédiatement transparents pour les opérateurs humains. »

Pourrait être militarisé

Pour tester la capacité d’un acteur malveillant à tirer parti d’une faiblesse de la capacité d’interruption automatique des attaques du Defender XDR, Enriquez a créé un environnement d’entreprise hybride avec 18 « utilisateurs » et a exécuté une activité contradictoire simulant le comportement tactile sur plusieurs identités pour déclencher des seuils de détection de haute confiance dans Defender, grâce à une tactique d’attaque qu’il appelle Autonomous Defense Induced Disruption (ADID). Essentiellement, il trompe la capacité de perturbation automatique de Defender pour donner un score de confiance élevé indiquant que le réseau est attaqué.

« Les résultats ont montré que lorsque les seuils de confiance de détection étaient atteints, les actions automatisées désactivaient toutes les (18) identités Active Directory, y compris l’administrateur de domaine local, rendant le domaine inaccessible », a écrit Enriquez.

« La recherche met en évidence la nécessité de contrôles de gouvernance, de sauvegardes tenant compte des privilèges et de contraintes au niveau du système pour empêcher le confinement autonome de provoquer une perturbation opérationnelle », a-t-il conclu.

Conseils Microsoft : garder l’interruption des attaques automatiques activée

Un porte-parole de Microsoft a déclaré que la société n’avait aucun commentaire sur le document de recherche.

Cependant, ils ont déclaré que la directive de Microsoft était de maintenir l’interruption automatique des attaques activée par défaut. « Se désinscrire augmente considérablement le risque, en particulier pour les attaques multi-domaines et à plusieurs étapes telles que HumOR (opérations d’intelligence humaine, comme l’ingénierie sociale), BEC (compromission de la messagerie professionnelle) et AiTM (adversaire du milieu), où même quelques minutes de temps d’arrêt supplémentaire peuvent se traduire par un impact commercial significatif. »

« Dans le même temps », a noté Microsoft, « nous reconnaissons que les équipes de sécurité ont besoin de contrôler les actions autonomes. C’est pourquoi la fonctionnalité est conçue avec des contrôles granulaires. Les administrateurs de sécurité peuvent ajuster les niveaux d’automatisation par groupe de périphériques et exclure de manière sélective des utilisateurs, des périphériques ou des plages IP en fonction des besoins opérationnels. L’approche recommandée est une configuration ciblée et intentionnelle, et non une désinscription générale. Les clients conservent une visibilité totale sur les actions entreprises et ont la possibilité d’annuler les réponses automatisées à tout moment. « 

CyberattaquesCybercriminalitéSécuritéVulnérabilitésProtection des points de terminaisonIntelligence artificielle

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

AI securing digital infrastructure, analyzing biometric authentication, monitoring threats, and managing identity protection through intelligent cybersecurity protocols. Latch
Microsoft présente l’isolation automatique des appareils dans Defender for Endpoint
an open door in a dark room with light coming in
Les vulnérabilités sont devenues la porte d’entrée n°1 des cyberattaquants vers l’entreprise
Team of Three Diverse Software Developers Talk, Discuss an AI Project
La campagne de malware TrapDoor met les postes de travail des développeurs sous les projecteurs des RSSI