تخطى إلى المحتوى الرئيسي
شارك

ديفندر يعزل الأجهزة المخترقة تلقائياً لمنع انتشار الهجمات

فريق جلتشمنذ 29 دقيقة0 مشاهدة5 دقائق
شارك
ديفندر يعزل الأجهزة المخترقة تلقائياً لمنع انتشار الهجمات

"أطلقت مايكروسوفت ميزة جديدة في Defender لعزل الأجهزة المخترقة تلقائياً فور اكتشافها. تهدف هذه الخطوة لمنع المهاجمين من التحرك الجانبي وحماية الشبكات المؤسسية."

مقدمة تحليلية

في السادس والعشرين من مايو لعام 2026، أطلقت شركة مايكروسوفت تحديثاً أمنياً بارزاً لمنصتها الرائدة Microsoft Defender for Endpoint، يدخل حيز الفترة التجريبية (Preview mode)، وهو ميزة العزل التلقائي لنقاط النهاية والأجهزة المخترقة. تأتي هذه الخطوة الاستراتيجية في وقت تشهد فيه الهجمات السيبرانية، وتحديداً هجمات برمجيات الفدية (Ransomware)، تسارعاً غير مسبوق في وتيرة التنفيذ، حيث لم يعد بإمكان فرق الاستجابة للحوادث الأمنية الاعتماد على التدخل البشري اليدوي لإيقاف زحف الاختراقات داخل الشبكات المؤسسية بشكل سريع وكافٍ. إن الجوهر الفلسفي لهذه الميزة يكمن في سد الفجوة الزمنية بين لحظة اكتشاف الاختراق ولحظة احتواء الأضرار. في الهجمات المعقدة الموجهة (Hands-on-keyboard attacks)، يستغل المهاجمون كل دقيقة للتحرك الجانبي (Lateral Movement) عبر الشبكة من جهاز إلى آخر حتى يصلوا إلى خوادم التحكم أو قواعد البيانات الحساسة لسرقتها وتشفيرها. من خلال أتمتة عملية العزل، تسعى مايكروسوفت إلى تحويل الدفاع الرقمي من نموذج 'الاستجابة التفاعلية' التقليدي إلى نموذج 'الاحتواء الفوري المؤتمت'.

التحليل التقني

تعتمد الميزة الجديدة على بنية تحتية برمجية مدمجة ضمن نظام 'تعطيل الهجمات التلقائي' (Automatic Attack Disruption)، وهو محرك تحليل سلوكي يعتمد على خوارزميات متقدمة مدمجة في سحابة Defender. عند رصد سلوك مشبوه يشير إلى حدوث اختراق نشط على محطة عمل مستخدم نهائي، يقوم النظام بتنفيذ سيناريو الاستجابة التلقائية المتمثل في العزل الفيزيائي والمنطقي للجهاز المصاب. وتتضمن الآلية الفنية للعزل وتدابير الحماية ما يلي:
  • قطع الاتصال الشبكي: يتم فصل الجهاز المخترق تماماً عن شبكة المؤسسة المحلية (LAN) وعن شبكة الإنترنت العامة، مما يمنع البرمجيات الخبيثة من الاتصال بخوادم القيادة والسيطرة (C2 Servers) ويمنع المهاجم من الانتقال للأجهزة المجاورة.
  • الحفاظ على قناة الاتصال السحابية: على الرغم من قطع الاتصال بالشبكة، يحافظ الجهاز على اتصال مخصص ومؤمن مع سحابة Microsoft Defender for Endpoint لتمكين مهندسي الأمان من جمع الأدلة الرقمية ومواصلة المراقبة عن بعد.
  • التحكم الحصري عبر الكونسول: لا يمكن إخراج الجهاز من حالة العزل إلا من خلال إجراء يدوي صريح يقوم به مسؤول الأمن (Security Operator) عبر لوحة التحكم عن طريق خيار 'إنهاء العزل' (Release from isolation) من قائمة الأجهزة النشطة.
  • نطاق العمل: تقتصر هذه القدرة حالياً على محطات عمل المستخدمين النهائيين (End-user Workstations) التي تم إلحاقها (Onboarded) وإدارتها رسمياً بواسطة منصة Defender.
وتأتي هذه القدرة كحلقة جديدة في سلسلة من الترقيات الأمنية المتتالية التي طورتها مايكروسوفت على مدار السنوات القليلة الماضية، والتي تشمل:
  • في يونيو 2022: إتاحة الاحتواء اليدوي للأجهزة غير المدارة التي تعمل بنظام Windows لمنع الاتصالات الصادرة والواردة مع الأجهزة المحمية مسبقاً.
  • في يناير 2023: بدء اختبار عزل أجهزة Linux المخترقة الملحقة بالمنصة، والتي وصلت للتوفر العام في أكتوبر 2023.
  • في أكتوبر 2023: إطلاق ميزة العزل التلقائي لحسابات المستخدمين المخترقة لقطع الطريق على هجمات الهوية الرقمية والتحركات الجانبية.
  • مؤخراً: اختبار حظر حركة المرور من وإلى نقاط النهاية غير المكتشفة (Undiscovered Windows Endpoints)، بالإضافة إلى توفير خيار جدولة عمليات فحص الفيروسات على أنظمة Linux باستخدام أداة mdatp البرمجية أو ملفات التهيئة مدارة التنسيق JSON.

السياق وتأثير السوق

تضع هذه الإضافة شركة مايكروسوفت في منافسة مباشرة وعنيفة مع عمالقة قطاع الكشف والاستجابة الموسعة (XDR) مثل CrowdStrike وSentinelOne وPalo Alto Networks، وهي الشركات التي كانت تمتلك ميزات عزل واحتواء مؤتمتة متطورة لسنوات مضت. إن سعي مايكروسوفت لدمج العزل التلقائي في بيئتها الأمنية هو اعتراف صريح بأن الحماية السلبية ونظام جدار الحماية التقليدي لم يعودا كافيين لحماية البنية التحتية الهجينة للمؤسسات الحديثة. من ناحية أخرى، تبرز هنا قضية 'فجوة التحقق' (The Validation Gap). فرغم أن أدوات اختبار الاختراق التلقائية والحلول الدفاعية المؤتمتة تقدم قيمة هائلة، إلا أنها تركز بشكل شبه كامل على سؤال واحد وهو مدى إمكانية تحرك المهاجم داخل الشبكة. لكن الواقع العملي يتطلب إجابات لأسئلة أعمق تتعلق بمدى قدرة القواعد الأمنية المطبقة على الصمود في وجه التهديدات المتقدمة دون التسبب في شلل العمليات التجارية. إن تبني أتمتة العزل سيزيد من الضغط على مزودي حلول الدفاع السيبراني لتقديم آليات كشف خالية من الأخطاء لضمان عدم عزل أجهزة حيوية عن الخطأ.

رؤية Glitch4Techs

تثير أتمتة الاستجابة الأمنية مخاوف مشروعة تتعلق بالإنذارات الكاذبة (False Positives)، وهو الجانب الحرج الذي نركز عليه دوماً في Glitch4Techs. إن الاعتماد الكامل على خوارزميات الذكاء الاصطناعي لاتخاذ قرار مصيري مثل عزل جهاز كمبيوتر قد يتسبب في كوارث تشغيلية إذا ما أخطأ النظام في التقدير وتحليل السلوك الشاذ. لدينا مثال صارخ على هذا القلق؛ حيث قامت منصة Microsoft Defender مؤخراً بتصنيف شهادات رقمية سليمة تماماً وصادرة عن شركة DigiCert الشهيرة بشكل خاطئ على أنها برمجية خبيثة من نوع Trojan:Win32/Cerdigent.A!dha. في سيناريو واقعي، لو كانت ميزة العزل التلقائي الجديدة نشطة ومطبقة على نطاق واسع أثناء حدوث هذا الخطأ التشخيصي، لكانت النتيجة عزل مئات أو ربما آلاف الخوادم ومحطات العمل الحيوية في ثوانٍ معدودة، مما يتسبب في شلل تام لقطاعات كاملة من الأعمال لمجرد خطأ في قاعدة بيانات التوقيعات الخاصة بمايكروسوفت. لذلك، نرى أنه على الرغم من الأهمية القصوى لميزة العزل التلقائي في مكافحة برمجيات الفدية سريعة الانتشار، يجب على مديري تكنولوجيا المعلومات وفرق الأمان السيبراني عدم تفعيل هذه الميزة بشكل أعمى. يجب إخضاع القواعد والسياسات لفترات اختبار كافية، ووضع استثناءات صارمة للأجهزة والخوادم الحرجة التي لا تحتمل الانقطاع، والاعتماد على بيئات تجريبية آمنة للتحقق من دقة خوارزميات الاستجابة التلقائية قبل تفويضها بالتحكم في شريان الحياة الرقمي للمؤسسة.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.