Redukcia povrchu útoku je funkcia programu Windows Defender Exploit Guard, ktorá bráni akciám, ktoré sa pomocou škodlivého softvéru škodlivého softvéru infikujú počítače. Windows Defender Exploit Guard je nová sada možností prevencie invázie, ktorú spoločnosť Microsoft predstavila ako súčasť systému Windows 10 v1709. Štyri komponenty programu Windows Defender Exploit Guard zahŕňajú:
- Ochrana siete
- Prístup k riadenému priečinku
- Ochrana pred zneužitím
- Redukcia povrchu útoku
Jednou z hlavných schopností, ako je uvedené vyššie, je Redukcia povrchu útoku, ktoré chránia pred bežnými činnosťami škodlivého softvéru, ktoré sa vykonávajú na zariadeniach so systémom Windows 10.
Poďme pochopiť, čo je redukcia Attack Surface a prečo je taká dôležitá.
Funkcia Windows Defender Attack Surface Reduction
E-maily a kancelárske aplikácie sú najdôležitejšou súčasťou produktivity každého podniku. Pre kybernetických útočníkov sú najjednoduchším spôsobom, ako získať prístup k svojim počítačom a sieťam a nainštalovať malvér. Hackeri môžu priamo používať kancelárske makra a skripty na priame vykonávanie exploitov, ktoré fungujú výhradne v pamäti a tradičné antivírusové kontroly ich často nedajú zistiť.
Najhoršie je, že ak má malware získať záznam, stačí, keď používateľ povolí makra v legitímne vyzerajúcom súbore Office alebo otvorí e-mailovú prílohu, ktorá môže stroj narušiť.
Tu prichádza na pomoc Attack Surface Reduction.
Výhody zmenšenia útočného povrchu
Attack Surface Reduction ponúka sadu zabudovaných inteligencií, ktoré môžu blokovať základné správanie, ktoré tieto škodlivé dokumenty používajú na vykonávanie bez toho, aby bránili produktívnym scenárom. Blokovaním škodlivého správania môže Attack Surface Reduction chrániť podniky pred nikdy predtým nevidenými útokmi bez ohľadu na to, aká je ich hrozba alebo zneužitie, a vyvážiť ich bezpečnostné riziká a požiadavky na produktivitu.
ASR pokrýva tri hlavné spôsoby správania:
- Kancelárske aplikácie
- Skripty a
- E-maily
Pre aplikácie balíka Office môže pravidlo Attack Surface Reduction:
- Blokovať aplikáciám Office vytváranie spustiteľného obsahu
- Blokovať aplikáciám Office vytváranie podradených procesov
- Blokujte aplikácie balíka Office pred vložením kódu do iného procesu
- Blokujte importovanie Win32 z kódu makra v Office
- Blokujte zmätený kód makra
Mnoho krát škodlivé kancelárske makrá môžu infikovať počítač injekciou a spustením spustiteľných súborov. Proti tomu môže chrániť Attack Surface Reduction a tiež program DDEDownloader, ktorý nedávno infikoval počítače po celom svete. Toto zneužitie využíva kontextové okno Dynamická výmena údajov v oficiálnych dokumentoch na spustenie sťahovacieho nástroja PowerShell pri vytváraní podradeného procesu, ktorý pravidlo ASR efektívne blokuje!
V prípade skriptu môže pravidlo Attack Surface Reduction:
- Blokujte škodlivé kódy JavaScript, VBScript a PowerShell, ktoré boli zmätené
- Blokujte JavaScript a VBScript v spúšťaní užitočného zaťaženia stiahnutého z internetu
V prípade e-mailu môže ASR:
- Blokovať vykonávanie spustiteľného obsahu vynechaného z e-mailu (webmail / poštový klient)
Teraz jedného dňa došlo k následnému nárastu phishingu typu spear-phishing a dokonca sú zamerané aj na osobné e-maily zamestnancov. ASR umožňuje podnikovým správcom aplikovať zásady súborov na osobný e-mail pre webmail aj poštových klientov na zariadeniach spoločnosti na ochranu pred hrozbami.
Ako funguje Attack Surface Reduction
ASR pracuje prostredníctvom pravidiel, ktoré sú identifikované podľa ich jedinečného ID pravidla. Aby bolo možné nakonfigurovať stav alebo režim pre každé pravidlo, je možné ich spravovať pomocou:
- Skupinové pravidlá
- PowerShell
- MDP CSP
Môžu sa použiť, keď sa majú povoliť iba niektoré pravidlá alebo sa majú povoliť pravidlá v individuálnom režime.
Pre akýkoľvek rad podnikových aplikácií spustených v rámci vášho podniku existuje možnosť prispôsobiť vylúčenia na základe súborov a priečinkov, ak vaše aplikácie obsahujú neobvyklé správanie, ktoré môže byť ovplyvnené detekciou ASR.
Redukcia povrchu útoku vyžaduje, aby bol hlavným antivírusom program Windows Defender Antivirus, a vyžaduje povolenie funkcie ochrany v reálnom čase. Základná úroveň zabezpečenia systému Windows 10 naznačuje, že väčšina vyššie uvedených pravidiel v blokovom režime by mala byť povolená, aby zabezpečila vaše zariadenia pred akýmikoľvek hrozbami!
Ak sa chcete dozvedieť viac, môžete navštíviť dokumenty.Microsoft.com.