Phenquestions
Riduzione della superficie di attacco è una funzionalità di Windows Defender Exploit Guard che impedisce le azioni utilizzate dal malware in cerca di exploit per infettare i computer. Windows Defender Exploit Guard è un nuovo set di funzionalità di prevenzione delle invasioni che Microsoft ha introdotto come parte di Windows 10 v1709. I quattro componenti di Windows Defender Exploit Guard includono:
- Protezione della rete
- Accesso controllato alle cartelle
- Protezione dagli exploit
- Riduzione della superficie di attacco
Una delle capacità principali, come accennato in precedenza, è Riduzione della superficie di attacco, che proteggono dalle azioni comuni di software dannoso che si eseguono su dispositivi Windows 10.
Facci capire cos'è la riduzione della superficie di attacco e perché è così importante.
Funzionalità di riduzione della superficie di attacco di Windows Defender
Le e-mail e le applicazioni per ufficio sono la parte più cruciale della produttività di qualsiasi azienda. Sono il modo più semplice per gli aggressori informatici di accedere ai propri PC e reti e installare malware. Gli hacker possono utilizzare direttamente le macro e gli script di Office per eseguire direttamente exploit che operano interamente in memoria e spesso non sono rilevabili dalle tradizionali scansioni antivirus.
La cosa peggiore è che affinché un malware ottenga una voce, è sufficiente che l'utente abiliti le macro su un file di Office dall'aspetto legittimo o apra un allegato di posta elettronica che può compromettere la macchina.
È qui che viene in soccorso la riduzione della superficie di attacco.
Vantaggi della riduzione della superficie di attacco
Attack Surface Reduction offre una serie di informazioni integrate in grado di bloccare i comportamenti sottostanti utilizzati da questi documenti dannosi per l'esecuzione senza ostacolare gli scenari produttivi. Bloccando i comportamenti dannosi, indipendentemente da quale sia la minaccia o l'exploit, Attack Surface Reduction può proteggere le aziende da attacchi zero-day mai visti prima e bilanciare i loro rischi per la sicurezza e i requisiti di produttività.
L'ASR copre tre comportamenti principali:
- App per ufficio
- Script e
Per le app di Office, la regola di riduzione della superficie di attacco può:
- Impedisci alle app di Office di creare contenuti eseguibili
- Impedisci alle app di Office di creare processi figlio
- Impedisci alle app di Office di inserire codice in un altro processo
- Blocca le importazioni Win32 dal codice macro in Office
- Blocca il codice macro offuscato
Molte volte le macro dannose dell'ufficio possono infettare un PC iniettando e avviando eseguibili. La riduzione della superficie di attacco può proteggere da questo e anche da DDEDownloader che ha recentemente infettato i PC in tutto il mondo. Questo exploit utilizza il popup Dynamic Data Exchange nei documenti ufficiali per eseguire un downloader PowerShell durante la creazione di un processo figlio che la regola ASR blocca in modo efficiente!
Per lo script, la regola di riduzione della superficie di attacco può:
- Blocca codici JavaScript, VBScript e PowerShell dannosi che sono stati offuscati
- Blocca JavaScript e VBScript dall'esecuzione del payload scaricato da Internet
Per la posta elettronica, ASR può:
- Blocca l'esecuzione di contenuti eseguibili eliminati dalla posta elettronica (webmail/client di posta)
Ora un giorno, c'è stato un successivo aumento dello spear-phishing e persino le e-mail personali di un dipendente sono prese di mira. ASR consente agli amministratori aziendali di applicare criteri di file alla posta elettronica personale sia per la webmail che per i client di posta sui dispositivi aziendali per la protezione dalle minacce.
Come funziona la riduzione della superficie di attacco
ASR funziona attraverso regole identificate dal loro ID regola univoco. Per configurare lo stato o la modalità per ogni regola, possono essere gestiti con:
- Politica di gruppo
- PowerShell
- CSP MDM
Possono essere utilizzati quando devono essere abilitate solo alcune regole o devono essere abilitate regole in modalità individuale.
Per qualsiasi applicazione line of business in esecuzione all'interno dell'azienda, è possibile personalizzare le esclusioni basate su file e cartelle se le applicazioni includono comportamenti insoliti che potrebbero essere influenzati dal rilevamento ASR.
La riduzione della superficie di attacco richiede che Windows Defender Antivirus sia l'AV principale e che sia abilitata la funzione di protezione in tempo reale. La baseline di sicurezza di Windows 10 suggerisce che la maggior parte delle regole in modalità di blocco sopra menzionate dovrebbero essere abilitate per proteggere i tuoi dispositivi da qualsiasi minaccia!
Per saperne di più, puoi visitare i documenti.microsoft.come.
