Αντιμετώπιση επιφανειών προσβολής στο Windows Defender

Μείωση επιφάνειας επίθεσης είναι μια λειτουργία του Windows Defender Exploit Guard που εμποδίζει τις ενέργειες που χρησιμοποιούνται από κακόβουλο λογισμικό που αναζητά εκμετάλλευση να μολύνει υπολογιστές. Το Windows Defender Exploit Guard είναι ένα νέο σύνολο δυνατοτήτων πρόληψης εισβολής που εισήγαγε η Microsoft ως μέρος των Windows 10 v1709. Οι τέσσερις συνιστώσες του Windows Defender Exploit Guard περιλαμβάνουν:

• Προστασία δικτύου
• Πρόσβαση ελεγχόμενου φακέλου
• Προστασία εξόντωσης
• Μείωση επιφάνειας επίθεσης

Μια από τις μεγαλύτερες δυνατότητες, Επιφανειακή μείωση, που προστατεύουν από κοινές ενέργειες κακόβουλου λογισμικού που εκτελούνται σε συσκευές Windows 10. Ας καταλάβουμε τι είναι η επίθεση της επιφάνειας επίθεσης και γιατί είναι τόσο σημαντική

Χαρακτηριστικό μείωσης επιφάνειας προσβολής του Windows Defender

Τα ηλεκτρονικά ταχυδρομεία και οι εφαρμογές γραφείου είναι το πιο σημαντικό κομμάτι της παραγωγικότητας κάθε επιχείρησης. Είναι ο ευκολότερος τρόπος για τους επιτιθέμενους του κυβερνοχώρου να εισέλθουν στους υπολογιστές και τα δίκτυά τους και να εγκαταστήσουν κακόβουλα προγράμματα. Οι χάκερ μπορούν να χρησιμοποιούν απευθείας μακροεντολές γραφείου και σενάρια για να εκτελούν απευθείας εκμεταλλεύσεις που λειτουργούν εξ ολοκλήρου στη μνήμη και συχνά δεν μπορούν να εντοπιστούν από τις παραδοσιακές ανιχνεύσεις Antivirus.

Το χειρότερο πράγμα είναι ότι για ένα κακόβουλο λογισμικό να πάρει μια καταχώρηση, μακροεντολές σε ένα νόμιμο αρχείο Office ή για να ανοίξετε ένα συνημμένο ηλεκτρονικού ταχυδρομείου που μπορεί να θέσει σε κίνδυνο το μηχάνημα.

Αυτό είναι όπου η επίθεση επιφανειακής προσπέλασης έρχεται στη διάσωση

Πλεονεκτήματα της επίθεσης επιφανείας Μείωση

ένα σύνολο ενσωματωμένων πληροφοριών που μπορεί να εμποδίσει τις υποκείμενες συμπεριφορές που χρησιμοποιούνται από αυτά τα κακόβουλα έγγραφα για να εκτελεστούν χωρίς να παρεμποδίζουν παραγωγικά σενάρια. Με την παρεμπόδιση κακόβουλων συμπεριφορών, ανεξάρτητα από το τι είναι η απειλή ή η εκμετάλλευση, η επίθεση επιφανειακής προσβολής μπορεί να προστατεύσει τις επιχειρήσεις από τις επιθέσεις μηδενικών ημερών και να εξισορροπήσει τις απαιτήσεις ασφάλειας και παραγωγικότητάς τους.

Η ASR καλύπτει τρεις κύριες συμπεριφορές

Οι εφαρμογές του Office

1. Scripts και
2. Τα μηνύματα ηλεκτρονικού ταχυδρομείου
3. Για τις εφαρμογές του Office, ο κανόνας Μείωση επιφάνειας επίθεσης μπορεί να:

Αποκλεισμός εφαρμογών του Office από την έγχυση κώδικα σε άλλη διαδικασία

1. Αποκλεισμός των εισαγωγών Win32 από μακροκώδικα στο Office
2. Αποκλεισμός κωδικού μακροφάγων
3. Πολλές φορές οι κακόβουλες μακροεντολές γραφείου μπορούν να μολύνουν έναν υπολογιστή με την έγχυση και την εκτόξευση εκτελέσιμων αρχείων. Η επίθεση της επιφανειακής μείωσης μπορεί να προστατεύσει από αυτό και επίσης από το DDEDownloader που έχει πρόσφατα μολύνει υπολογιστές σε ολόκληρο τον κόσμο. Αυτή η εκμετάλλευση χρησιμοποιεί το αναδυόμενο παράθυρο "Dynamic Data Exchange" σε επίσημα έγγραφα για να τρέξει ένα downloader PowerShell ενώ παράλληλα δημιουργεί μια παιδική διαδικασία στην οποία ο κανόνας ASR μπλοκάρει αποτελεσματικά!
4. Για το σενάριο, ο κανόνας Μείωση επιφάνειας επίθεσης μπορεί να:
5. Αποκλεισμός κακόβουλου JavaScript, VBScript και Κώδικες PowerShell που έχουν αποκαλυφθεί

Αποκλεισμός JavaScript και VBScript από την εκτέλεση του φορτίου που λαμβάνονται από το διαδίκτυο

Για email, η ASR μπορεί:

• Αποκλεισμός εκτέλεσης εκτελέσιμου περιεχομένου που έπεσε από email (webmail / mail-client) μια μέρα, υπήρξε μια επακόλουθη αύξηση στο δόλωμα-phishing και ακόμη και προσωπικά μηνύματα ηλεκτρονικού ταχυδρομείου των εργαζομένων στοχεύουν. Το ASR επιτρέπει στους διαχειριστές επιχειρήσεων να εφαρμόζουν πολιτικές αρχείων σε προσωπικά μηνύματα ηλεκτρονικού ταχυδρομείου τόσο για webmail όσο και για πελάτες αλληλογραφίας σε εταιρικές συσκευές για προστασία από απειλές.
• Πώς λειτουργεί η Αντιμετώπιση επιφανειών επίθεσης

Η ASR λειτουργεί μέσω κανόνων που αναγνωρίζονται από το μοναδικό αναγνωριστικό τους κανόνα. Για να ρυθμίσετε την κατάσταση ή τη λειτουργία για κάθε κανόνα, μπορούν να διαχειριστούν με:

• Πολιτική ομάδας

PowerShell

MDM CSPs

Μπορούν να χρησιμοποιηθούν όταν ορισμένοι κανόνες

• Για οποιαδήποτε γραμμή επιχειρηματικών εφαρμογών που εκτελούνται εντός της επιχείρησής σας, υπάρχει η δυνατότητα προσαρμογής εξαιρέσεων που βασίζονται σε αρχεία και φάκελο αν οι εφαρμογές σας περιλαμβάνουν ασυνήθιστες συμπεριφορές που μπορεί να επηρεαστούν από την ανίχνευση ASR
• Η επιδιόρθωση επιφάνειας προσβολής απαιτεί το Windows Defender Antivirus να είναι το κύριο AV και απαιτεί να είναι ενεργοποιημένη η δυνατότητα προστασίας σε πραγματικό χρόνο. Η βασική γραμμή ασφαλείας των Windows 10 υποδεικνύει ότι οι περισσότεροι από τους κανόνες που αναφέρονται παραπάνω πρέπει να είναι ενεργοποιημένοι για να προστατεύουν τις συσκευές σας από οποιεσδήποτε απειλές!
• Για να μάθετε περισσότερα, επισκεφτείτε το docs.microsoft.com