Funzione di riduzione della superficie di attacco in Windows Defender

Attack Surface Reduction è una funzionalità di Windows Defender Exploit Guard che impedisce le azioni utilizzate dai malware in cerca di exploit per infettare i computer. Windows Defender Exploit Guard è un nuovo set di funzionalità di prevenzione delle invasioni che Microsoft ha introdotto come parte di Windows 10 v1709. I quattro componenti di Windows Defender Exploit Guard includono:

• Protezione di rete
• Accesso alla cartella controllata
• Protezione exploit
• Riduzione della superficie di attacco

Una delle funzionalità principali, come menzionato sopra, è Attacco Riduzione della superficie, che protegge da azioni comuni di software dannoso che si eseguono sui dispositivi Windows 10.

Consenti di capire cos`è la riduzione della superficie di attacco e perché è così importante.

Funzionalità di riduzione delle superfici di attacco Windows Defender

Le e-mail e le applicazioni per ufficio sono la parte più cruciale della produttività di un`azienda. Sono il modo più semplice per gli hacker informatici di entrare nei loro PC e reti e installare malware. Gli hacker possono utilizzare direttamente macro e script di Office per eseguire direttamente exploit che operano interamente in memoria e sono spesso non rilevabili dalle tradizionali scansioni antivirus.

La cosa peggiore è che per un malware ottenere una voce, basta che l`utente abiliti macro su un file di Office dall`aspetto legittimo o per aprire un allegato di posta elettronica che può compromettere la macchina.

È qui che viene in soccorso la riduzione della superficie di attacco.

Vantaggi della riduzione della superficie di attacco

Offerte di riduzione della superficie di attacco un set di intelligenza integrata che può bloccare i comportamenti sottostanti utilizzati da questi documenti dannosi per l`esecuzione senza ostacolare gli scenari produttivi. Bloccando comportamenti malevoli, indipendentemente da quale sia la minaccia o l`exploit, Attack Surface Reduction può proteggere le aziende da attacchi zero-day mai visti prima e bilanciare i loro rischi per la sicurezza e i requisiti di produttività.

ASR copre tre comportamenti principali :

1. App di Office
2. Script e
3. Email

Per le app di Office, la regola di Riduzione di superficie di attacco può:

1. Bloccare le app di Office dalla creazione di contenuti eseguibili
2. Bloccare le app di Office dalla creazione di processi secondari
3. Blocca le app di Office dall`iniettare codice in un altro processo
4. Blocca Win32 importa dal codice macro di Office
5. Blocca codice macro offuscato

Molte volte i macro degli uffici dannosi possono infettare un PC iniettando e avviando eseguibili. Attack Surface Reduction può proteggere da questo e anche da DDEDownloader che ha recentemente infettato i PC in tutto il mondo. Questo exploit utilizza il popup Dynamic Data Exchange nei documenti ufficiali per eseguire un downloader di PowerShell durante la creazione di un processo secondario che la regola ASR blocca in modo efficace!

Per lo script, la regola Attack Surface Reduction può:

• Blocca JavaScript dannoso, VBScript e Codici PowerShell che sono stati offuscati
• Blocca JavaScript e VBScript dall`esecuzione del payload scaricato da internet

Per email, ASR può:

• Bloccare l`esecuzione di contenuti eseguibili abbandonati dalla posta elettronica (webmail / mail-client)

Ora un giorno, c`è stato un successivo aumento di spear-phishing e anche le e-mail personali dei dipendenti sono mirate. ASR consente agli amministratori aziendali di applicare criteri di file sull`e-mail personale sia per la posta che per i client di posta elettronica sui dispositivi aziendali per la protezione dalle minacce.

Funzionamento della riduzione della superficie di attacco

ASR funziona attraverso regole identificate dal proprio ID di regola. Per configurare lo stato o la modalità per ogni regola, possono essere gestiti con:

• Criteri di gruppo
• PowerShell
• CSP MDM

Possono essere utilizzati quando devono essere abilitate solo alcune regole o se le regole sono da abilitare in modalità individuale.

Per qualsiasi linea di applicazioni aziendali in esecuzione all`interno dell`azienda, è possibile personalizzare le esclusioni basate su file e cartelle se le applicazioni includono comportamenti insoliti che possono essere influenzati dal rilevamento ASR.

Attack Surface Reduction richiede che Windows Defender Antivirus sia l`AV principale e che sia necessario abilitare la funzione di protezione in tempo reale. La linea di sicurezza di Windows 10 suggerisce che la maggior parte delle regole nella modalità di blocco sopra menzionata dovrebbero essere abilitate per proteggere i tuoi dispositivi da qualsiasi minaccia!

Per saperne di più, puoi visitare docs.microsoft.com.