IT infrastruktúránkat érintő támadási felületek csökkentése

A klasszikus védelmi megoldásokat ismerjük, antivírus szoftver, tűzfal, nem látogatunk kétes oldalakat, stb. Sajnos ezek kevesek lehetnek, ha alkalmazásokon keresztül érkezik a fenyegetés. Az alkalmazások tartalmazhatnak régi, elavult megoldásokat, amelyeket a kártevők kihasználhatnak. Jellemző példa erre a makrók, amelyek nagyszerű eszközök, de rosszindulatú módon is bevethetők.

A Microsoft Attack Surface Reduction (ASR) megoldásával az alkalmazásokat kihasználó támadások sikeresen megakadályozhatók, azonban csak Windows 10 Enterprise kiadással működik. Cserébe Intune-ból és SCCM-mel is kezelhető.

Az ASR segítségével letiltható, hogy Office és Adobe programok futtatható állományokat hozzanak létre vagy pl. WMI-n keresztül folyamatokat indítsanak. Könnyen látható, hogy pár legitim eset kivételével ezek bizony kártékony viselkedésre utalhatnak, tehát blokkolandóak. Emellett a scriptek (JavaScript, VBScript) működése is felügyelhető.

További szabályozható beállítások:

• Block executable content from email client and webmail: Régi, de annál hasznosabb funkció, ami megakadályozza, hogy levelezőklienssel ne lehessen futtatható állományokat megnyitni.
   
• Block Office Communication Applications from Creating Child Processes: Megakadályozza, hogy az Office alkalmazások újabb processeket hozzanak létre. Ha szükség van rá, kivételként engedélyezhető, de alapból blokkolásra van beállítva.
   
• Block Adobe Reader from Creating Child Processes: A PDF fájlok a támadók kedvenc felülete. Sok sebezhetőséget tartalmaz, a cégek sok esetben lassan foltozzák a szoftvert, ráadásul a PDF rendszerint nem kelt gyanút a munkavállalókban sem. Itt jó szolgáltatot tehet az szabály, miszerint egy PDF gyanús, ha processeket szeretne indítani.
   
• Use advanced protection against ransomware: Egy plusz védelmi vonal, ha egy futtatható állomány kártevőre hajaz, letiltja futását, még akkor is, ha alapból engedélyezve van.
   
• Block process creations originating from PSExec and WMI commands: Ez a beállítás arra szolgál, hogy PSExec és WMI ne hozhasson létre processeket. Ugyanakkor, ha SCCM-et használunk, ezt NE állítsuk be, mert csúnyán belekavarhat az SCCM kliens működésébe!
   
• Block untrusted and unsigned processes that run from USB: Bár az usb használata csökkenő tendenciát mutat, azért hasznos ez a beállítás, miszerint egy pendriveon tárolt, digitális aláíráson lévő állomány nem indulhat el közvetlenül.
   
• Block credential stealing from the Windows local security authority subsystem: Ez a beállítás nem engedi, hogy külső alkalmazások jelszavakat vagy hash-eket szedjenek ki a memóriából.

A teljes szabálylista itt érhető el: https://docs.microsoft.com/hu-hu/windows/security/...

Az ASR bevezetésekor érdemes monitorozással kezdeni, hogy a későbbi blokkolás mit érintene (pl. pénzügy esetén makrók generálása stb). Az Audit mode-dal ezt alaposan meg tudjuk vizsgálni, kivételeket képezni. Ezután jöhet a Block mode, ami a fenti szabályok alapján már tiltást végez.

Windows 10 E5 vagy M365 E5 licensz birtokában megkapjuk a Microsoft Defender ATP szoftvert is, amivel az ASR teljesen kompatibilis, és az ezzel kapcsolatos riasztások és policyk központilag kezelhetők.

Az alábbi képen látható, hogy egy átlagos hétfői napon több(!), mint 1800 ASR-block történt...

A fentiek fényében tehát nagyon ajánlott az ASR bevezetése, ezzel is csökkentve a támadási felületet.

Pajzsok fel!

Ha érdekli részletesebben a kiberbiztonsággal kapcsolatos téma, és szeretné megfelelően alkalmazni cégében a rendelkezésre álló megoldásokat és funkciókat, akkor TÖLTSE LE INGYENES eBookunkat, amelyben 10 választ talál digitálisan érett vállalatoktól a komplex biztonsági kihívásokra:

Kiberbiztonság a modern irodában eBook

Istvánffy Zoltán

Microsoft Cloud Solution Architect, Microsoft Certified Trainer

Qualysoft Informatikai Zrt.

zoltan.istvanffy@qualysoft.com|My LinkedIn Profile