Czym jest ASR (Attack Surface Reduction) i w jaki sposób chroni Twoje urządzenia?

Kiedy zaczynasz zagłębiać się w zabezpieczenia systemu Windows i wszystko, co ma do zaoferowania program Microsoft Defender, pojawia się termin ASR (redukcja powierzchni ataku) Pojawia się raz po raz. I to nie przypadek: mówimy o zestawie zasad i technik, których celem jest powstrzymanie ataków, zanim w ogóle zdążą się rozpocząć.

W kontekście coraz bardziej wyrafinowane zagrożeniaW obliczu ataków ransomware, ukrytych skryptów, kradzieży danych uwierzytelniających i ataków bezplikowych, reguły ASR stały się kluczowym elementem obrony prewencyjnej. Problem polega na tym, że często postrzega się je jako coś „magicznego” i skomplikowanego, podczas gdy w rzeczywistości, jeśli zostaną wyjaśnione spokojnie, mają dość jasną logikę.

Czym jest ASR (Attack Surface Reduction) i jaki problem rozwiązuje?

Redukcja powierzchni ataku, czyli redukcja powierzchni atakuASR to podejście polegające na minimalizacji wszystkich punktów, przez które atakujący mógłby dostać się do środowiska, przenieść tam lub wykonać kod. W konkretnym przypadku Microsoftu, ASR jest wdrażane za pomocą reguł kontrolujących zachowania punktów końcowych wysokiego ryzyka: wykonywanie skryptów, makra pakietu Office, procesy uruchamiane z dysków USB, nadużycia WMI itp.

W praktyce Reguły ASR programu Microsoft Defender dla punktów końcowych Są to zasady, które mówią: „pewne rzeczy, które są typowe dla malware Nie będą dozwolone, mimo że legalne aplikacje też czasami to robią. Na przykład Word boot PowerShell, który scenariusz pobrany z Internetu uruchamia plik wykonywalny lub jeden proces próbuje wstrzyknąć kod do innego.

Podstawowym założeniem jest ograniczenie liczby ścieżek, którymi atak może przejąć kontrolę nad systemem. Mniej dostępnych ścieżek, mniejsza powierzchniaWpisuje się to idealnie w model Zero Trust: zakładamy, że w pewnym momencie nastąpi naruszenie, więc staramy się maksymalnie ograniczyć „promień rażenia” incydentu.

Ważne jest tutaj rozróżnienie dwóch pojęć, które często są mylone: ​​z jednej strony zmniejszanie powierzchni ataku jako ogólna strategia (usuwanie niepotrzebnych usług, zamykanie portów, usuwanie zbędnego oprogramowania, ograniczanie uprawnień itp.), a z drugiej strony Zasady ASR programu Microsoft Defenderktóre stanowią bardzo specyficzny podzbiór tej strategii, skupiający się na punktach końcowych i zachowaniach oprogramowania.

Powierzchnia ataku: fizyczna, cyfrowa i ludzka

Kiedy mówimy o powierzchni ataku organizacji, mamy na myśli wszystkie punkty, w których atakujący może się zaangażowaćUrządzenia, aplikacje, usługi online, konta użytkowników, interfejsy API, sieci wewnętrzne, chmury zewnętrzne itd. To nie tylko kwestia techniczna; w grę wchodzi również błąd ludzki.

W sekcji cyfrowej znajdziemy strony internetowe, serwery, Bazy danychpunkty końcowe, usługi w chmurze i aplikacje korporacyjneKażda źle skonfigurowana usługa, każdy niepotrzebnie otwarty port, każda niezałatana aplikacja może być punktem wejścia dla exploita. Dlatego wiele firm korzysta z narzędzi EASM (External Attack Surface Management), które automatyzują wykrywanie narażonych zasobów i luk w zabezpieczeniach.

Na powierzchni fizycznej w grę wchodzą następujące czynniki: serwery lokalne, stacje robocze, urządzenia sieciowe i terminaleW tym przypadku ryzyko jest łagodzone za pomocą kontroli dostępu fizycznego, kamer, kart, zamków, zamkniętych szaf i sprzęt komputerowy Wzmocnione. Jeśli każdy może uzyskać dostęp do centrum danych za pomocą dysku USB, nie ma znaczenia, jak dobra jest Twoja polityka bezpieczeństwa.

Trzecia noga to powierzchnia związana z inżynieria społeczna i czynnik ludzkiE-maile phishingowe, podstępne połączenia telefoniczne, strony internetowe oferujące usługi randkowe czy proste błędy pracowników prowadzące do pobrania złośliwej zawartości. Dlatego ograniczenie powierzchni ataku wymaga również szkoleń i świadomości, a nie tylko technologii.

ASR jako filar bezpieczeństwa prewencyjnego i Zero Trust

W modelu Zero Trust zakładamy, że sieć jest już zagrożona lub zostanie naruszonaNaszym celem jest uniemożliwienie atakującemu łatwej eskalacji lub uzyskania uprawnień. Reguły ASR idealnie się tu sprawdzają, ponieważ stanowią barierę przed najczęściej wykorzystywanymi wektorami ataku, szczególnie na punktach końcowych.

Zasady ASR opierają się na zasadzie minimalny przywilej zastosowany do zachowaniaNie chodzi tylko o uprawnienia konta, ale o to, jakie działania może wykonywać konkretna aplikacja. Na przykład Office nadal może bez problemu edytować dokumenty, ale nie może już swobodnie uruchamiać procesów w tle ani tworzyć plików wykonywalnych na dysku.

Ten rodzaj kontroli zachowania jest szczególnie skuteczny przeciwko zagrożenia polimorficzne i ataki bezplikoweMimo że złośliwe oprogramowanie nieustannie zmienia swój podpis lub skrót, większość z nich nadal musi wykonywać te same czynności: uruchamiać skrypty, wstrzykiwać kod do procesów, manipulować usługą LSASS, nadużywać usługi WMI, pisać podatne sterowniki itd. ASR koncentruje się właśnie na tych wzorcach.

Co więcej, reguły mogą być wykonywane w różnych trybach: blokowanie, audyt lub ostrzeganieUmożliwia to stopniowe wdrażanie, zaczynając od obserwacji wpływu (tryb audytu), następnie powiadamiania użytkownika (ostrzeżenie) i na końcu bezlitosnego blokowania po dostosowaniu wykluczeń.

Wymagania wstępne i kompatybilne systemy operacyjne

Aby w pełni wykorzystać możliwości reguł ASR w programie Microsoft Defender, ważne jest posiadanie solidnych podstaw. W praktyce konieczne jest Microsoft Defender Antivirus powinien być Twoim podstawowym programem antywirusowym.działa w trybie aktywnym, a nie pasywnym, i z włączoną ochroną w czasie rzeczywistym.

Wiele zasad, zwłaszcza tych bardziej zaawansowanych, wymaga posiadania Ochrona dostarczana w chmurze Aktywność i łączność z usługami chmurowymi Microsoft. Jest to kluczowe dla funkcji, które opierają się na reputacji, powszechności lub heurystyce w chmurze, takich jak reguła „pliki wykonywalne, które nie spełniają kryteriów powszechności, wieku lub listy zaufanych” lub reguła „zaawansowanej ochrony przed ransomware”.

Chociaż przepisy ASR nie wymagają ściśle posiadania licencji Microsoft 365 E5, tak jest Zdecydowanie zalecane jest posiadanie licencji E5 lub równoważnej. Jeśli chcesz zintegrować zaawansowane funkcje zarządzania, monitorowania, analizy, raportowania i przepływu pracy z programem Microsoft Defender dla punktu końcowego i portalem Microsoft Defender XDR.

Jeśli pracujesz z licencjami takimi jak Windows Professional lub Microsoft 365 E3 bez tych zaawansowanych funkcji, nadal możesz korzystać z ASR, ale będziesz musiał polegać bardziej na Podgląd zdarzeń, dzienniki programu antywirusowego Microsoft Defender i zastrzeżone rozwiązania monitorowanie i raportowanie (przekazywanie zdarzeń, SIEM itp.). W każdym przypadku konieczne jest przejrzenie listy OS utrzymanyponieważ różne zasady mają minimalne wymagania dla wersji Windows 10/11 i serwerów.

Tryby obowiązywania zasad ASR i wstępna ocena

Każdą regułę ASR można skonfigurować w czterech stanach: nie skonfigurowano/wyłączono, blok, audyt lub ostrzeżenieStany te są również reprezentowane za pomocą kodów numerycznych (odpowiednio 0, 1, 2 i 6), które są używane w GPO, MDM, Intune i PowerShell.

Tryb Blokuj Aktywuje regułę i bezpośrednio zatrzymuje podejrzane zachowanie. Tryb Audyt Rejestruje zdarzenia, które w przeciwnym razie zostałyby zablokowane, ale pozwala na kontynuację akcji, dzięki czemu możesz ocenić ich wpływ na aplikacje biznesowe przed podjęciem działań mających na celu zwiększenie bezpieczeństwa.

Tryb ostrzeżenie (Ostrzeżenie) jest swego rodzaju rozwiązaniem pośrednim: reguła zachowuje się jak reguła blokująca, ale użytkownikowi wyświetla się okno dialogowe informujące o zablokowaniu treści i ma możliwość odblokuj tymczasowo na 24 godzinyPo upływie tego okresu ten sam wzór zostanie ponownie zablokowany, chyba że użytkownik ponownie na to zezwoli.

Tryb ostrzegawczy jest obsługiwany tylko z Windows 10 w wersji 1809 (RS5) i nowszychW poprzednich wersjach, jeśli reguła została skonfigurowana w trybie ostrzegawczym, działała ona jak reguła blokująca. Ponadto, niektóre reguły nie obsługują trybu ostrzegawczego po skonfigurowaniu za pośrednictwem usługi Intune (choć obsługują go za pośrednictwem zasad grupy).

Przed osiągnięciem punktu zablokowania zdecydowanie zaleca się skorzystanie z trybu audytu i poleganie na Zarządzanie lukami w zabezpieczeniach programu Microsoft DefenderTutaj możesz zobaczyć przewidywany wpływ każdej reguły (procent urządzeń, których dotyczy problem, potencjalny wpływ na użytkowników itp.). Na podstawie danych z audytu możesz zdecydować, które reguły mają zostać aktywowane w trybie blokowania, w których grupach pilotażowych i jakie wykluczenia są potrzebne.

Zasady ASR według typu: standardowe zasady ochrony i inne zasady

Firma Microsoft dzieli reguły ASR na dwie grupy: z jednej strony standardowe zasady ochronySą to te, których aktywację prawie zawsze zaleca się, ponieważ mają bardzo niewielki wpływ na użyteczność, z drugiej strony, reszta reguł zazwyczaj wymaga fazy bardziej starannego testowania.

Spośród standardowych zasad ochrony wyróżnia się na przykład: „Zablokuj nadużycia w zakresie wykorzystywanych, podatnych na ataki, podpisanych kontrolerów”, „Zablokuj kradzież danych uwierzytelniających z podsystemu lokalnego urzędu bezpieczeństwa (lsass.exe)” o „Blokuj trwałość poprzez subskrypcje zdarzeń WMI”Wskazują one bezpośrednio na powszechnie stosowane techniki eskalacji uprawnień, unikania obrony i uporczywości.

Pozostałe reguły, choć bardzo skuteczne, częściej powodują konflikty z aplikacjami korporacyjnymi, które intensywnie korzystają ze skryptów, makr, procesów potomnych lub narzędzi do zdalnej administracji. Dotyczy to wszystkich tych, które wpływają na… Office, Adobe Reader, PSExec, zdalny WMI, zaciemnione skrypty, wykonywanie z USB, WebShells, itp.

Dla każdej reguły firma Microsoft dokumentuje Nazwa usługi Intune, możliwa nazwa w Menedżerze konfiguracji, unikalny identyfikator GUID, zależności (AMSI, Cloud Protection, RPC…) i typy zdarzeń generowanych w wyszukiwaniu zaawansowanym (na przykład, AsrObfuscatedScriptBlocked, AsrOfficeChildProcessAuditeditd.). Te identyfikatory GUID będą potrzebne w GPO, MDM i PowerShell do włączania, wyłączania lub zmiany trybu.

Szczegółowy opis głównych zasad ASR

Zasady ASR obejmują bardzo szeroki zakres wektory atakuPoniżej znajduje się podsumowanie najistotniejszych z nich oraz wyjaśnienie, co dokładnie każda z nich blokuje, w oparciu o oficjalne źródła i doświadczenie praktyczne.

Blokuj nadużycia podatnych na ataki, wykorzystywanych podpisanych sterowników

Ta zasada zapobiega aplikacji z wystarczającymi uprawnieniami zapisz podpisane, ale podatne na ataki sterowniki na dysk Atakujący mogą je następnie załadować, aby uzyskać dostęp do jądra i wyłączyć lub ominąć zabezpieczenia. Nie blokuje to ładowania podatnych sterowników, które już były obecne, ale blokuje jeden z typowych sposobów ich wprowadzenia.

Identyfikuje się go za pomocą GUID 56a863a9-875e-4185-98a7-b882c64b5ce5 i generuje zdarzenia typu AsrVulnerableSignedDriverAudited y AsrVulnerableSignedDriverBlocked w zaawansowanym wyszukiwaniu programu Microsoft Defender.

Zapobiegaj tworzeniu procesów potomnych przez program Adobe Reader

Celem tej zasady jest zapobieganie Adobe Reader służy jako trampolina do pobierania i uruchamiania ładunków. Blokuje tworzenie procesów wtórnych w programie Reader, chroniąc przed atakami na pliki PDF i socjotechniką wykorzystującą tę przeglądarkę.

Twój GUID to 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2ci może generować zdarzenia AsrAdobeReaderChildProcessAudited y AsrAdobeReaderChildProcessBlockedZależy to od działania programu antywirusowego Microsoft Defender.

Zapobiegaj tworzeniu procesów podrzędnych przez wszystkie aplikacje pakietu Office

Ta zasada zabrania korzystania z programów Word, Excel, PowerPoint, OneNote i Access generować procesy wtórneTo bezpośredni sposób na zatrzymanie wielu ataków opartych na makrach przeprowadzanych za pomocą programu PowerShell. CMD lub innych narzędzi systemowych do wykonywania złośliwego kodu.

Powiązany GUID to d4f940ab-401b-4efc-aadc-ad5f3c50688aW scenariuszach rzeczywistych niektóre legalne aplikacje biznesowe również wykorzystują ten wzorzec (na przykład do otwierania wiersz polecenia lub zastosować zmiany w Rejestrze), dlatego ważne jest, aby najpierw przetestować go w trybie audytu.

Blokuj kradzież danych uwierzytelniających LSASS

Ta zasada chroni proces lsass.exe przed nieautoryzowanym dostępem z innych procesów, zmniejszając tym samym powierzchnię ataku dla narzędzi takich jak Mimikatz, które próbują wyodrębniać skróty, hasła w postaci zwykłego tekstu lub bilety Kerberos.

Dzieli się z nami swoją filozofią Ochrona poświadczeń Microsoft DefenderJeśli masz już włączoną funkcję Credential Guard, ta reguła niewiele wnosi, ale jest bardzo przydatna w środowiskach, w których nie można jej włączyć ze względu na niezgodność z sterowniki lub oprogramowania innych firm. Twój GUID to 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2.

Blokuj zawartość wykonywalną w klientach poczty e-mail i poczcie internetowej

Tutaj wprowadzamy regułę bardzo zbliżoną do ataków phishingowych. Zapobiega ona... pliki wykonywalne, skrypty i skompresowane pliki pobrane lub dołączone do klientów poczty e-mail i poczty internetowej uruchamiać bezpośrednio. Dotyczy to przede wszystkim Outlooka, Outlook.com i popularnych dostawców poczty internetowej, a szczególnie przydatne jest w połączeniu z innymi zabezpieczeniami poczty e-mail i bezpieczne ustawienia przeglądarki.

Twój GUID to be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 i generuje zdarzenia takie jak AsrExecutableEmailContentAudited y AsrExecutableEmailContentBlockedJest to szczególnie przydatne w połączeniu z innymi zabezpieczeniami poczty elektronicznej.

Zablokuj uruchamianie plików wykonywalnych, które nie spełniają kryteriów rozpowszechnienia, wieku lub listy zaufanych.

Ta zasada blokuje wykonywanie plików binarnych (.exe, .dll, .scr itp.), które: nie są wystarczająco częste, stare lub niezawodne Według danych firmy Microsoft dotyczących reputacji w chmurze, rozwiązanie to jest bardzo skuteczne w walce z nowym złośliwym oprogramowaniem, jednak może być podatne na ataki w środowiskach z dużą ilością oprogramowania własnego lub nietypowego.

Identyfikator GUID to 01443614-cd74-433a-b99e-2ecdc07bfc25 I to wyraźnie zależy od Cloud Protection. Ponownie, to jasny przykład reguły, że najlepiej zacząć w trybie audytu, a następnie stopniowo wdrażać blokowanie.

Blokuj wykonywanie potencjalnie zaciemnionych skryptów

Zaciemniony kod jest powszechnym zjawiskiem zarówno dla atakujących, jak i, czasami, dla legalnych programistów. Ta reguła analizuje podejrzane funkcje w zaciemnionych skryptach PowerShell, VBScript, JavaScript lub makrach i blokuje te, co do których istnieje duże prawdopodobieństwo, że są złośliwe.

Twój GUID to 5beb7efe-fd9a-4556-801d-275e5ffc04cc Do podjęcia decyzji wykorzystuje interfejs AMSI (Antimalware Scan Interface) i ochronę w chmurze. To jedna z najskuteczniejszych zasad chroniących przed współczesnymi kampaniami opartymi na skryptach.

Zapobiegaj uruchamianiu pobranych plików wykonywalnych przez JavaScript lub VBScript

Ta zasada koncentruje się na typowym wzorcu pobierania: Skrypt w JS lub VBS pobiera plik binarny z Internetu i go uruchamia.ASR zapobiega w tym przypadku konkretnemu krokowi, jakim jest uruchomienie pobranego pliku wykonywalnego.

Twój GUID to d3e037e1-3eb8-44c8-a917-57927947596dOpiera się także na standardzie AMSI i jest szczególnie istotny w sytuacjach, w których w przeglądarce lub na komputerze stacjonarnym nadal używane są starsze technologie lub skrypty.

Zapobiegaj tworzeniu przez aplikacje pakietu Office zawartości wykonywalnej

Inną powszechną techniką jest korzystanie z pakietu Office zapisywać złośliwe komponenty na dysku które pozostają niezmienione po ponownym uruchomieniu (na przykład trwały plik wykonywalny lub biblioteka DLL). Ta reguła uniemożliwia programowi Office zapisanie lub uzyskanie dostępu do tego typu zawartości wykonywalnej w celu jej uruchomienia.

Identyfikator GUID to 3b576869-a4ec-4529-8536-b80a7769e899 Opiera się na oprogramowaniu antywirusowym Microsoft Defender i protokole RPC. Jest bardzo skuteczny w przełamywaniu łańcuchów infekcji opartych na makrach, które pobierają trwałe ładunki.

Zapobiegaj wstawianiu kodu do innych procesów przez aplikacje pakietu Office

Zapobiega to stosowaniu przez Office technik proces wtryskuPolega ona na wstrzykiwaniu kodu do innych procesów w celu zamaskowania złośliwej aktywności. Microsoft nie zna żadnych uzasadnionych zastosowań biznesowych tego wzorca, dlatego jest to dość bezpieczna reguła do włączenia w większości środowisk.

Twój GUID to 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84Istnieją jednak udokumentowane konkretne zastosowania, które są sprzeczne z tą zasadą, dlatego jeśli w otoczeniu pojawia się szum, zaleca się sprawdzenie zgodności.

Zapobiegaj tworzeniu procesów podrzędnych przez aplikacje komunikacyjne pakietu Office

Ta reguła jest skierowana głównie do programu Outlook i innych produktów komunikacyjnych pakietu Office i blokuje tworzenie procesów wtórnych z poziomu klienta poczty e-mailłagodzenie ataków wykorzystujących luki w regułach programu Outlook, formularzach lub złośliwych wiadomościach e-mail w celu wykonania kodu.

Twój GUID to 26190899-1602-49e8-8b27-eb1d0a1ce869 i pomaga zamknąć bardzo atrakcyjny kanał dla ukierunkowanych kampanii phishingowych.

Blokuj trwałość poprzez subskrypcje zdarzeń WMI

Wiele zagrożeń „bezplikowych” opiera się na WMI ma zapewnić trwałość bez pozostawiania wyraźnych śladów na dysku. Ta reguła blokuje tworzenie złośliwych subskrypcji zdarzeń WMI, które mogłyby ponownie uruchomić kod po spełnieniu warunku.

Twój GUID to e6db77e5-3df2-4cf1-b95a-636979351e5b i nie pozwala na wykluczanie plików lub folderów, właśnie po to, aby zapobiec ich nadużyciom.

Procesy blokowe utworzone z poleceń PSExec i WMI

PsExec i WMI to legalne narzędzia do zdalnego administrowania, ale są również stale używane do ruch boczny i rozprzestrzenianie się złośliwego oprogramowaniaZasada ta zapobiega procesom pochodzącym z polecenia Wykonywane są polecenia PSExec lub WMI, co redukuje ten wektor.

Identyfikator GUID to d1e49aac-8f56-4280-b9ba-993a6d77406cJest to jedna z tych zasad, w przypadku których koordynacja działań administratorów i zespołów operacyjnych jest kluczowa, aby uniknąć zakłóceń w legalnych procesach zarządzania zdalnego.

Blokuj ponowne uruchomienia w trybie awaryjnym inicjowane przez polecenia

En tryb awaryjnyWiele rozwiązań bezpieczeństwa jest wyłączonych lub poważnie ograniczonych. Niektóre programy ransomware nadużywają poleceń, takich jak: bcdedit lub bootcfg, aby ponownie uruchomić w trybie awaryjnym i szyfrować bez większego oporu. Ta reguła eliminuje tę możliwość, umożliwiając ciągły dostęp do trybu awaryjnego tylko za pośrednictwem środowiska odzyskiwania ręcznego.

Twój GUID to 33ddedf1-c6e0-47cb-833e-de6133960387 i generuje zdarzenia takie jak AsrSafeModeRebootBlocked o AsrSafeModeRebootWarnBypassed.

Blokuj niepodpisane lub niezaufane procesy na USB

Tutaj kontrolowana jest klasyczna droga wejścia: Pamięci USB i karty SDDzięki tej regule niepodpisane lub niezaufane pliki wykonywalne uruchamiane z tych nośników są blokowane. Dotyczy to plików binarnych, takich jak .exe, .dll, .scr itp.

Identyfikator GUID to b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 i jest szczególnie użyteczny w środowiskach, w których istnieje ryzyko niekontrolowanego użycia USB.

Blokuj używanie skopiowanych lub sfałszowanych narzędzi systemowych

Wiele ataków ma na celu kopiowanie lub imitowanie Narzędzia systemowe Windows (takich jak cmd.exe, powershell.exe, regsvr32.exe itp.) podszywających się pod legalne procesy. Ta reguła blokuje wykonywanie plików wykonywalnych zidentyfikowanych jako kopie lub podróbki tych narzędzi.

Twój GUID to c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb i produkuje wydarzenia takie jak AsrAbusedSystemToolBlockedJest dobrym uzupełnieniem innych technik kontroli aplikacji.

Blokuj tworzenie WebShell na serwerach

WebShells to skrypty zaprojektowane specjalnie dla aby dać atakującemu zdalną kontrolę nad serweremumożliwiając mu wykonywanie poleceń, przesyłanie plików, eksfiltrację danych itp. Ta reguła, skierowana do serwerów i ról takich jak Exchange, blokuje tworzenie tych złośliwych skryptów.

Identyfikator GUID to a8f5898e-1dc8-49a9-9878-85004b8a61e6 i jest specjalnie zaprojektowany, aby wzmocnić narażone serwery.

Blokuj wywołania API Win32 z makr pakietu Office

Prawdopodobnie jedna z najskuteczniejszych zasad przeciwko złośliwe oprogramowanie makroBlokuje kod Office VBA, uniemożliwiając mu importowanie i wywoływanie interfejsów API Win32, które są powszechnie używane do ładowania kodu powłoki do pamięci, manipulowania procesami, uzyskiwania dostępu do pamięci itp.

Twój GUID to 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b i opiera się na AMSI. W praktyce niweluje w zarodku wiele szablonów złośliwego oprogramowania w programach Word i Excel, które wykorzystują te wywołania do wykonywania dowolnego kodu.

Wykorzystanie zaawansowanej ochrony przed ransomware

Zasada ta dodaje dodatkową warstwę ochrony opartą na heurystyka klienta i chmury wykrywa zachowania typowe dla ransomware. Bierze pod uwagę takie czynniki, jak reputacja, podpis cyfrowy lub rozpowszechnienie, aby określić, czy plik jest bardziej prawdopodobnym źródłem ransomware niż legalnego programu.

Twój GUID to c1db55ab-c21a-4637-bb3f-a12568109d35I choć program stara się minimalizować liczbę fałszywych alarmów, to jednak woli zachować ostrożność, aby nie przegapić prawdziwego szyfru.

Metody konfiguracji: Intune, MDM, Configuration Manager, GPO i PowerShell

Reguły redukcji powierzchni ataku można skonfigurować na kilka sposobów, w zależności od sposobu zarządzania flotą urządzeń. Ogólne zalecenie firmy Microsoft to: platformy zarządzania na poziomie przedsiębiorstwa (Intune lub Configuration Manager), ponieważ ich zasady mają pierwszeństwo przed konfiguracjami zasad grupy lub lokalnymi konfiguracjami programu PowerShell podczas uruchamiania systemu.

z Microsoft Intune Dostępne są trzy podejścia: polityka bezpieczeństwa punktów końcowych specyficzna dla ASR, profile konfiguracji urządzeń (ochrona punktów końcowych) oraz profile niestandardowe wykorzystujące OMA-URI do definiowania reguł według identyfikatora GUID i stanu. W każdym przypadku można bezpośrednio dodawać wykluczenia plików i folderów lub importować je z pliku CSV.

W środowiskach ogólne MDM-y Używany jest CSP ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules Aby zdefiniować tablicę identyfikatorów GUID ze statusami, rozdzielonymi pionowymi kreskami. Na przykład, możesz połączyć kilka reguł, przypisując im wartości 0, 1, 2 lub 6, w zależności od tego, czy chcesz wyłączyć, zablokować, przeprowadzić audyt czy ostrzec. Wyjątki są zarządzane przez CSP. ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions.

z Menedżer konfiguracji firmy Microsoft Możesz tworzyć zasady dla Windows Defender Exploit Guard koncentruje się na „zmniejszeniu powierzchni ataku”. Wybierz reguły, które chcesz zablokować lub poddać audytowi, i wdróż je w określonych zbiorach urządzeń.

La Zasady grupy Umożliwia konfigurację ASR za pomocą szablonów administracyjnych poprzez przejście do węzłów Microsoft Defender Antivirus i „Attack Surface Reduction”. Tam należy włączyć zasadę „Configure Attack Surface Reduction Rules” i wprowadzić identyfikatory GUID wraz z odpowiadającymi im statusami. Dodatkowy obiekt GPO umożliwia definiowanie wykluczeń plików i ścieżek.

Wreszcie, PowerShell To najbardziej bezpośredni i użyteczny sposób na jednorazowe testy lub skrypty automatyzacji. Polecenia cmdlet, takie jak Set-MpPreference y Add-MpPreference Umożliwiają one włączanie, audytowanie, ostrzeganie lub wyłączanie poszczególnych reguł, a także zarządzanie listą wykluczeń -AttackSurfaceReductionOnlyExclusionsJeśli jednak występuje GPO lub Intune, ich ustawienia mają pierwszeństwo.

Wykluczenia, konflikty zasad i powiadomienia

Prawie wszystkie zasady ASR pozwalają wyklucz pliki i foldery Zapobiega to blokowaniu legalnych aplikacji, które z założenia wykazują zachowania przypominające złośliwe oprogramowanie. To potężne narzędzie, ale należy go używać z chirurgiczną precyzją: zbyt szerokie wykluczenia mogą prowadzić do poważnych luk w zabezpieczeniach.

W przypadku zastosowania sprzecznych zasad z MDM i usługi Intune konfiguracja Dyrektywa grupowa ma pierwszeństwo Jeśli istnieje. Co więcej, reguły ASR obsługują scalanie zasad: nadzbiór jest tworzony z konfiguracją niepowodującą konfliktów, a wpisy powodujące konflikty są pomijane dla danego urządzenia.

Za każdym razem, gdy reguła zostanie uruchomiona w trybie blokowania, użytkownik widzi powiadomienie systemowe Wyjaśniając, że operacja została zablokowana ze względów bezpieczeństwa. Powiadomienia te można dostosować, dodając dane firmy i dane kontaktowe. W przypadku niektórych reguł i statusów generowane są również alerty EDR i powiadomienia wewnętrzne, które są widoczne w portalu Microsoft Defender.

Nie wszystkie zasady respektują Wykluczenia programu antywirusowego Microsoft Defender Nie uwzględniają one również wskaźników naruszenia (IOC) skonfigurowanych w programie Defender for Endpoint. Na przykład reguła blokowania kradzieży danych uwierzytelniających LSASS lub reguła blokowania wstawiania kodu Office nie uwzględniają niektórych wskaźników IOC, właśnie po to, aby zachować ich odporność.

Monitorowanie zdarzeń ASR: portal, wyszukiwanie zaawansowane i przeglądarka zdarzeń

Monitorowanie jest kluczowe, aby zapewnić, że ASR nie będzie czarną skrzynką. Defender for Endpoint zapewnia szczegółowe raporty zdarzeń i blokad dotyczące reguł ASR, które można sprawdzić zarówno w portalu Microsoft Defender XDR, jak i za pomocą wyszukiwania zaawansowanego.

Zaawansowane wyszukiwanie umożliwia uruchomienie zapytania o stole DeviceEventsFiltrowanie według typów akcji zaczynających się od „Asr”. Na przykład podstawowe zapytanie DeviceEvents | where ActionType startswith 'Asr' Pokazuje zdarzenia związane z ASR pogrupowane według procesów i godzin, ponieważ są one znormalizowane do jednego wystąpienia na godzinę w celu zmniejszenia ich objętości.

W środowiskach bez E5 lub bez dostępu do tych możliwości zawsze istnieje możliwość przeglądu Rejestry systemu Windows w Podglądzie zdarzeńFirma Microsoft udostępnia niestandardowe widoki (takie jak plik cfa-events.xml), które filtrują odpowiednie zdarzenia przy użyciu identyfikatorów, takich jak 5007 (zmiany konfiguracji), 1121 (reguła w trybie blokowania) i 1122 (reguła w trybie audytu).

W przypadku wdrożeń hybrydowych dość powszechne jest przekazywanie tych zdarzeń do SIEM lub scentralizowana platforma rejestrowania, skorelować je z innymi wskaźnikami i uruchomić niestandardowe alerty, gdy określone reguły zaczną generować zbyt wiele zdarzeń w określonym segmencie sieci.

Zmniejszanie powierzchni ataku poza ASR: strategie, technologie i wyzwania

Chociaż reguły ASR są bardzo ważnym elementem, redukcja powierzchni ataku jako strategia globalna wykracza daleko poza punkt końcowy. Obejmuje ona zmapuj wszystkie zasoby i punkty wejściaWyeliminuj zbędne usługi, segmentuj sieci, stosuj rygorystyczne kontrole dostępu, wzmacniaj systemy, utrzymuj bezpieczne konfiguracje i chroń chmurę oraz interfejsy API.

Organizacje zazwyczaj zaczynają od kompletnego spisu urządzenia, oprogramowanie, konta i połączeniaNastępnie identyfikuje się i odinstalowuje nieużywane usługi i aplikacje, zamyka porty sieciowe i wyłącza funkcje, które nie dodają wartości. Upraszcza to środowisko i zmniejsza liczbę „drzwi” wymagających monitorowania.

Część kontrola dostępu Istotne jest: stosowanie zasady najmniejszych uprawnień, silnych haseł, uwierzytelniania wieloskładnikowego, szybkie cofanie dostępu w przypadku zmiany roli lub odejścia użytkownika z organizacji oraz monitorowanie podejrzanych prób logowania.

W chmurze powierzchnia ataku rośnie z każdą nową usługą, interfejsem API lub integracją. Błędne konfiguracje w magazynowanieZbyt szerokie role, porzucone konta lub niebezpieczne wartości domyślne to częste problemy. W takich sytuacjach do gry wchodzą regularne audyty konfiguracji, szyfrowanie danych w spoczynku i w ruchu, segmentacja sieci wirtualnej oraz ciągłe przeglądy uprawnień.

Aby to wszystko wspierać, technologie takie jak: narzędzia do wykrywania i mapowania zasobów, skanery luk w zabezpieczeniach, systemy kontroli dostępu, platformy zarządzania konfiguracją i narzędzia do zabezpieczania sieci (zapory sieciowe, systemy IDS/IPS, NDR itp.). Rozwiązania takie jak SentinelOne łączą na przykład ochronę punktów końcowych, analizę behawioralną i automatyczną reakcję, aby jeszcze bardziej ograniczyć skuteczną powierzchnię ataku.

Wyzwań jest wiele: złożone zależności między systemamiObecność starszych aplikacji, które nie obsługują nowoczesnych rozwiązań, szybkie tempo zmian technologicznych, ograniczenia zasobów oraz nieustanny konflikt między bezpieczeństwem a produktywnością – to wszystko przyczynia się do tego wyzwania. Znalezienie właściwej równowagi wymaga dogłębnego zrozumienia działalności firmy oraz nadania priorytetu kluczowym zasobom i procesom.

W tym kontekście reguły ASR stają się jednym z najskuteczniejszych narzędzi ograniczających pole działania atakującego na punkcie końcowym. Dobrze zaplanowane (zaczynając od audytu), precyzyjnie dostrojone za pomocą precyzyjnych wyłączeń i starannie monitorowane, zapobiegają automatycznej eskalacji błędu użytkownika, pojedynczego exploita lub złośliwego dysku USB do poziomu incydentu krytycznego, pomagając utrzymać mniejszą, łatwiejszą w zarządzaniu i, przede wszystkim, skuteczniejszą powierzchnię ataku. znacznie trudniejszy do wykorzystania.