Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Правила уменьшения поверхности атаки для приложений Microsoft для повышения производительности
Рост удаленной работы, а также более широкое использование нескольких устройств сотрудников создают постоянно расширяющуюся поверхность корпоративных атак. Использование уменьшения поверхности атаки (ASR) может помочь организациям предотвратить использование злоумышленниками уязвимостей и слабостей, которые создают эти две переменные.
Доступны различные продукты и платформы, которые помогут уменьшить поверхность атаки. Организации, которым требуется особая защита конечных точек и управление ими, могут рассмотреть возможность использования Microsoft Defender для конечной точки. Чтобы помочь специалистам по безопасности понять эту платформу Microsoft и ее функции, авторы Пол Хейбрегтс, Джо Анич и Джастен Грейвс написали Microsoft Defender для Endpoint in Depth.
В книге конкретно рассматривается, как решить проблему ASR в распространенных приложениях для повышения производительности, включая Microsoft Office и Outlook. В следующем отрывке из главы 3 авторы объясняют, как использовать правила ASR в Microsoft Defender для конечной точки, чтобы заблокировать такие приложения для повышения производительности от выполнения определенных действий, таких как создание исполняемого содержимого или дочерних процессов.
Загрузите PDF-файл главы 3, чтобы узнать больше. Также обязательно прочитайте наше интервью с Хейбрегтсом, Аничем и Грейвсом, в котором они обсуждают использование Microsoft Defender for Endpoint для управления состоянием безопасности.
Эти правила используются для блокировки поведения или атак, которые пытаются использовать приложения для повышения производительности:
В атаках, которые включают использование уязвимостей в процессах Office или злоупотребление функциями и функциями приложений Office, одним из распространенных последовательных этапов является удаление и выполнение вредоносного файла на пораженном устройстве. Именно здесь злоумышленнику удается успешно проникнуть в устройство и с этого момента он может выполнять любое количество вредоносных действий.
Это правило не позволяет приложениям Office, Word, Excel, PowerPoint и OneNote удалять исполняемый контент на диск. При этом правило направлено на блокировку атак на решающем этапе, когда злоумышленники стремятся получить доступ и закрепиться на машинах.
В случае исполняемых файлов Windows, то есть переносимых исполняемых файлов (PE), правило блокирует запись на диск только ненадежных и неподписанных файлов. Это предотвращает блокировку некоторых предполагаемых вариантов использования. Однако файлы сценариев полностью блокируются без проверки статуса доверия или дружелюбия.
Несколько популярных приложений уже исключены из правила с помощью серверных или глобальных исключений. Однако, чтобы защитить вас от атак, которые могут злоупотребить этими исключениями, Microsoft намеренно воздерживается от публикации списка исключенных приложений/процессов. Несмотря на развертывание глобальных исключений, вам все равно может потребоваться развернуть локальные исключения для собственных внутренних или сторонних бизнес-приложений, заблокированных этим правилом.
Как упоминалось ранее, злоумышленники, использующие приложения Office, то есть Word, Excel, PowerPoint, OneNote и Access, в качестве вектора точки входа, часто пытаются загрузить и выполнить вредоносные файлы на пораженном устройстве или процессах Office. используются для запуска системных процессов или инструментов администратора или безобидных сторонних процессов для углубления или расширения заражения — например, запуска командной строки или PowerShell для отключения важного контроля безопасности или внесения некоторых изменений в реестр.
Таким образом, это правило обеспечивает еще один важный элемент управления — оно блокирует запуск дочерних процессов для всех приложений Office. Никакие доверенные файлы, дружественные файлы, системные файлы, инструменты администратора или безопасные сторонние приложения не могут выполняться.
Внедрение кода в законные чистые процессы (в основном, подписанные процессы) — это хорошо известный метод уклонения от обнаружения. Офисные процессы не застрахованы от этой техники. Однако исследователи из Microsoft понимают, что у процессов Office нет веских причин для внедрения кода в другие запущенные процессы. Это правило запрещает процессам, связанным с приложениями Word, Excel и PowerPoint Office, выполнять действия по внедрению кода.