Riduzione della superficie di attacco è una funzionalità di Windows Defender Exploit Guard che impedisce le azioni utilizzate da malware in cerca di exploit per infettare i computer. Windows Defender Exploit Guard è un nuovo set di funzionalità di prevenzione delle invasioni che Microsoft ha introdotto come parte di Windows 10 v1709. I quattro componenti di Windows Defender Exploit Guard includono:
- Protezione della rete
- Accesso alle cartelle controllate
- Protezione dagli exploit
- Riduzione della superficie di attacco
Una delle maggiori capacità, come già detto, è Riduzione della superficie di attacco, che proteggono da azioni comuni di software dannoso che si eseguono su dispositivi Windows 10.
Lascia capire cosa è la riduzione della superficie di attacco e perché è così importante.
Funzionalità di riduzione delle superfici di attacco di Windows Defender
Le e-mail e le applicazioni per ufficio sono la parte più cruciale della produttività di qualsiasi azienda. Sono il modo più semplice per gli hacker informatici di entrare nei loro PC e reti e installare malware. Gli hacker possono utilizzare direttamente macro e script di Office per eseguire direttamente exploit che operano interamente in memoria e sono spesso non rilevabili dalle tradizionali scansioni antivirus.
La cosa peggiore è che per un malware ottenere una voce, basta che l'utente abiliti le macro su un file di Office dall'aspetto legittimo o per aprire un allegato di posta elettronica che possa compromettere la macchina.
È qui che la riduzione della superficie di attacco viene in soccorso.
Vantaggi della riduzione della superficie di attacco
Attack Surface Reduction offre un set di intelligenza integrata che può bloccare i comportamenti sottostanti utilizzati da questi documenti dannosi per l'esecuzione senza ostacolare gli scenari produttivi. Bloccando i comportamenti dannosi, indipendentemente da quale sia la minaccia o l'exploit, Attack Surface Reduction può proteggere le aziende da attacchi zero-day mai visti prima e bilanciare i loro rischi per la sicurezza e i requisiti di produttività.
ASR copre tre comportamenti principali:
- App per ufficio
- Script e
- Messaggi di posta elettronica
Per le app di Office, la regola Attack Surface Reduction può:
- Blocca le app di Office dalla creazione di contenuti eseguibili
- Blocca le app di Office dalla creazione di processi secondari
- Blocca le app di Office dall'iniezione di codice in un altro processo
- Blocca Win32 importa dal codice macro in Office
- Blocca codice macro offuscato
Molte volte i macro degli uffici dannosi possono infettare un PC iniettando e avviando file eseguibili. Attack Surface Reduction può proteggersi da questo e anche da DDEDownloader che ha recentemente infettato i PC in tutto il mondo. Questo exploit utilizza il popup Dynamic Data Exchange nei documenti ufficiali per eseguire un downloader di PowerShell durante la creazione di un processo secondario che la regola ASR blocca in modo efficiente!
Per la sceneggiatura, la regola Attack Surface Reduction può:
- Blocca codici JavaScript dannosi, VBScript e PowerShell che sono stati offuscati
- Blocca JavaScript e VBScript dall'esecuzione del payload scaricato da internet
Per email, ASR può:
Blocca l'esecuzione di contenuti eseguibili abbandonati dalla posta elettronica (webmail / mail-client)
Ora un giorno, c'è stato un successivo aumento di spear-phishing e anche le e-mail personali dei dipendenti sono mirate. ASR consente agli amministratori aziendali di applicare criteri di file sull'e-mail personale sia per la posta Web che per i client di posta sui dispositivi aziendali per la protezione dalle minacce.
Come funziona la riduzione della superficie d'attacco
ASR funziona attraverso regole identificate dal loro ID di regola univoco. Per configurare lo stato o la modalità per ciascuna regola, possono essere gestiti con:
- Politica di gruppo
- PowerShell
- CSP MDM
Possono essere utilizzati quando è necessario abilitare solo alcune regole o abilitare le regole in modalità individuale.
Per qualsiasi linea di applicazioni aziendali in esecuzione all'interno dell'azienda, è possibile personalizzare le esclusioni basate su file e cartelle se le applicazioni includono comportamenti insoliti che possono essere influenzati dal rilevamento ASR.
Attack Surface Reduction richiede che Windows Defender Antivirus sia l'AV principale e che sia necessario abilitare la funzione di protezione in tempo reale. La linea di sicurezza di Windows 10 suggerisce che la maggior parte delle regole nella modalità di blocco sopra menzionata dovrebbero essere abilitate per proteggere i tuoi dispositivi da qualsiasi minaccia!
Per saperne di più, è possibile visitare docs.microsoft.com.
Articoli correlati:
- Come configurare Windows Defender Exploit Guard (WDEG) in Windows 10
- Surface 3 specifiche, prezzo. Confronto con Surface Pro 3
- Tablet Apple iPad vs Microsoft Surface RT - Battle for Glory!
- Surface Pro 3 specifiche, caratteristiche, immagini e video
- Surface Team risponde alle domande sul tablet Surface