Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Regole di riduzione della superficie di attacco per le app di produttività Microsoft
L’aumento del lavoro remoto, insieme al maggiore utilizzo di dispositivi da parte di più dipendenti, sta creando una superficie di attacco aziendale in continua espansione. L’utilizzo della riduzione della superficie di attacco, o ASR, può aiutare le organizzazioni a impedire ad attori malintenzionati di sfruttare le vulnerabilità e i punti deboli creati da queste due variabili.
È disponibile una varietà di prodotti e piattaforme per ridurre la superficie di attacco. Le organizzazioni che desiderano proteggere e gestire in modo specifico gli endpoint possono prendere in considerazione Microsoft Defender for Endpoint. Per aiutare i professionisti della sicurezza a comprendere questa piattaforma Microsoft e le sue funzionalità, gli autori Paul Huijbregts, Joe Anich e Justen Graves hanno scritto Microsoft Defender per Endpoint in Depth.
Il libro approfondisce in modo specifico come affrontare l'ASR nelle comuni applicazioni di produttività, tra cui Microsoft Office e Outlook. Nel seguente estratto del capitolo 3, gli autori spiegano come utilizzare le regole ASR di Microsoft Defender per endpoint per impedire a tali app di produttività di intraprendere azioni specifiche, come la creazione di contenuto eseguibile o processi figlio.
Scarica un PDF del capitolo 3 per ulteriori informazioni. Inoltre, assicurati di leggere la nostra intervista con Huijbregts, Anich e Graves, in cui discutono dell'utilizzo di Microsoft Defender per Endpoint per la gestione del livello di sicurezza.
Queste regole vengono utilizzate per bloccare comportamenti o attacchi che tentano di sfruttare le applicazioni di produttività:
Negli attacchi che implicano lo sfruttamento delle vulnerabilità nei processi di Office o l'abuso delle caratteristiche e delle funzionalità delle applicazioni di Office, una delle fasi successive più comuni è il rilascio e l'esecuzione di un file dannoso sul dispositivo interessato. È qui che l'aggressore riesce a introdursi con successo nel dispositivo e da questo momento in poi può eseguire un numero qualsiasi di attività dannose.
Questa regola impedisce alle applicazioni di Office, Word, Excel, PowerPoint e OneNote di eliminare il contenuto eseguibile sul disco. In tal modo, la norma mira a bloccare gli attacchi in una fase cruciale in cui gli aggressori cercano di accedere e prendere piede sulle macchine.
Nel caso dei file eseguibili di Windows, ovvero dei file PE (Portable Executable), la regola blocca solo la scrittura sul disco dei file non attendibili e non firmati. Ciò impedisce il blocco di alcuni casi d'uso previsti. Tuttavia, i file di script vengono completamente bloccati senza convalidare lo stato di attendibilità o di cordialità.
Alcune applicazioni popolari sono già state escluse dalla regola utilizzando esclusioni backend o esclusioni globali. Tuttavia, per proteggerti da attacchi che potrebbero abusare di queste esclusioni, Microsoft si è intenzionalmente astenuta dal pubblicare un elenco delle applicazioni/processi esclusi. Nonostante la distribuzione delle esclusioni globali, potrebbe essere comunque necessario distribuire le esclusioni locali per le applicazioni LOB interne o di terze parti bloccate dalla regola.
Come accennato in precedenza, gli aggressori che utilizzano applicazioni Office, ovvero Word, Excel, PowerPoint, OneNote e Access, come vettore punto di ingresso, spesso tentano di scaricare ed eseguire file dannosi sul dispositivo interessato o processi di Office. vengono utilizzati per eseguire processi di sistema o strumenti di amministrazione o processi benigni di terze parti per approfondire o ampliare l'infezione, ad esempio avviando il prompt dei comandi o PowerShell per disabilitare un importante controllo di sicurezza o apportare alcune modifiche al registro.
Pertanto, questa regola fornisce un altro controllo importante: impedisce a tutte le applicazioni di Office di avviare processi secondari. Non è consentita l'esecuzione di file attendibili, file amichevole, file di sistema, strumenti di amministrazione o applicazioni benigne di terze parti.
L'inserimento di codice in processi legittimi e puliti (principalmente processi firmati) è una tecnica di evasione del rilevamento ben nota. I processi di ufficio non sono rimasti immuni da questa tecnica. Tuttavia i ricercatori di Microsoft capiscono che non esiste alcun motivo valido per cui i processi di Office debbano inserire codice in altri processi in esecuzione. Questa regola impedisce ai processi relativi alle applicazioni Word, Excel e PowerPoint Office di eseguire attività di code injection.