Безопасность или удобство?
В начале февраля от корпорации Microsoft появились неожиданные новости о защите пользователей ОС Windows.
Планируется блокировать использование макросов в файлах, полученных из интернета, чтобы снизить количество успешных фишинговых атак, использующих эту небезопасную функцию. Эта мера позволит если не полностью исключить действенность вредоносных документов, то хотя бы снизить их эффективность за счет непривычной процедуры предоставления им разрешений на выполнение макросов.
Одним из следующих шагов в направлении борьбы с популярными методами и инструментами киберпреступников стала настройка правил безопасности Microsoft Defender. Теперь правило «Attack Surface Reduction» (ASR) включается по умолчанию в лицензиях Windows Enterprise, использующих Microsoft Defender в качестве основного антивируса. Правила ASR помогают предотвратить действия, которые вредоносные программы часто используют для компрометации устройств и сетей. Эта мера направлена в том числе на блокировку попыток хакеров украсть учетные данные Windows из процесса LSASS. Доступ к данному процессу зачастую используется киберпреступниками для создания дампа памяти, содержащего NTLM-хэши учетных данных пользователей Windows. Эти хэши могут использоваться как в брутфорс атаках, так и в атаках Pass-the-Hash.
Стоит отметить, что после установки другого антивирусного решения ASR сразу отключается на устройстве. Также исследователи обнаружили, что встроенные пути исключений Microsoft Defender позволяют злоумышленникам запускать свои инструменты, чтобы обойти правила ASR и получить дамп процесса LSASS.
Ранее Microsoft не включала правила ASR по умолчанию из-за того, что они часто приводят к ложным срабатываниям и излишне заполняют журналы событий. Также эта мера может привести к конфликтам с драйверами или приложениями, из-за чего некоторые организации, вероятно, не станут оставлять ее в активированном состоянии. Однако корпорация начала делать выбор в пользу безопасности в ущерб удобству, устраняя функционал, который значительно увеличивает возможности для атак.
«Безопасность всегда требует баланса между гибкостью технологий и должным уровнем защиты от угроз, — отмечает Татьяна Лынова, аналитик группы оперативного мониторинга Angara SOC. — Драйвером развития бизнес-процессов служат в первую очередь потребности бизнеса, и зачастую вопросы информационной безопасности остаются на втором плане. Однако пренебрежение защищенностью ценных данных и непрерывностью процессов оборачивается серьезными финансовыми рисками в эпоху цифровой трансформации. В таких условиях разумно подойти к решению задачи с точки зрения целесообразности применяемых решений, удобства их использования, эффективности взаимодействия и возможностей информационной инфраструктуры, чтобы гарантировать бесперебойную работу средств защиты».