מענה לבעיות אבטחה עם Exploit Guard (אינטרו)
אז בכל בוקר שגרתי שאנו מתעוררים ועם הקפה עוברים על מה התחדש בעולם הטכנולוגי, בין היתר אנו עוברים על ידיעה חדשה של ארגון “שאכל” מתקפת סייבר.
זאת המציאות המתחדשת שכל מי שמתעסק בתחום הטכנולוגי מתעורר אליה ובפרט אנשי הסייבר שמתעדכנים בכל עת.
אין צורך להרחיב שכתוצאה מההתקדמות הטכנולוגיה, התפתחות המתקפות והתחכמות התוקפים אנו מוצאים את עצמנו בכל זמן נתון מחפשים דרכים נוספות ורובד אבטחה נוסף שיתן מענה לכל אותם איומי וסיכוני סייבר אך במקביל להישאר פרודוקטיביים ברמת משתמשים וברמת אדמינים.
בדוחות האחרונים של חברות האבטחה השונות ניתן לראות את הסיכונים שהתגברו במהלך השנה האחרונה וגם את הסיכונים והתגברות המתקפות של השנה הקרובה.
בין היתר ישנם את הדוחות הבאים של:
- Microsoft Security Intelligent Graph
- CheckPoint Cyber Attack Trends: Mid-Year Report
- Cisco 2017 Midyear Cybersecurity Report
ישנם חברות אבטחה נוספות שהציגו דוחות Mid-Year Security וברובם ניתן לראות שאנו נמשיך לראות בתקופה הקרובה המון התקפות סייבר ובין היתר התקפות מתקדמות מול משתמשי קצה, כגון:סוגים חדשים של כופר, macro-based malware ועוד.
כידוע החלק החלש מאד בכל אותם התקפות הם משתמשי הקצה אשר חשופים בין היתר להתקפות פישינג, Social engineering, Watering hole ועוד התקפות מעניינות ולכן אנו כאנשי סייבר צריכים לעשות את המיטב בכדי לסייע בהגנה על כל אותם משתמשי קצה אך במקביל להמשיך לדואג לפרודוקטיביות של המשתמשי קצה. קשה אך אפשרי.
*מודעות משתמשי קצה – ישנם מערכות למידה שונות אשר מגבירים את מודעות הסייבר למשתמש ומסייעים בהורדת אחוז המשתמשים אשר מבצעים טעויות. אין ספק שזה מנגנון נדרש אך משם לא תבוא ההגנה על המשתמש בגלל שאם המשתמש נמצא בלחץ ועומס עבודה או שמבוצע עליו Social engineering מתדם המשתמש ילחץ על כל דבר.
אז אחרי הכל מה כן ניתן לבצע ואיך ניתן להגן על משתמשי הקצה ולמנוע את המתקפה הבאה? המנגנון שתופס תאוצה ונותן מענה מתקדם ברמת תחנות קצה הוא Windows 10 Security.
היכולות של Windows 10 Security מכילות סט ענק ורחב של הגנה החל מהצפנות, הגנה ברמת אפליקטיבית, הגנה מפני התקפות מתקדמות כולל Zero-Day, הגנה מפני התקפות זכרון ועוד.
יכולות Windows 10 Defedense Stack נחלקות לשניים:
הגנה שלפני Pre Breach
המטרה של יכולות Pre Breach היא למנוע ולהקטין את איומי וסיכוני הסייבר לרמה מינימלית ככל האפשר וגם במידה והתבצעה התקפה מול תחנת הקצה היא תהיה מזערית כזאת שתגרום נזק ברמת תחה קצה בלבד.
יכולות Pre Breach כוללות בין היתר יכולות כגון:
-
Credential Guard – מגן על פרטי הזדהות של התחנה באמצעות הפרדה של רכיב LSA וכך מונע חשיפה של סיסמאות
- Device Guard – מגן על אפליקציות ברמת code integrity ומונע הרצה של אפליקציות שאינן מורשות והרצה של מתקפות מבוססות DMA
- Bitlocker – הצפנה של כלל הכוננים שתחנה המקומית ואינטגרציה מול Azure AD
הגנה שאחרי Post Breach
המטרה של יכולות Post Breach היא לתת מענה למתפקות מתקדמות ביום שאחרי ולענות על כמה שאלות: מי התוקף, מה ניסה לבצע ומה הנזק שנגרם לארגון.
שירות Windows Defender ATP נותן מענה למתקפות חכמות ומתקדמות ע”י מנגנון זיהוי של אנומליות, התנהגות, Machine Learning,Big Data ועוד וע”י כך מאפשר לנו לזהות ולהגיב על כל מתקפה ולתחקר את המתקפה באופן מעמיק ולענות על כל אותן שאלות שעלו במהלך המתקפה.
נחזור צעד אחד אחרונה למנגנון Pre Breach ונתמקד ביכולות Exploit Guard שמביאות בשורה חדשה אחרי הכל ומסייעות להקטין את הסיכונים ברמת משמעותית.
מהו Exploit Guard
מנגנון Exploit Guard בנוי מארבעה פיצרים שמסייעים בהקטנה של האיומים ושל סיכוני הסייבר ברמת תחנה קצה ומונעים הרצה קוד זדוני גם אם המשתמש ביצע פעולות מול אותה מתקפה.
המטרה העיקרית של Exploit Guard היא לוודא שגם אם נכנס קוד זדוני לארגון שאופן כלשהוא אנו נוכל למנוע את הרצת הקוד ברמת תחנת הקצה והרצת פעולות מול התוקף וליידע לגבי פעולות שנכשלו ומתקפות שנחסמו.
בסופו של Exploit Guard מספק סט כלים ברמה של Intrusion Prevention להתקפות מבוססות מאקרו, פישינג, קוד זדוני אשר רץ בקובצי Office, מניעת גישה של אפליקציות שאינן מורשות אל תיקיות רגישות וחסימת התקשרות מול שרתי התוקף.
היכולות של Exploit Guard מכילות את היכולות הבאות:
- Attack Surface Reduction או בשמו הקצר ASR שמכיל סט חוקים ומטרתו למנוע הרצה של קוד זדוני כלשהוא
- Controlled Folder Access שמטרתו היא למנוע מאפליקציות שאינן מורשות לגשת לתיקיות רגישות ולבצע פעולות שאינן רצויות
- Network Protection – מונע התקשרות מול גורם חיצוני בזמן המתקפה ואינו מאפשר לקוד הזדוני לגשת לשרתי התוקף
- Exploit Guard – מניעת מתקפות מבוססות זכרון ברמת תחנה קצה
