O governo australiano promoveu seu “Oito essenciais”Recomendações para mitigar ataques de segurança cibernética por algum tempo. Essas recomendações são bastante sólidas e vale a pena revisá-las para qualquer organização.
Vamos dar uma olhada na primeira metade da lista e ver quais soluções Microsoft correspondem a eles:
UM: Lista de permissões de aplicativos - para controlar a execução de software não autorizado
Por que: Embora possa parecer muito forte, apenas permitir a execução de um software confiável reduz drasticamente a superfície de ataque. Há mais trabalho do que apenas permitir que qualquer pessoa execute o que quiser, mas isso interrompe a execução de scripts, executáveis e instaladores desconhecidos com um esforço relativamente pequeno.
No local: com o Active Directory, Applocker já existe há algum tempo e pode fazer isso muito bem. Por meio da Política de Grupo, todos os aplicativos, scripts e instaladores podem ser bloqueados, a menos que sejam especificamente incluídos na lista de permissões pelo signatário do arquivo, o hash ou o caminho do arquivo.
cloud: O Intune pode ser usado para gerenciar Controle de aplicativos do Windows Defender que funciona de maneira semelhante ao Applocker, mas tem alguns recursos extras para automatizar o gerenciamento de regras em vez de ser um processo totalmente manual.
DOIS: Aplicação de patches - para corrigir vulnerabilidades de segurança conhecidas
Por que: Uma vulnerabilidade não corrigida fornece a um invasor outra maneira de entrar em seus sistemas. Assim que um patch for lançado, as pessoas tentarão fazer a engenharia reversa do patch para, então, descobrir como podem usá-lo por conta própria. Quanto mais você espera para corrigir um sistema, mais arriscado ele se torna - mas isso precisa ser equilibrado com o fornecimento de estabilidade, pois às vezes os patches podem introduzir novos problemas.
On-Premissas: Além de apontar todos os dispositivos para as atualizações do Windows, Windows Server Update Services (WSUS) existe há muitos anos para corrigir o Windows, Office e alguns aplicativos de terceiros que suportam esse método. Uma abordagem mais avançada e granular é possível por meio de System Center Configuration Manager (ConfigMgr) para ter relatórios, gerenciamento e implantações mais detalhados. O ConfigMgr ainda é a forma mais popular do Windows de implantar e gerenciar aplicativos, e plug-ins pagos de terceiros estão disponíveis para ajudar a automatizar aplicativos comuns de terceiros (Adobe, Java, etc).
Na nuvem: Atualizações do Windows para empresas combinado com o Intune permite que você especifique anéis de atualização para diferentes dispositivos para corrigir o Windows / Office de uma maneira que os problemas possam ser encontrados primeiro por meio de usuários piloto. Espera-se que os aplicativos de terceiros sejam mais autoatualizados, como baseados em navegador, clique para executar e Windows Store. O Intune ainda pode ser usado para implantar mais patches de estilo legado para aplicativos de terceiros.
TRÊS: Definindo as configurações de macro do Microsoft Office - para bloquear macros não confiáveis
Por quê: Office Macros existe desde a década de 1990 e foram projetados para um mundo muito diferente. Eles podem ser usados para fazer quase tudo e podem ser incorporados em documentos do Microsoft Office como Word, Excel. As configurações do aplicativo podem permitir que essas macros sejam executadas no momento em que um documento é aberto, o que os invasores têm aproveitado muitas vezes para obter o controle dos sistemas.
No local: Embora isso possa ser feito em um usuário por usuário, isso deve ser bloqueado em um ambiente Active Directory por meio Modelos de Política de Grupo e Office ADMX.
cloud: O Intune pode ser configurado para usar Windows Defender Exploit Guard para evitar que os aplicativos do Office possam usar macros. Modelos administrativos também pode ser implantado para bloquear macros.
QUATRO: Endurecimento de aplicativos - para proteger contra funcionalidades vulneráveis
Por que: Configurar aplicativos para não usar determinados recursos reduz a superfície de ataque. Até mesmo anúncios em navegadores são considerados um risco, pois podem entregar uma carga maliciosa via script. Bloquear quem tem Adobe Flash apenas para aqueles que precisam dele por motivos comerciais reduz bastante a superfície de ataque para quaisquer vulnerabilidades que exijam Flash em primeiro lugar. Isso pode levar muito tempo para acertar, pois cada aplicativo precisa ser investigado separadamente.
No local: O Active Directory e a Diretiva de Grupo podem ser usados para configurar a maioria dos aplicativos, geralmente por um modelo ADMX, configurações de registro ou configurações de arquivo INI. O ConfigMgr também pode ser aproveitado, usando Linhas de base de configuração e Configurações de conformidade.
cloud: O Intune tem várias maneiras de implantar configurações, mas também Linhas de base de segurança pode ser configurado para garantir que os dispositivos sejam configurados da maneira que deveriam ser. Aplicativos modernos com um back-end SaaS geralmente têm configuração disponível centralmente, como OneDrive for Business, bloqueando a capacidade de permitir que usuários compartilhem links anônimos, onde um arquivo malicioso pode ser descartado por qualquer pessoa com a URL.
Como você pode ver, existem soluções claras para cada estratégia de mitigação da Microsoft, independentemente de seu ambiente ser local, na nuvem ou híbrido.
Qual é o próximo?
Na próxima vez, revisaremos as 4 recomendações restantes dentro das “Oito Essenciais” promovidas pelo governo australiano. Analisar por que eles são recomendados e como a Microsoft os atende tanto no espaço local quanto na nuvem.
English
Arabic
Bengali
Dutch
English
French
German
Greek
Hindi
Irish
Italian
Japanese
Portuguese
Spanish
Swedish
Trackbacks / Pingbacks