Duas maneiras de combater as ameaças à segurança cibernética das vulnerabilidades de rede do Windows

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) designou outubro como o Mês da Conscientização sobre Segurança Cibernética. Pode ser uma grande oportunidade para entender melhor seus ativos de computador e rede e responder às ameaças de segurança.
Ⓒ Banco de Imagens Getty

Catalogação e avaliação de software

Uma forma de aumentar a conscientização sobre ameaças à segurança cibernética é avaliar e catalogar o software que sua empresa usa. As pessoas tendem a se concentrar nos patches da Microsoft e negligenciar o uso de ferramentas de terceiros para tornar os sistemas mais seguros. Reveja os pontos fracos do software e a configuração do ambiente. Isso geralmente requer um software de inventário que pode analisar as redes dos usuários.

Se uma empresa estiver usando um ambiente tradicional, ferramentas baseadas no Active Directory podem ser usadas para analisar a vulnerabilidade do medicamento. Se você tiver sua infraestrutura e ativos de nuvem existentes e tiver uma licença do Office 365 E5, poderá usar ferramentas como o Microsoft Defender Security Center para avaliar qual software você precisa atualizar.

Se você não tem orçamento para comprar uma licença E5, pode usar uma ferramenta alternativa como o SpiceWorks para catalogar e analisar sua rede. Os sistemas locais podem aproveitar o PowerShell para criar relatórios de inventário de software conectado à rede. Esta ferramenta analisa e lista as seções de software instaladas em seu computador.

O PowerShell tem sido usado há muito tempo como um veículo para o desenvolvimento de sistemas de inventário, mas depende do acesso ao Active Directory. Especialmente à medida que fazemos a transição para redes desconectadas durante a pandemia, é mais necessária uma maneira de listar os sistemas que não estão registrados em um domínio. Computadores desconectados e não gerenciados geralmente não recebem atualizações de software e manutenção. Uma ferramenta que fornece uma visão geral de segurança de todos os softwares ajudará a manter sua rede segura.

Esqueci de instalar um software relativamente novo como o 7-zip e não atualizei para a versão mais recente. Todo esse software sem patch é a causa da exposição a ameaças de segurança reais.

Definir regra de redução da superfície de ataque

O painel de recomendações de segurança no Defender Security Center da Microsoft parece recomendar fortemente a atualização do 7-zip, que possui as maiores vulnerabilidades de segurança. No entanto, um olhar mais atento afirma que, na prática, não podem ocorrer explorações.

Você precisa encontrar uma ferramenta que recomende as configurações de segurança para implantar. O software Office há muito tempo é um ponto de entrada para ransomware e, para proteger melhor o sistema, você deve habilitar as regras de redução da superfície de ataque (ASR). Em vez de corrigir o 7-zip, você deve implantar, testar e aplicar as regras ASR. O Console do Microsoft Defender para Endpoints sugere o uso das cinco regras ASR a seguir:

  • Bloquear a criação de subprocessos para todos os aplicativos de escritório
  • Bloquear a ação do conteúdo executável baixado em JavaScript ou VBScript
  • Bloqueie o funcionamento de arquivos executáveis ​​se eles não atenderem aos critérios de idade ou de confiança
  • Bloqueie processos não confiáveis ​​ou não assinados em execução em USB
  • Bloqueie a persistência de ameaças por meio de assinaturas de eventos WMI

Todas as empresas devem testar e implantar a primeira regra ASR: ‘Bloquear todos os aplicativos de escritório de subprocessos de geração’. A Microsoft geralmente tem a nuance de ter que assinar uma licença corporativa para usar as regras ASR. Qualquer usuário com uma licença do Windows 10 Professional pode usar as regras ASR. Sem o Windows 10 Enterprise, alguns recursos de relatório simplesmente não estão disponíveis.

O Threat Insights do Microsoft Defender Security Center revela o risco de uma vulnerabilidade. Mesmo um escritório totalmente atualizado representa um risco para a rede. Os invasores usam muito o Office para distribuir ransomware. Ataques usando subprocessos no Office incluem Qakbot, que forneceu acesso a afiliados de ransomware e execução remota de código CVE-2021-40444 MSHTML, GravityRAT, CHIMBORAZO, Zloader, IcedID, botnets Sysrv, inteligência e mineração de moedas. O bismuto é um exemplo.

O invasor também está usando macros do Excel 4.0. As pessoas pensarão que o Excel 4.0 não é mais necessário, mas algumas empresas ainda usam processos macro existentes para executar funções básicas de negócios. Macros do Excel, normalmente contidos em arquivos maliciosos que induzem phishing, etc., são usados ​​para tomar seu lugar nas estações de trabalho e lançar ataques mais poderosos na rede. Um invasor coleta credenciais de uma estação de trabalho com um despejo de memória LSASS para obter mais privilégios de rede ao se conectar à rede.

Para quem está no setor de segurança, todo mês é o Mês da Conscientização sobre Segurança Cibernética. Dê uma olhada em sua rede de dispositivos locais e não conectados neste mês. Recomendamos que você verifique se a opção tem visibilidade e controle sobre todos os seus ativos de tecnologia. [email protected]


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!