Usando a virtualização para isolar aplicativos arriscados e outras ameaças de ponto final

Views: 141
0 0
Read Time:8 Minute, 11 Second

Cada vez mais profissionais de segurança estão percebendo que é impossível proteger totalmente uma máquina Windows – com todos os seus componentes legados e milhões de linhas de código potencialmente vulneráveis – de dentro do SO. Com os ataques se tornando mais sofisticados do que nunca, a segurança baseada em hipervisor, de baixo do SO, torna-se uma necessidade.

Ao contrário dos modernos kernels do SO, os hipervisores são projetados para uma tarefa muito específica. Seu código é geralmente muito pequeno, bem revisado e testado, tornando-os muito difíceis de explorar. Por causa disso, o mundo confia em hipervisores modernos para executar servidores, contêineres e outras cargas de trabalho na nuvem, que às vezes correm lado a lado no mesmo servidor físico com total separação e isolamento. Por causa disso, as empresas estão aproveitando a mesma tecnologia confiável para trazer isolamento aplicado por hardware ao ponto final.

Guarda de aplicativos Do Microsoft Defender

O Microsoft Defender Application Guard (anteriormente conhecido como Windows Defender Application Guard, ou apenas WDAG), traz isolamento baseado em hipervisor para aplicativos Microsoft Edge e Microsoft Office.

Ele permite que os administradores apliquem políticas que forcem sites e documentos não confiáveis a serem abertos em recipientes Hyper-V isolados, separando completamente o malware potencial do sistema operacional host. Malware executado nesses contêineres não será capaz de acessar e exfiltrar arquivos confidenciais, como documentos corporativos ou credenciais corporativas, cookies ou tokens dos usuários.

Com o Application Guard for Edge, quando um usuário abre um site que não foi adicionado à lista de pericol, ele é automaticamente redirecionado para uma nova instância isolada do Edge, continuando a sessão lá. Este exemplo isolado do Edge fornece outra camada de sandboxing muito mais forte para lidar com ameaças da Web. Se permitido pelo administrador, os arquivos baixados durante essa sessão podem ser acessados posteriormente pelo sistema operacional host.

isolate risky applications

Com o Application Guard for Office, quando um usuário abre um documento desconhecido, talvez baixado da internet ou aberto como um anexo de e-mail, o documento é automaticamente aberto em uma instância isolada do Office.

Até agora, esses documentos seriam abertos em “exibição protegida”, um modo especial que elimina a ameaça de scripts e macros, desativando a execução de código incorporado. Infelizmente, esse modo às vezes quebra arquivos legítimos, como planilhas que contêm macros inofensivas. Também impede que os usuários editem documentos.

Muitos usuários desativam cegamente o modo “exibição protegida” para habilitar a edição, permitindo assim que o malware seja executado no dispositivo. Com o Application Guard for Office, os usuários não comprometem a segurança (o malware está preso dentro do recipiente isolado) nem a produtividade )o documento é totalmente funcional e editável dentro do contêiner).

Em ambos os casos, o recipiente é gerado instantaneamente, com cpu mínimo, memória e pegadas de disco. Ao contrário das máquinas virtuais tradicionais, os administradores de TI não precisam gerenciar o sistema operacional subjacente dentro do contêiner. Em vez disso, ele é construído a partir de binários existentes do sistema Windows que permanecem corrigidos enquanto o sistema operacional host estiver atualizado. A Microsoft também introduziu novos recursos de GPU virtual, permitindo que o software que roda dentro do contêiner seja acelerado por GPU de hardware. Com todas essas otimizações, Edge e Office funcionando dentro do contêiner parecem rápidos e responsivos, quase como se estivessem funcionando sem uma camada adicional de virtualização.

A compatibilidade perdida

Embora o Application Guard funcione bem com o Edge e o Office, ele não suporta outros aplicativos. Edge sempre será o navegador rodando dentro do contêiner. Isso significa, por exemplo, nenhuma sincronização de contas do Google, algo que muitos usuários provavelmente querem.

E os aplicativos baixados? As aplicações não podem ser executadas dentro do contêiner. (O endurecimento do contêiner contém algumas políticas WDAC que permitem que apenas aplicativos específicos sejam executados.) Isso significa que os usuários podem executar esses aplicativos potencialmente maliciosos apenas no sistema operacional host.

Administradores que não permitem aplicativos desconhecidos no sistema operacional host podem reduzir a produtividade dos usuários e aumentar a frustração. Isso é provavelmente mais proeminente hoje, com tantas pessoas trabalhando em casa e usando uma nova onda de ferramentas modernas de colaboração e aplicativos de videoconferência.

Os usuários que são convidados para reuniões externas às vezes precisam baixar e executar um cliente que pode ser bloqueado pela organização no sistema operacional host. Infelizmente, também não é possível executar o cliente dentro do contêiner, e os usuários precisam procurar outras soluções.

E os documentos não-office? Embora os documentos do Office estejam protegidos, documentos não-Office não são. Os usuários às vezes usam vários outros aplicativos para criar e editar documentos, como Adobe Acrobat e Photoshop, Autodesk AutoCAD e muitos outros. O Application Guard não ajudará a proteger o sistema operacional host de tais documentos que são recebidos por e-mail ou baixados da internet.

Mesmo só com o Escritório, pode haver problemas. Muitas organizações usam complementos do Office para personalizar e simplificar a experiência do usuário final. Esses complementos podem se integrar a outros aplicativos locais ou on-line para fornecer funcionalidade adicional. Como o Application Guard executa um Escritório de baunilha sem personalizações, esses complementos não serão capazes de funcionar dentro do recipiente.

A capacidade de gerenciamento perdida

Configurar o Application Guard não é fácil. Primeiro, enquanto o Application Guard for Edge tecnicamente funciona tanto no Windows Pro quanto no Windows Enterprise, apenas no Windows Enterprise é possível configurá-lo para iniciar-se automaticamente para sites não confiáveis. Para usuários não técnicos, isso torna o Application Guard quase inútil aos olhos de seus administradores de TI, já que esses usuários têm que lançá-lo manualmente toda vez que consideram um site não confiável. É muito espaço para erros humanos. Mesmo que todos os dispositivos estejam executando o Windows Enterprise, não é uma caminhada no parque para os administradores.

Para a configuração de isolamento de rede, os administradores têm que fornecer uma lista manual de IPs separados por vimísma e nomes de domínio. Não é possível integrar-se com o seu proxy web já totalmente configurado. Também não é possível integrar-se com sistemas de filtragem baseados em categorias que você também pode ter. Além do sistema adicional para gerenciar, não há interface do usuário conveniente ou recursos avançados (como filtragem automática com base em categorias) para usar. Para fazê-lo funcionar com o Chrome ou o Firefox, os administradores também precisam executar configurações adicionais, como fornecer extensões do navegador.

Esta não é uma solução turnkey para administradores e requer mexer com múltiplas configurações e GPOs até que funcione.
Além disso, outros recursos de gestão são muito limitados. Por exemplo, embora os administradores possam definir se as operações da área de transferência (copy+paste) são permitidas entre o host e o contêiner, não é possível permitir que essas operações apenas de uma maneira e não da outra. Também não é possível permitir certos tipos de conteúdo, como texto e imagens, enquanto bloqueia outros, como arquivos binários.
Personalizações do SO e agrupamentos adicionais de software, como extensões edge e complementos do Office também não estão disponíveis.

Enquanto os arquivos do Office são abertos automaticamente no Application Guard, outros tipos de arquivos não são. Os administradores que gostariam de usar o Edge como um visualizador PDF seguro e isolado, por exemplo, não podem configurar isso.

A segurança desaparecida

Como dito anteriormente, o Application Guard não protege contra arquivos maliciosos que foram erroneamente categorizados como seguros pelo usuário. O usuário pode baixar com segurança um arquivo malicioso em seu Edge isolado, mas depois optar por executá-lo no sistema operacional host. Ele também pode categorizar erroneamente um documento não confiável como corporativo, para tê-lo aberto no sistema operacional host. Malware poderia facilmente infectar o host devido a erros do usuário.

Outra ameaça em potencial vem do lado da rede. Embora o malware entrando no contêiner seja isolado em alguns aspectos, como memória (não pode injetar-se em processos executados no host) e sistema de arquivos (ele não pode substituir arquivos no host por cópias infectadas), ele não está totalmente isolado no lado da rede.

Os contêineres do Application Guard aproveitam o recurso ICS (Windows Internet Connection Sharing, compartilhamento de conexão com a internet) para compartilhar totalmente a rede com o host. Isso significa que o malware executado dentro do contêiner pode ser capaz de atacar alguns recursos corporativos sensíveis que são acessíveis pelo host (por exemplo, bancos de dados e data centers) explorando vulnerabilidades de rede.

Enquanto o Application Guard tenta isolar ameaças da Web e documentar, ele não fornece isolamento em outras áreas. Como mencionado anteriormente, o Application Guard não pode isolar aplicativos não-Microsoft que a organização escolhe usar, mas não confiar. Aplicativos de videoconferência, por exemplo, foram explorados no passado e geralmente não exigem acesso a dados corporativos – é muito mais seguro executá-los em um contêiner isolado.

O manuseio externo do dispositivo é outra área de risco. Pense no CVE-2016-0133, que permitiu que os invasores executasse código malicioso no kernel do Windows simplesmente conectando um pen drive USB no laptop da vítima. Isolar dispositivos USB desconhecidos pode parar tais ataques.

A solução holística que falta

Não seria ótimo se os usuários pudessem facilmente abrir qualquer documento arriscado em um ambiente isolado, por exemplo, através de um menu de contexto? Ou se os administradores pudessem configurar qualquer site, documento ou aplicativo arriscado para ser transferido e aberto automaticamente em um ambiente isolado? E talvez também ter sites corporativos para serem automaticamente abertos no so host, para evitar misturar informações confidenciais e credenciais corporativas com trabalho não corporativo?

Que tal anexar automaticamente dispositivos USB de risco ao contêiner, por exemplo, pen drives pessoais, para reduzir as chances de infectar o sistema operacional host? E se tudo isso pudesse ser fácil para os administradores implantarem e gerenciarem, como uma solução de turn-key na nuvem?

FONTE: HELPNET SECURITY

Previous post Deloitte condenada a pagar 23 milhões de Euros pela auditoria fraudulenta
Next post Microsoft oferece SIEM e XDR unificados para modernizar operações de segurança

Deixe um comentário