無需更換系統防止固件攻擊的三種方法
最近有安全文章警告稱,固件攻擊出現上升勢頭。文章引用了針對1000位企業網絡安全決策者的調查數據,受訪對象橫跨英國、美國、德國、日本和中國的多個行業,調查結果表明;80%的受訪公司在過去兩年中經歷過至少一次固件攻擊。然而,僅29%的安全預算分配給了固件防護。微軟認為,固件攻擊的解決方案是安全核心電腦,這類電腦可提供“開箱即用的強大防護,具備虛擬化安全、Credential Guard和內核DMA防護等功能”。
不過,不僅未必所有的工作站都需要這些類型的保護,我們也不應該把有限的資源都投入到這方面。甚至這都不是固件更新之所以這么重要的根源所在。此外,在被問及過去幾年中處理過哪些固件攻擊時,IT管理員表示,防火墻或虛擬專用網軟件需要修復,計算機的固件倒是未必。
盡管有些惡意軟件利用固件漏洞獲取網絡訪問權,但通常都結合了其他類型的攻擊。例如,Robbinhood勒索軟件就采用暴力破解遠程桌面協議(RDP)來侵入網絡,建立立足點后再利用技嘉的脆弱內核驅動程序。
好鋼要用在刀刃上,安全預算也要用在最值回票價的地方。如果資源都花在購買配置有安全固件的計算機上,你就會錯失能夠更快修復安全漏洞的很多更經濟的解決方案。安全重點要放在基于風險的安全解決方案上,而不是針對罕見攻擊的那些解決方案。以下幾種就值得考慮:
▶ 阻止含有Office宏的文件
阻止互聯網上包含Office宏的文件不是什么麻煩事,但卻可以防范常見風險。最近的Office版本中都有這個選項。
可以參照下列步驟在組策略中實現這一設置:
- 在域環境中,從Web下載組策略管理模板。
- 打開組策略管理控制臺。
- 右鍵點擊你想要配置的組策略對象,并選擇“編輯”。
- 在組策略管理編輯器中,導航到“用戶配置”。
- 點擊“管理模板”。
- 導航到“Microsoft Word 2016”。
- 導航到“Word選項”。
- 導航到“安全”。
- 導航到“信任中心”。
- 從互聯網設置打開“阻止宏在Office文件中運行”,配置并啟用此選項。
如果公司某部門需要宏,可以將這些組策略設置應用到特定部門,而不影響整個公司。分析“Web標記”功能的運行機制有助于調整安全狀態,更加有效地保護系統安全。報告,還要確保網絡設計適用這些設置。確保開發人員充分理解禁用或調整文件Web標記狀態的后果。
▶ 設置攻擊面減少規則
可以使用Windows 10中的攻擊面減少(ASR)規則來保護工作站。ASR規則能夠提供額外的攻擊防護,但管理員往往不會利用ASR規則。幾條ASR規則應該不會影響用戶的日常生活。例如,“阻止所有Office應用程序創建子進程”這條ASR規則,就不會給大多數用戶制造麻煩。
▶ 更新固件和驅動程序
你依然需要固件部署解決方案,但為什么需要的原因可能跟你想象的有點差距。Windows 10功能版本部署后通常需要更新驅動程序,尤其是視頻或音頻驅動程序。如果缺乏合適的視頻或音頻驅動程序,就常會無法啟動功能版本升級進程。
另外還有驅動程序漏洞的問題。一旦獲得系統訪問權,攻擊者會利用各種方式展開橫向移動或提升權限。即使對現有系統而言,擁有管理和維護驅動程序的能力也是一個關鍵需求。微軟最近已將提供驅動程序的功能納入了Windows更新進程,不再放置在操作系統之外。
如果已經在網絡管理員的崗位上干了幾年,那你可能會有點厭倦,不愿意批準安裝驅動程序,尤其是通過Windows軟件更新服務(WSUS)。很多管理員都遭遇過Windows提供的驅動程序無法正常工作而只能回滾系統的悲慘經歷。
一些計算機供應商提供監測和安裝固件及驅動程序更新的應用程序。這些供應商應用程序可以很方便地提供和安裝驅動程序,還不太容易出錯。而Windows更新進程要想達到此類供應商應用程序的水平恐怕還需要些時間。
在Ignite大會上,微軟宣布將開始測試驅動程序部署到系統的新過程。該過程將作為個人預覽版開放,并在2021年下半年為Intune和Microsoft Graph提供新的部署服務。配置管理器管理員將從中獲益,無需改變用WSUS提供Windows更新的方式。
微軟正鼓勵富有探索精神的用戶報名參與其預覽體驗計劃。可在Windows Customer Connection Program中的工程社區注冊,跟進此計劃。如需獲取更多信息,可登錄社區,并在問題5中選擇“驅動程序及固件更新個人預覽”選項。即使不參與公開預覽或測試,這也是保持消息靈通的大好方式。
