Cisco προσοχή στην χρήση του PowerShell


Το PowerShell ήταν η πηγή περισσότερων από το ένα τρίτο των κρίσιμων κενών ασφαλείας που εντοπίστηκαν το δεύτερο εξάμηνο του 2020, σύμφωνα με μια έρευνα της Cisco που ανακοινώθηκε σήμερα σε μια διάσκεψη της RSA.

powershell

Η κορυφαία κατηγορία απειλών που εντοπίστηκαν σε όλα τα Cisco Secure Endpoint ήταν εργαλεία διπλής χρήσης που χρησιμοποιήθηκαν για εργασίες εκμετάλλευσης αλλά και μετά την εκμετάλλευση.

Τα PowerShell Empire, Cobalt Strike, PowerSploit, Metasploit και άλλα παρόμοια εργαλεία έχουν και νόμιμες χρήσεις, αναφέρει η Cisco στην έρευνά της, αλλά έχουν γίνει επίσης και εργαλεία που συνηθίζουν να χρησιμοποιούν οι εισβολείς. Τέτοιες πρακτικές χρησιμοποιούνται για να αποφύγουν τον εντοπισμό όταν τρέχουν ξένα εργαλεία ή κώδικα για παραβιάσεις συστημάτων.

“Με βάση την έρευνα της Cisco, το PowerShell είναι η πηγή περισσότερων από το ένα τρίτο των κρίσιμων απειλών”, αναφέρει ο Gedeon Hombrebueno, Διαχειριστής προϊόντων Endpoint Security της Cisco Secure.

Η Cisco προτείνει ορισμένα βήματα προστασίας που φυσικά, διευκολύνονται με το Cisco Secure Endpoint, αλλά και μερικά άλλα εργαλεία EDR (από το endpoint detection and response).

Ωστόσο, υπάρχουν ορισμένα βήματα που οι διαχειριστές μπορούν (και πρέπει) να κάνουν εντελώς δωρεάν, όπως η πρόληψη ή ο περιορισμός της εκτέλεσης του PowerShell σε λογαριασμούς εκτός του διαχειριστή, επιτρέποντας την εκτέλεση μόνο υπογεγραμμένων script και τη χρήση της λειτουργίας Constrained Language.

Μπορείτε να διαβάσετε αναλυτικές οδηγίες για την προστασία του PowerShell στο παρακάτω white paper ή να δοκιμάσετε το PowerShell Protect

Intel Insights: How to Secure PowerShell


Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news