политика Exploit Guard Защитник Windows — Configuration Manager
Twitter LinkedIn Facebook Адрес электронной почты- Статья
Относится к Configuration Manager (Current Branch)
Вы можете настроить и развернуть политики Configuration Manager, которые управляют всеми четырьмя компонентами Защитник Windows Exploit Guard.
К этим компонентам относятся:
- Сокращение направлений атак
- Контролируемый доступ к папкам
- Защита от эксплойтов
- Защита сети
Данные о соответствии для развертывания политики Exploit Guard доступны в консоли Configuration Manager.
Примечание.
Configuration Manager не включает эту необязательную функцию по умолчанию. Перед ее использованием необходимо включить эту функцию. Дополнительные сведения см. в разделе Включение дополнительных функций из обновлений.
Предварительные требования
Управляемые устройства должны работать Windows 10 1709 или более поздней версии. Минимальная сборка Windows Server — 1809 или более поздняя. В зависимости от настроенных компонентов и правил также должны быть выполнены следующие требования:
| Компонент Exploit Guard | Дополнительные предварительные требования |
|---|---|
| Сокращение направлений атак | На устройствах должна быть включена Microsoft Defender для конечной точки постоянная защита. |
| Контролируемый доступ к папкам | На устройствах должна быть включена Microsoft Defender для конечной точки постоянная защита. |
| Защита от эксплойтов | Нет |
| Защита сети | На устройствах должна быть включена Microsoft Defender для конечной точки постоянная защита. |
Создание политики Exploit Guard
В консоли Configuration Manager перейдите в раздел Активы и соответствие>Endpoint Protection, а затем щелкните Защитник Windows Exploit Guard.
На вкладке Главная в группе
На странице Общиемастера создания элемента конфигурации укажите имя и необязательное описание элемента конфигурации.
Затем выберите компоненты Exploit Guard, которыми вы хотите управлять с помощью этой политики.
Для каждого выбранного компонента можно настроить дополнительные сведения.- Сокращение направлений атак: Настройте угрозы Office, угрозы сценариев и угрозы электронной почты, которые вы хотите заблокировать или провести аудит. Из этого правила также можно исключить определенные файлы или папки.
- Управляемый доступ к папкам: Настройте блокировку или аудит, а затем добавьте приложения, которые могут обойти эту политику. Можно также указать дополнительные папки, которые не защищены по умолчанию.
- Защита от эксплойтов: Укажите XML-файл, содержащий параметры для устранения эксплойтов системных процессов и приложений. Эти параметры можно экспортировать из приложения Центра безопасности Защитник Windows на устройстве Windows 10 или более поздней версии.
- Защита сети: Настройте защиту сети для блокировки или аудита доступа к подозрительным доменам.
Завершите работу мастера, чтобы создать политику, которую позже можно развернуть на устройствах.
Предупреждение
XML-файл для защиты от эксплойтов должен быть в безопасности при его передаче между компьютерами. Файл должен быть удален после импорта или храниться в безопасном расположении.
Для каждого выбранного компонента можно настроить дополнительные сведения.
Развертывание политики Exploit Guard
После создания политик Exploit Guard используйте мастер развертывания политики Exploit Guard, чтобы развернуть их. Для этого откройте консоль Configuration Manager
Важно!
После развертывания политики Exploit Guard, такой как сокращение направлений атаки или контролируемый доступ к папкам, параметры Exploit Guard не будут удалены из клиентов при удалении развертывания. Delete not supported записывается в журнал ExploitGuardHandler.log клиента, если удалить развертывание Exploit Guard клиента. Чтобы удалить эти параметры, в контексте SYSTEM можно запустить следующий скрипт PowerShell:
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='.
/Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
параметры политики Exploit Guard Защитник Windows
Политики и параметры сокращения направлений атак
Сокращение направлений атак позволяет уменьшить область атаки приложений с помощью интеллектуальных правил, которые останавливают векторы, используемые вредоносными программами office, скриптами и почтовыми программами.
Файлы и папки, которые следует исключить из правил сокращения направлений атаки . Щелкните Задать и укажите все файлы или папки для исключения.
Email угрозы:
- Блокировка исполняемого содержимого из почтового клиента и веб-почты.
- Не настроено
- Блокировка
- Аудит
- Блокировка исполняемого содержимого из почтового клиента и веб-почты.
Угрозы Office:
- Запретить приложению Office создавать дочерние процессы.
- Не настроено
- Блокировка
- Аудит
- Запретить приложениям Office создавать исполняемое содержимое.
- Не настроено
- Блокировка
- Аудит
- Запретить приложениям Office внедрять код в другие процессы.
- Не настроено
- Блокировка
- Аудит
- Заблокируйте вызовы API Win32 из макросов Office.
- Не настроено
- Блокировка
- Аудит
- Запретить приложению Office создавать дочерние процессы.
Угрозы сценариев:
- Запретить запуск скачаемого исполняемого содержимого в JavaScript или VBScript.
- Не настроено
- Блокировка
- Аудит
- Блокировать выполнение потенциально скрытых скриптов.
- Not Configured
- Блокировка
- Аудит
- Запретить запуск скачаемого исполняемого содержимого в JavaScript или VBScript.
Угрозы программ-шантажистов: (начиная с Configuration Manager версии 1802)
- Используйте расширенную защиту от программ-шантажистов.
- Не настроено
- Блокировка
- Аудит
- Используйте расширенную защиту от программ-шантажистов.
Угрозы операционной системы: (начиная с Configuration Manager версии 1802)
- Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows.
- Не настроено
- Блокировка
- Аудит
- Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия.
- Не настроено
- Блокировка
- Аудит
- Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows.
Угрозы для внешних устройств: (начиная с Configuration Manager версии 1802)
- Блокировать недоверенные и неподписанные процессы, выполняемые с USB.
- Не настроено
- Блокировка
- Аудит
- Блокировать недоверенные и неподписанные процессы, выполняемые с USB.
Политики и параметры управляемого доступа к папкам
Помогает защитить файлы в ключевых системных папках от изменений, внесенных вредоносными и подозрительными приложениями, включая вредоносные программы-шантажисты, шифрующие файлы. Дополнительные сведения см. в разделе Контролируемый доступ к папкам и идентификаторы событий, которые он использует.
- Настройка управляемого доступа к папкам:
- Блокировка
- Блокировать только секторы диска (начиная с Configuration Manager версии 1802)
- Позволяет включить управляемый доступ к папкам только для загрузочных секторов и не включает защиту определенных папок или защищенных папок по умолчанию.
- Позволяет включить управляемый доступ к папкам только для загрузочных секторов и не включает защиту определенных папок или защищенных папок по умолчанию.
- Аудит
- Аудит только секторов диска (начиная с Configuration Manager версии 1802)
- Позволяет включить управляемый доступ к папкам только для загрузочных секторов и не включает защиту определенных папок или защищенных папок по умолчанию.
- Отключено
- Разрешить приложения с помощью управляемого доступа к папкам . Щелкните Задать и укажите приложения.
- Дополнительные защищенные папки . Щелкните
Политики защиты от эксплойтов
Применяет методы устранения рисков эксплойтов к процессам и приложениям операционной системы, используемым вашей организацией. Эти параметры можно экспортировать из приложения Центра безопасности Защитник Windows на Windows 10 или более поздних устройствах. Дополнительные сведения см. в разделе Защита от эксплойтов.
Политика защиты сети
Помогает свести к минимуму область атак на устройствах, полученных от атак через Интернет.
Служба ограничивает доступ к подозрительным доменам, в которых могут размещаться фишинговые аферы, эксплойты и вредоносное содержимое. Дополнительные сведения см. в разделе Защита сети.
- Настройка защиты сети:
- Блокировка
- Аудит
- Отключено
Включите защиту от эксплойтов, чтобы снизить риск атак
- Статья
Область применения:
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender для конечной точки (план 1)
- Microsoft 365 Defender
Совет
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Защита от эксплойтов позволяет защищаться от вредоносных программ, использующих эксплойты для заражения устройств и распространения. Защита от эксплойтов состоит из множества мер по устранению рисков, которые можно применять ко всей операционной системе или к отдельным приложениям.
Важно!
.NET 2.0 несовместим с некоторыми возможностями защиты от эксплойтов, в частности, с фильтрацией адресов экспорта (EAF) и фильтрацией адресов импорта (IAF). При включении .NET 2.0 использование EAF и IAF не будет поддерживаться.
Многие функции из набора средств EMET включены в защиту от эксплойтов.
Каждое из этих средств можно включить отдельно, используя любой из указанных способов.
- Приложение «Безопасность Windows
- Microsoft Intune
- Управление мобильными устройствами (MDM)
- Microsoft Configuration Manager
- Групповая политика
- PowerShell
Защита от эксплойтов настраивается по умолчанию в Windows 10 и Windows 11.
Для каждой меры можно установить значение по умолчанию: «Вкл.», «Выкл.» или «По умолчанию». Некоторые меры имеют больше параметров. Вы можете экспортировать эти параметры в формате XML-файла и развернуть их на других устройствах.
Вы также можете настроить для мер устранения рисков режим аудита. Режим аудита позволяет проверить эффективность мер (и просмотреть события), не влияя на обычное использование устройства.
Приложение «Безопасность Windows»
Откройте приложение «Безопасность Windows», выбрав значок щита на панели задач или открыв меню «Пуск» и выбрав параметр Безопасность.
Выберите плитку Элемент управления браузером приложения & (или значок приложения в левой строке меню), а затем выберите Параметры защиты от эксплойтов.
Перейдите в Параметры программы и выберите приложение, к которому вы хотите применить меры.
- Если приложение, которое вы хотите настроить, уже указано в списке, выберите его и нажмите Изменить.
- Если приложение отсутствует в списке, в верхней части списка выберите Добавить программу для настройки , а затем выберите способ добавления приложения.
- Используйте Добавить по имени программы, чтобы применить меры к любым запущенным процессам с таким именем. Укажите файл с расширением. Вы можете ввести полный путь, чтобы ограничить применение мер только приложением с таким именем в этом расположении.
- Нажмите Выбрать точный путь файла, чтобы использовать стандартное окно выбора файлов проводника Windows Explorer для поиска и выбора нужного файла.
- Если приложение, которое вы хотите настроить, уже указано в списке, выберите его и нажмите Изменить.
После выбора приложения вы увидите список всех мер, которые можно применить. При выборе параметра Аудит применяется меры только в режиме аудита. Вы получите уведомление, если вам нужно перезапустить процесс или приложение, или если вам нужно перезапустить Windows.
Повторите шаги 3–4 для всех приложений и мер, которые вы хотите настроить.
В разделе Параметры системы найдите меры, которые необходимо настроить, и укажите один из следующих параметров. Приложения, которые не настроены индивидуально в разделе Параметры программы, используют параметры, настроенные здесь.
- Включено по умолчанию: эта мера включена для приложений, для которых она не задана в разделе Параметры программы для конкретного приложения
- Выключено по умолчанию: эта мера выключена для приложений, для которых она не задана в разделе Параметры программы для конкретного приложения
- Использовать значение по умолчанию: эта мера включена или отключена в зависимости от конфигурации по умолчанию, настроенной при установке Windows 10 или Windows 11; значение по умолчанию (вкл. или выкл.) всегда указывается рядом с меткой Использовать по умолчанию для каждой меры
Повторите шаг 6 для всех приложений и мер, которые вы хотите настроить.
После настройки конфигурации выберите Применить.
После настройки конфигурации выберите Применить.Если добавить приложение в раздел Параметры программы и настроить там отдельные параметры защиты, они будут учитываться выше конфигурации для устранения рисков, указанных в разделе Параметры системы . В следующей матрице и примерах показано, как работают значения по умолчанию:
| Включено в Параметрах программы | Включено в Параметрах системы | Поведение |
|---|---|---|
| Да | Нет | Как определено в Параметрах программы |
| Да | Да | Как определено в Параметрах программы |
| Нет | Да | Как определено в Параметрах системы |
| Нет | Нет | По умолчанию, как определено в параметре Использовать по умолчанию |
Пример 1.
Майкл настраивает для предотвращения выполнения данных в разделе параметров системы значение «Выключено по умолчанию».Майкл добавляет приложение test.exe в раздел Параметры программы. В параметрах этого приложения для предотвращения выполнения данных (DEP) Майкл включает параметр Переопределение параметров системы и устанавливает переключатель на Включено. В разделе Параметры программы нет других приложений.
В результате предотвращение выполнения данных (DEP) включено только для test.exe Для всех остальных приложений не будет применяться DEP.
Пример 2. Джози настраивает для предотвращения выполнения данных в разделе параметров системы значение «Выключено по умолчанию».
Джози добавляет приложение test.exe в раздел Параметры программы. В параметрах этого приложения для предотвращения выполнения данных (DEP) Джози включает параметр Переопределение параметров системы и устанавливает переключатель на Включено.
Джози также добавляет приложение miles.exe в раздел Параметры программы и настраивает для Защиты потока управления (CFG) значение Включено. Джози не включает параметр Переопределение параметров системы для DEP или других мер для этого приложения.
В результате предотвращение выполнения данных (DEP) включено для test.exe. DEP не будет включен для любого другого приложения, включая miles.exe. Параметр CFG будет включен для miles.exe.
Откройте приложение \»Безопасность Windows\», выбрав значок щита на панели задач или открыв меню «Пуск» и выбрав параметр Безопасность Windows.
Выберите плитку Элемент управления «Браузер приложений» & (или значок приложения в левой строке меню), а затем выберите Защита от эксплойтов.
Перейдите в Параметры программы и выберите приложение, к которому вы хотите применить меры.
- Если приложение, которое вы хотите настроить, уже указано в списке, выберите его и нажмите Изменить.
- Если приложение отсутствует в списке, в верхней части списка выберите Добавить программу для настройки , а затем выберите способ добавления приложения.
- Используйте Добавить по имени программы, чтобы применить меры к любым запущенным процессам с таким именем. Укажите файл с расширением. Вы можете ввести полный путь, чтобы ограничить применение мер только приложением с таким именем в этом расположении.
- Нажмите Выбрать точный путь файла, чтобы использовать стандартное окно выбора файлов проводника Windows Explorer для поиска и выбора нужного файла.
После выбора приложения вы увидите список всех мер, которые можно применить. При выборе параметра Аудит применяется меры только в режиме аудита. Вы получите уведомление, если вам нужно перезапустить процесс или приложение, или если вам нужно перезапустить Windows.
Повторите шаги 3–4 для всех приложений и мер, которые вы хотите настроить. После настройки конфигурации выберите Применить.
Intune
Войдите на портал Azure и откройте Intune.
Перейдите в раздел Конфигурация устройства>Профили> конфигурацииСоздать профиль.
Присвойте профильу имя, выберите Windows 10 и более поздних версий, выберите шаблоны для параметра Тип профиля и выберите Endpoint Protection под именем шаблона.
Выберите Настроить> Защитник Windows ЗащитаэксплойтовExploit Guard>.
Загрузите файл XML с параметрами защиты от эксплойтов:
Выберите OK, чтобы сохранить каждую открытую колонку, а затем нажмите Создать.
Перейдите на вкладку Назначения профиля, назначьте политику всем пользователям & Все устройства, а затем нажмите кнопку Сохранить.
MDM
Используйте поставщик услуг конфигурации (CSP) ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings для включения или выключения мер защиты от эксплойтов или для применения режима аудита.
Microsoft Configuration Manager
Безопасность конечной точки
В Microsoft Configuration Manager перейдите кразделу Сокращение зоны атак с безопасностью >конечных точек.
Выберите Создатьплатформуполитики>, а в поле Профиль выберите Защита от эксплойтов. Затем нажмите кнопку Создать.
Укажите имя и описание, а затем нажмите Далее.
Нажмите Выбрать XML-файл и перейдите к расположению XML-файла защиты от эксплойтов. Выберите файл, а затем нажмите Далее.
При необходимости настройте теги области и назначения.
Во вкладке Проверка и создание просмотрите ваши параметры конфигурации и выберите Создать.
Ресурсы и соответствие требованиям
В Microsoft Configuration Manager перейдите в раздел Активы и соответствие>Endpoint Protection>Защитник Windows Exploit Guard.
Выберите HomeCreate Exploit Guard Policy (Создать> политику Exploit Guard).
Укажите имя и описание, выберите параметр Защита от эксплойтов, а затем нажмите Далее.
Перейдите к расположению XML-файла защиты от эксплойтов и нажмите Далее.
Проверьте параметры и нажмите кнопку Далее, чтобы создать политику.
После создания политики нажмите Закрыть.
Групповая политика
Откройте на вашем устройстве, управляющем групповыми политиками, Консоль управления групповой политикой, щелкните правой кнопкой мыши нужный объект групповой политики и выберите Изменить.
В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.
Разверните дерево на компоненты> Windows Защитник Windows Exploit GuardExploit Protection>>Используйте общий набор параметров защиты от эксплойтов.
Выберите Включено и введите расположение XML-файла, а затем нажмите ОК.
PowerShell
Вы можете использовать глагол PowerShell Get или Set командлет ProcessMitigation. При использовании Get вы увидите текущее состояние конфигурации всех мер, включенных на устройстве. Добавьте командлет -Name и расширение приложения, чтобы увидеть меры только для этого приложения:
Get-ProcessMitigation -Name processName.exe
Важно!
Ненастроенные меры защиты на уровне системы будут показывать состояние NOTSET.
- Для системных параметров
NOTSETобозначает, что для этой меры защиты задано значение по умолчанию. - Для параметров на уровне приложения
NOTSETобозначает, что для этой меры защиты будет задано значение на уровне системы. Параметр по умолчанию для каждой меры защиты на уровне системы можно увидеть в разделе \»Безопасность Windows\».
Используйте Set для настройки каждой меры в следующем формате:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Где:
- <Область:>
-Nameдля указания мер, которые следует применить к определенному приложению. Укажите исполняемый файл приложения после того, как поставите этот флажок.-Systemдля указания мер, которые следует применить на уровне системы
- <Действие>:
-Enable, чтобы включить меры-Disable, чтобы отключить меры
- <Устранение рисков>.
- Командлет меры вместе с любыми подопциями (в окружении пробелов). Каждая мера отделена запятой.
Например, для включения предотвращения выполнения данных (DEP) с эмуляцией преобразователя ATL, а также для исполняемого файла с названием testing.exe в папке C:\Apps\LOB\tests и предотвращения создания этим исполняемым файлом дочерних процессов необходимо использовать следующую команду:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation
Важно!
Отделяйте каждый параметр меры запятой.
Чтобы применить DEP на уровне системы, необходимо использовать следующую команду:
Set-Processmitigation -System -Enable DEP
Чтобы отключить меры, можно заменить -Enable на -Disable. Однако для мер на уровне приложения это действие приведет к отключению меры только для этого приложения.
Если необходимо восстановить меры по умолчанию, включите командлет -Remove, как показано в следующем примере:
Set-Processmitigation -Name test.
exe -Remove -Disable DEP
В следующей таблице перечислены отдельные меры (и аудиты, если применимо) для использования с параметрами командлета -Enable или -Disable.
| Тип устранения рисков | Сфера применения | Ключевое слово параметра командлета для устранения рисков | Параметр командлета для режима аудита |
|---|---|---|---|
| Защита потока управления (CFG) | Уровень системы и уровень приложения | CFG, StrictCFG, SuppressExports | Аудит недоступен |
| Предотвращение выполнения данных (DEP) | Уровень системы и уровень приложения | DEP, EmulateAtlThunks | Аудит недоступен |
| Принудительный случайный выбор изображений (обязательный ASLR) | Уровень системы и уровень приложения | ForceRelocateImages | Аудит недоступен |
| Случайные выделения памяти (ASLR снизу вверх) | Уровень системы и уровень приложения | BottomUp, HighEntropy | Аудит недоступен |
| Проверка цепочек исключений (SEHOP) | Уровень системы и уровень приложения | SEHOP, SEHOPTelemetry | Аудит недоступен |
| Проверка целостности кучи | Уровень системы и уровень приложения | TerminateOnError | Аудит недоступен |
| Механизм Arbitrary code guard (ACG) | Только на уровне приложения | DynamicCode | AuditDynamicCode |
| Блокировать изображений с низкой целостностью | Только на уровне приложения | BlockLowLabel | AuditImageLoad |
| Блокировать удаленные изображения | Только на уровне приложения | BlockRemoteImages | Аудит недоступен |
| Блокировка ненадежные шрифты | Только на уровне приложения | DisableNonSystemFonts | AuditFont, FontAuditOnly |
| Защита целостности кода | Только на уровне приложения | BlockNonMicrosoftSigned, AllowStoreSigned | AuditMicrosoftSigned, AuditStoreSigned |
| Отключить точки расширения | Только на уровне приложения | ExtensionPoint | Аудит недоступен |
| Отключить системные вызовы Win32k | Только на уровне приложения | DisableWin32kSystemCalls | AuditSystemCall |
| Не разрешать дочерние процессы | Только на уровне приложения | DisallowChildProcessCreation | AuditChildProcess |
| Фильтрация адресов экспорта (EAF) | Только на уровне приложения | EnableExportAddressFilterPlus, EnableExportAddressFilter[1] | Аудит недоступен [2] |
| Фильтрация адресов импорта (IAF) | Только на уровне приложения | EnableImportAddressFilter | Аудит недоступен [2] |
| Имитация выполнения (SimExec) | Только на уровне приложения | EnableRopSimExec | Аудит недоступен [2] |
| Проверка вызова API (CallerCheck) | Только на уровне приложения | EnableRopCallerCheck | Аудит недоступен [2] |
| Проверка использования дескриптора | Только на уровне приложения | StrictHandle | Аудит недоступен |
| Проверка целостности зависимостей изображения | Только на уровне приложения | EnforceModuleDepencySigning | Аудит недоступен |
| Проверка целостности стека (StackPivot) | Только на уровне приложения | EnableRopStackPivot | Аудит недоступен [2] |
[1]: Используйте следующий формат, чтобы включить модули EAF для библиотек DLL для процесса:
Set-ProcessMitigation -Name processName.
exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll
[2]. Аудит для этой защиты недоступен с помощью командлетов PowerShell.
Настройка уведомлений
Дополнительные сведения о настройке уведомлений при срабатывании правила и блокировке приложения или файла см. в разделе Безопасность Windows.
См. также
- Оценка защиты от эксплойтов
- Настройка и аудит мер защиты от эксплойтов
- Импорт, экспорт и развертывание конфигураций защиты от эксплойтов
Но можно ли его эксплуатировать? — by Walter Haydock
Я часто замечаю, что около 90% (иногда я говорю 95%, поскольку я думаю, что первая цифра является консервативной) всех общих уязвимостей и рисков (CVE), выявленных в Национальной базе данных уязвимостей (NVD), не являются можно использовать в любой конфигурации.
Под «любой заданной конфигурацией» я подразумеваю, что если вы выберете приложение или сеть наугад и просканируете их с помощью такого же случайного инструмента, только около 10% (или меньше) результатов CVE будут полезны для злой актер.
Хотя кто-то, вероятно, в какой-то момент использовал каждую CVE (хотя Национальная база данных уязвимостей не обязательно подтверждает, что они это сделали перед публикацией CVE), для подавляющего большинства этих уязвимостей требуется чрезвычайно узкий — и нереалистичный в реальном мире — набор условий. извлекать выгоду.
Я говорю это, потому что это правда, а также потому, что многие службы безопасности перегружены количеством CVE, обнаруживаемых современными сканерами. Чтобы решить эту проблему, я дал несколько рекомендаций о том, как оценивать такие результаты и расставлять приоритеты.
С учетом сказанного, иногда люди оспаривают мое утверждение о возможности эксплуатации (некоторые даже намекают, что я сошел с ума из-за того, что занимаю эту должность) или, что более разумно, спрашивают источник моей информации. Поэтому я подумал, что имеет смысл составить список исследований, подтверждающих мое утверждение. Я прибыл в 90% числа не с помощью научного метода, а скорее использовать его как приблизительное мысленное среднее число цифр, перечисленных в различных исследованиях ниже.
Rezilion: «85% уязвимостей не представляют опасности».
Темное чтение: «Исследователи говорят, что только 3% ошибок программного обеспечения с открытым исходным кодом действительно можно атаковать».
Contrast Security: «Исследование показало, что менее 10% кода приложения является активным кодом сторонней библиотеки».
Mend: «исследования показывают, что только от 15% до 30% уязвимостей действительно эффективны».
Загляните в магазин Deploy Securely!
Kenna Security: «Несмотря на то, что 20% опубликованных CVE несут явную угрозу (либо активно используются в дикой природе, либо существует опубликованный эксплойт), только около 5% из них представляют реальный риск прямо сейчас для большинства фирм.(17 февраля 2023 г.): Хотя эта статистика имеет определенное значение, она говорит об общедоступности кода эксплойта, а не об использовании самой уязвимости. Я вычеркиваю это для ясности). ». Обновление Форум групп реагирования на инциденты и безопасности: «2%-7% опубликованных уязвимостей когда-либо использовались в дикой природе». Обновление (22 февраля 2023 г.): хотя я сохраняю эту статистику, отмечу, что она относится к эксплуатации в дикой природе, а не к возможности эксплуатации.
Tenable: «более 75% всех уязвимостей с оценкой [CVSS] 7 или выше никогда не публиковали против них эксплойты». 9Обновление 0036 (17 февраля 2023 г.): хотя эта статистика имеет определенное значение, она говорит об общедоступности кода эксплойта, а не об использовании самой уязвимости. Я вычеркиваю это для ясности).Агентство по кибербезопасности и безопасности инфраструктуры: «многие уязвимости, классифицированные как «критические», очень сложны и никогда не использовались в реальных условиях — фактически менее 4% от общего числа CVE были публично использованы [ так].
Примечание: скорее всего, это неверное истолкование исследования Карнеги-Меллона, в котором на самом деле говорится, что «стали доступны два общих репозитория общедоступных данных об эксплойтах, и обнаружено, что 4,1% ± 0,1% CVE-ID имеют связанный с ними общедоступный код эксплойта в течение 365 дней. ” Это заявление существенно отличается от того, что говорит CISA, потому что просто иметь общедоступный код эксплойта — это не то же самое, что фактически использовать уязвимость, и существуют хорошо известные торговые площадки для продажи закрытых эксплойтов. Хотя CISA не связывает это заявление с каким-либо источником, далее говорится, что «из этих 4% известных эксплуатируемых CVE 42% используются в день 0 раскрытия; 50% в течение 2-х дней; и 75% в течение 28 дней». Эти данные также получены из исследования Карнеги-Меллона. Обновление (22 февраля 2023 г.): хотя я сохраняю эту статистику, отмечу, что она относится к эксплуатации в дикой природе, а не к возможности эксплуатации. Resilient Cyber: «фактически эксплуатируемые уязвимости… составляют менее 1% всех известных уязвимостей в 2022 году».
Добавлено 22 марта 2023 г. .Datadog: «Только 3% критических уязвимостей заслуживают приоритета». Добавлено 23 марта 2023 г. .
Kenna Security: только 5% известных уязвимостей обнаруживаются и используются в данной среде. Добавлено 25 марта 2023 г.
». Обновление 
Примечание: скорее всего, это неверное истолкование исследования Карнеги-Меллона, в котором на самом деле говорится, что «стали доступны два общих репозитория общедоступных данных об эксплойтах, и обнаружено, что 4,1% ± 0,1% CVE-ID имеют связанный с ними общедоступный код эксплойта в течение 365 дней. ” Это заявление существенно отличается от того, что говорит CISA, потому что просто иметь общедоступный код эксплойта — это не то же самое, что фактически использовать уязвимость, и существуют хорошо известные торговые площадки для продажи закрытых эксплойтов. Хотя CISA не связывает это заявление с каким-либо источником, далее говорится, что «из этих 4% известных эксплуатируемых CVE 42% используются в день 0 раскрытия; 50% в течение 2-х дней; и 75% в течение 28 дней». Эти данные также получены из исследования Карнеги-Меллона. Обновление (22 февраля 2023 г.): хотя я сохраняю эту статистику, отмечу, что она относится к эксплуатации в дикой природе, а не к возможности эксплуатации. 
Добавлено 22 марта 2023 г. .Пожалуйста, дайте мне знать в разделе комментариев, если есть какие-либо другие исследования, относящиеся к этой теме, и я включу их. Я также буду внимательно следить за будущими исследованиями по этой теме (и изменю свое число 90%, если обнаружу что-либо, сильно противоречащее этой цифре). Обновление
(15 ноября 2022 г.): я получил отзывы о том, что в этих статьях и исследованиях говорится немного по-разному об использовании CVE, и я согласен, что это, безусловно, правда. Тем, кто заинтересован, я предлагаю ознакомиться с каждым из них и тщательно оценить методологию. При этом основная мысль поста остается неизменной. Безопасное развертывание — это предоставление полезной информации и принятие решений в условиях неопределенности.
И я по-прежнему уверен, что моя основная точка зрения остается направленно правильной.
Спасибо, что прочитали Безопасное развертывание! Подпишитесь, чтобы получать новые сообщения.
Нет сообщений
137 Синонимы и антонимы слова EXPLOIT
подвиг 1 из 2
1
как в использовать
воспользоваться нечестным преимуществом тип человека, который эксплуатирует добродушие друга, постоянно обтирая егоиспользовать
использовать
манипулировать
злоупотреблять
наложить (на или на)
играть (на или после)
сутенер
идти дальше
торговать
зарабатывать на)
наличные деньги (на)
молоко
изменять
работа
жестокое обращение
коммерциализировать
перезаряжать
кожа
замочить
истекать кровью
флис
палка
превращать в товар
дергаться
2
как в для управления
контролировать или использовать хитрыми, несправедливыми или коварными средствами политик более чем готов к использовать любую национальную трагедию в политических целяхманипулировать
играть (на)
обманывать
маневр
обманывать
инженер
схема
разработать
обманывать
обман
финагл
обманывать
обманывать
сюжет
жокей
дурак
блефовать
обманывать
интрига
чайка
изобретать
снег
обманывать
обманывать
принимать
ребенок
вдохновитель
фальсификация
договариваться
изменять
утонченность
Шанхай
долото
махинировать
флис
против
суетиться
3
как в использовать
ввести в действие или служить будет обидно, если ты этого не сделаешь использовать свой художественный талант в полной мереиспользовать
использовать
применять
нанимать
обуздать
действовать
упражнение
опираться на
рисовать на
использовать
манипулировать
ручка
владеть
пустить в ход
работа
прямой
бегать
каннибализировать
повторное использование
перерабатывать
игнорировать
пренебрегать
злоупотребление
неправильно применять
игнорировать
пренебрегать
злоупотребление
неправильно применять
эксплойт
2 из 21
как в feat
акт заметного мастерства, силы или ума причудливый подвиги гигантского дровосека Пола Баньянаподвиг
трюк
поступок
обманывать
достижение
производительность
число
проявление силы
успех
триумф
достижение
удачный ход
достижение
приключение
2
как в вещь
что-то сделано кем-то когда-то прославившегося как актера, Джона Уилкса Бута теперь помнят за сингл подвиг , его убийство Линкольнавещь
делает
действовать
действие
достижение
подвиг
поступок
достижение
опыт
работа
производительность
активность
инициатива
двигаться
достижение
предприятие
тактика
обманывать
предприятие
приключение
маневр
мера
трюк
ручная работа
дело
операция
процедура
процесс
заключать
шаг
сотрудничество
3
как в опыт
захватывающее или примечательное событие, которое человек переживает на собственном опыте мемуары, рассказывающие о трех десятилетиях подвигов в качестве бродячего иностранного корреспондента теленовостейопыт
приключение
время
происходит
делает
испытание
жест
жест
заключать
уловка
тест
действовать
исследование
поступок
риск
риск
эпизод
миссия
производительность
побег
подвиг
повод
трюк
действие
квест
жаворонок
предприятие
экспедиция
пробный
крещение
скорбь
бурить
тащить
бюст
депрессант
облом
бурить
тащить
бюст
депрессант
облом
Выбор синонимов
Чем существительное эксплуатировать отличается от других подобных слов?
Слова достижение и подвиг являются общими синонимами подвиг .
В то время как все три слова означают «выдающийся поступок», подвиг предполагает авантюрный или героический поступок.
его эксплоиты в качестве шпиона
Когда можно использовать достижение для замены эксплойта ?
В некоторых ситуациях слова достижение и эксплойт примерно эквивалентны. Однако достижение подразумевает с трудом достигнутый успех перед лицом трудностей или противодействия.
ее достижения как химик
Когда имеет смысл использовать feat вместо подвиг ?
Слова подвиг и подвиг являются синонимами, но имеют разные нюансы. В частности, feat подразумевает силу, ловкость или отвагу.
акробатический подвиг
Тезаурус Записи рядом с
подвигвзрывающийся
использовать
пригодный для использования
Посмотреть другие записи рядомПроцитировать эту запись
Стиль
MLAChicagoAPAMMercriam-Webster
«Эксплойт».
