Microsoft Defender protège Mac et Linux des sites Web malveillants

Image : freestocks/Unsplash

Les outils de sécurité de Microsoft ne sont pas réservés aux plates-formes Microsoft, car les attaquants ne ciblent pas uniquement Windows.

“Au cours des dernières années, nous avons vu un paysage de menaces où les attaquants et les cybercriminels ciblent toutes les plates-formes de la même manière”, a déclaré Tanmay Ganacharya, directeur associé pour la recherche sur la sécurité chez Microsoft, dans TechRepublic. “Nous avons constaté une augmentation significative des vulnérabilités trouvées et signalées pour les plates-formes non Windows, ainsi que des campagnes de logiciels malveillants et des menaces en général.”

En tant que système d’exploitation de bureau dominant, Windows était la cible la plus populaire pour les attaquants, mais les statistiques de MITRE pour les CVE montrent que le nombre de vulnérabilités trouvées sur d’autres plates-formes augmente rapidement.

“Alors que la protection Windows s’est améliorée de plus en plus au cours des dernières années, le fruit à portée de main aujourd’hui ne cible pas les points de terminaison Windows, mais certains de ces autres points de terminaison que les gens supposent sûrs”, a déclaré Ganacharya.

VOIR : Politique de sécurité des appareils mobiles (TechRepublic Premium)

Les politiques BYOD ont rendu les réseaux d’entreprise plus diversifiés, et les appareils qui n’étaient auparavant connectés qu’aux réseaux d’entreprise sont désormais susceptibles d’être également sur Internet. Les attaquants ont également évolué de sorte qu’en plus d’essayer de compromettre les terminaux, ils ciblent également les informations d’identification et les identités.

“Oui, vous pouvez vous connecter, mais ne serait-il pas préférable – pour un attaquant en tout cas – s’il pouvait simplement se connecter?” dit Ganacharya. “Les identités peuvent être volées sur n’importe lequel des appareils auxquels les employés sont connectés sur un réseau donné.”

Importance de l’approche de bout en bout pour la sécurité

La détection et la prévention des attaques sur les terminaux ne sont qu’une partie de la protection de votre réseau et des ressources auxquelles il se connecte, et vous ne pouvez pas toujours tout détecter au bon moment. Vous avez besoin d’une approche de bout en bout.

“Vous devez penser à tous ceux qui exécutent des logiciels ou du code sur votre réseau pendant que vous modélisez les menaces pour votre réseau, puis avoir un plan en place”, a déclaré Ganacharya. « Comment identifiez-vous ces appareils ? Comment les sécurisez-vous ? Comment gérez-vous les alertes provenant de toutes sortes d’appareils, et avez-vous des manuels pour répondre à ces alertes de manière uniforme sur tous ces appareils ? Comment allez-vous surveiller ou réagir lorsque des alertes apparaissent au cas où des menaces ne peuvent pas être évitées mais sont détectées ?”

Commencer par les points de terminaison

Bien qu’il soit important de ne pas se fier uniquement aux points de terminaison, vous devez toujours commencer par eux. Cela est particulièrement vrai pour les terminaux que vous ne protégez pas actuellement. Microsoft prévoit donc de disposer d’une suite de sécurité complète pour chaque plate-forme, couvrant la gestion des vulnérabilités, l’atténuation de la surface d’attaque, la prévention, la détection et la correction des menaces, ainsi que des experts Microsoft Defender à la demande. services, a déclaré Ganacharya à TechRepublic.

“La recherche sur les menaces, les renseignements sur les menaces, le contenu de détection et de remédiation que nous développons peuvent s’étendre sur toutes les plateformes”, a-t-il déclaré. “Nous l’appliquons aux différentes étapes où se déroulent les attaques afin de pouvoir arrêter l’attaque quel que soit l’appareil utilisé par le client.”

Pour les terminaux, Microsoft se concentre actuellement sur Linux, Mac, Android et iOS, en commençant par l’anti-malware et la détection et la réponse aux terminaux. Plus récemment, Defender for Endpoint a ajouté de nouvelles fonctionnalités pour Mac et Linux, en se concentrant sur l’atténuation de la surface d’attaque, la protection Web et la protection réseau.

Ces priorités correspondent aux menaces que Microsoft voit sur chaque plate-forme, ainsi qu’à ce que vous pouvez faire sur un téléphone, un serveur ou un ordinateur portable avec les capacités du système d’exploitation disponibles.

“Chaque plate-forme apporte son propre paysage de menaces intéressant en fonction de la façon dont elle est utilisée, et chaque plate-forme a ses propres limites en termes de ce qu’est un anti-malware ou une solution comme EDR sur ces plates-formes”, a déclaré Ganacharya.

Une partie de cela dépendra également des politiques plutôt que de la technologie, a-t-il déclaré.

“Certains appareils présentent des défis supplémentaires, comme les téléphones : dans quelle mesure les suivez-vous lorsque les gens utilisent leur téléphone personnel pour se connecter à la messagerie électronique et aux équipes ?”

Protégez et détectez avec Microsoft Defender

La protection Web couvre les choses qui se passent entièrement dans le navigateur : fournir un score de réputation pour les sites Web, bloquer les sites connus pour le phishing, les logiciels malveillants, les exploits ou les problèmes spécifiques qui vous préoccupent, et surveiller si les utilisateurs saisissent leurs identifiants d’entreprise au cas où ils seraient exposés . et doit être changé.

“Cela peut également vous permettre, en tant qu’entreprise, de filtrer le contenu et de dire : ‘Hé, ces catégories de sites Web sont autorisées sur mes appareils réseau, ces types de catégories ne sont pas autorisés sur mon réseau'”, a déclaré Ganacharya.

Dans Microsoft Edge sur Windows, SmartScreen fait tout cela dans le navigateur, mais vous voyez des alertes et des mesures dans le portail Defender pour Endpoint (Figure A).

Figure A

Le tableau de bord de protection Web indique à la fois les menaces détectées et si vos décisions de filtrage Web réduisent la charge de navigation de la bande passante.
Photo : Microsoft. Le tableau de bord de protection Web indique à la fois les menaces détectées et si vos décisions de filtrage Web réduisent la charge de navigation de la bande passante.

Si vous utilisez d’autres navigateurs, y compris Edge sur macOS, qui n’a pas encore de protection Web intégrée, les fonctionnalités de protection Web reposent sur les fonctionnalités de protection du réseau (Image B).

Image B

La protection réseau fonctionne dans les navigateurs non Edge : le message dans Safari lui-même peut être générique, mais la notification toast indique à l'utilisateur Mac s'il essaie d'ouvrir un site de phishing ou une page Web légitime bloquée sur son réseau de travail.
Photo : Microsoft. La protection réseau fonctionne dans les navigateurs non Edge : le message dans Safari lui-même peut être générique, mais la notification toast indique à l’utilisateur Mac s’il essaie d’ouvrir un site de phishing ou une page Web légitime bloquée sur son réseau de travail.

“Tout ce que vous faites dans le navigateur, vous pouvez le voir sur le réseau, mais vous pouvez voir beaucoup plus sur le réseau que cela”, a déclaré Ganacharya. “Si nous pouvons appliquer nos capacités de détection de réseau, nous pouvons toujours arrêter les mêmes menaces sur ces plates-formes.”

En plus d’empêcher les navigateurs et les autres applications de se connecter à des sites malveillants, la protection du réseau réduit la surface d’attaque pour bloquer les attaques courantes et permet aux défenseurs de détecter le comportement du réseau qui peut indiquer qu’une attaque est en cours.

La protection de la surface d’attaque bloque les attaques Man in the Middle et empêche tout appareil compromis sur votre réseau de se connecter aux serveurs de commande et de contrôle, empêchant les attaquants d’exfiltrer des données, d’utiliser vos appareils pour une attaque par déni de service distribué ou de télécharger et de propager des logiciels malveillants.

Il garantit également que les utilisateurs se connectent au bon réseau Wi-Fi.

“Le Wi-Fi malveillant est un gros problème auquel sont confrontés nombre de nos clients”, a déclaré Ganacharya. “Les employés se connectent à un réseau non sécurisé ou à des réseaux sur mesure afin qu’ils puissent écouter ce que vous faites sur votre machine.”

Les exploits basés sur le réseau constituent toujours une menace.

“Vous envoyez un paquet conçu de manière malveillante sur le réseau, et cela peut être utilisé pour compromettre un point de terminaison”, a déclaré Ganacharya. “Les antivirus et la protection Web peuvent ne pas être en mesure de l’arrêter, mais nous pouvons détecter l’activité après l’exploitation.”

Il note que la protection du réseau vous aide à vous défendre en profondeur en disposant de protections et de détections qui couvrent les différentes étapes d’une attaque : “Même si une étape est manquée, nous l’attrapons, c’est l’étape suivante.”

Vous pouvez détecter davantage d’attaques en surveillant directement les terminaux ainsi que le réseau.

“Nous sommes en mesure de corréler quel processus de point de terminaison a créé quel trafic et à quelle adresse IP il a tenté de se connecter”, a-t-il déclaré.

Mais s’il existe des terminaux que vous n’avez pas protégés, peut-être parce que vous ne saviez pas qu’ils se trouvaient sur votre réseau, les fonctionnalités de protection du réseau peuvent vous aider à les trouver.

“Pour cela, nous devons non seulement être à un point de terminaison, et non seulement voir quel trafic est généré sur cet appareil, mais aussi voir quels autres appareils sont reconnus sur le réseau”, a déclaré Ganacharya. “Le transfert de cette capacité de détection à des appareils tels que des routeurs vous aide à réduire vos faux négatifs.”

Toutes les fonctionnalités de protection des points de terminaison pour les appareils Windows ne sont pas encore en place pour macOS et Linux, et la même chose est toujours en préversion : vous ne pouvez pas personnaliser les messages que les utilisateurs reçoivent si un site est bloqué ou reçoit un avertissement, bien que cela puisse arriver. à l’avenir.

Sous Linux, la protection du réseau est implémentée sous la forme d’un tunnel VPN et Defender n’inclut pas la prévention des pertes de données. macOS ou Linux n’ont pas d’option de gestion de la sécurité Defender pour gérer les paramètres de sécurité pour Defender lui-même sans avoir besoin d’un logiciel de gestion de périphérique supplémentaire.

Six distributions sont prises en charge pour Defender sur Linux : RHEL 7.2+, CentOS Linux 7.2+, Ubuntu 16 LTS ou supérieur LTS, SLES 12+, Debian 9+ et Oracle Linux 7.2. Sur les Mac, vous avez besoin de macOS 11 ou version ultérieure.

Appareils vulnérables qui doivent être protégés

Il se peut que d’autres appareils sur votre réseau aient besoin d’être surveillés et protégés.

“Routeurs, imprimantes, appareils de salle de conférence, téléviseurs intelligents, réfrigérateurs intelligents : toutes sortes d’appareils se connectent à Internet aujourd’hui, ce qui augmente la surface d’attaque”, a déclaré Ganacharya.

Les rançongiciels sont déployés directement par des attaquants individuels plutôt que par de simples scripts automatisés, et ils recherchent le moyen le plus simple, qui peut être un appareil qui, selon vous, ne présente aucune menace. C’est pourquoi il existe une version de Defender pour les appareils IoT et de technologie opérationnelle qui utilise la surveillance du réseau sans avoir besoin d’agents.

“Les clients doivent vraiment accepter cela et supposer que tout appareil qu’ils ont sur leur réseau peut être un point d’entrée pour une attaque”, a averti Ganacharya.

Leave a Reply

Your email address will not be published. Required fields are marked *