`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Блоги » Игорь Дериев

Игорь Дериев

EMET: эволюция

4 июля 2014 г., 16:35
+11
голос

По мере того, как 0day-уязвимости начинают восприниматься как главная угроза, на первый план выходят и средства борьбы с ними. И EMET здесь является эталонным во всех смыслах.

Поясню свою мысль. С одной стороны, Microsoft все чаще упоминает EMET как эффективное средство защиты от новых (т.е. к которым невозможно было подготовиться) уязвимостей, а независимые вендоры стали вооружаться аналогичными методиками – вот один из последних примеров. С другой, EMET сам по себе становится объектом атак и хакерских исследований. Последняя ссылка демонстрирует попытку блокировать EMET, т.е. не обойти какие-то его отдельные механизмы, а «вырубить» полностью. Это своего рода признание. Подобное когда-то происходило с наиболее популярными антивирусами (я сам был свидетелем отдельных инцидентов), когда они еще воспринимались всерьез.

Очевидно, перед нами новый пример борьбы «брони и снаряда». Поэтому за развитием EMET стоит следить. В настоящее время в разработке находится версия 5.0, на которую все упомянутые выше ухищрения не действуют. Я как-то коротко упоминал главные нововведения, теперь могу добавить конкретики.

Одна из проблем для решений типа EMET – контроль за всевозможными подключаемыми модулями. К примеру, EMET 4.1 не справляется даже с достаточно старыми уязвимостями Java. Невозможно объять необъятное и не стоит рассчитывать на панацею. Но можно попытаться минимизировать риски или, как говорят в ИБ, поверхность атак. Именно так и называется один из новых механизмов EMET 5.0 – Attack Surface Reduction (ASR).

Смысл его достаточно прозрачен – ограничить использование подключаемых модулей для ненадежных, в терминах стандартных зон безопасности Windows, источников. К примеру, ту же Java можно будет использовать в локальной сети и на доверенных сайтах, но не в остальном Интернете. Таким образом, хотя EMET 5.0 по-прежнему не замечает атаку на уязвимость CVE-2013-2465, он способен остановить ее просто потому, что Java запускается с неизвестного сайта.

В текущей версии EMET 5.0 TP3 для настройки ASR (и некоторых других механизмов) появился специальный набор инструментов (раньше это предлагалось делать через реестр).

EMET 5.0 TP3

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+11
голос

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT