`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

EMET: эволюция

+11
голос

По мере того, как 0day-уязвимости начинают восприниматься как главная угроза, на первый план выходят и средства борьбы с ними. И EMET здесь является эталонным во всех смыслах.

Поясню свою мысль. С одной стороны, Microsoft все чаще упоминает EMET как эффективное средство защиты от новых (т.е. к которым невозможно было подготовиться) уязвимостей, а независимые вендоры стали вооружаться аналогичными методиками – вот один из последних примеров. С другой, EMET сам по себе становится объектом атак и хакерских исследований. Последняя ссылка демонстрирует попытку блокировать EMET, т.е. не обойти какие-то его отдельные механизмы, а «вырубить» полностью. Это своего рода признание. Подобное когда-то происходило с наиболее популярными антивирусами (я сам был свидетелем отдельных инцидентов), когда они еще воспринимались всерьез.

Очевидно, перед нами новый пример борьбы «брони и снаряда». Поэтому за развитием EMET стоит следить. В настоящее время в разработке находится версия 5.0, на которую все упомянутые выше ухищрения не действуют. Я как-то коротко упоминал главные нововведения, теперь могу добавить конкретики.

Одна из проблем для решений типа EMET – контроль за всевозможными подключаемыми модулями. К примеру, EMET 4.1 не справляется даже с достаточно старыми уязвимостями Java. Невозможно объять необъятное и не стоит рассчитывать на панацею. Но можно попытаться минимизировать риски или, как говорят в ИБ, поверхность атак. Именно так и называется один из новых механизмов EMET 5.0 – Attack Surface Reduction (ASR).

Смысл его достаточно прозрачен – ограничить использование подключаемых модулей для ненадежных, в терминах стандартных зон безопасности Windows, источников. К примеру, ту же Java можно будет использовать в локальной сети и на доверенных сайтах, но не в остальном Интернете. Таким образом, хотя EMET 5.0 по-прежнему не замечает атаку на уязвимость CVE-2013-2465, он способен остановить ее просто потому, что Java запускается с неизвестного сайта.

В текущей версии EMET 5.0 TP3 для настройки ASR (и некоторых других механизмов) появился специальный набор инструментов (раньше это предлагалось делать через реестр).

EMET 5.0 TP3


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+11
голос

Напечатать Отправить другу

Читайте также

 

Slack подает жалобу на Microsoft и требует антимонопольного расследования от ЕС

 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT