한국어 
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
Microsoft 생산성 앱에 대한 공격 표면 감소 규칙
여러 직원 장치의 사용 증가와 함께 원격 작업의 증가로 인해 기업의 공격 표면이 계속 확장되고 있습니다. 공격 표면 감소(ASR)를 사용하면 조직은 악의적인 행위자가 이 두 변수가 생성하는 취약성과 약점을 악용하는 것을 방지하는 데 도움이 될 수 있습니다.
공격 표면을 줄이는 데 도움이 되는 다양한 제품과 플랫폼을 사용할 수 있습니다. 엔드포인트를 특별히 보호하고 관리하려는 조직은 엔드포인트용 Microsoft Defender를 고려할 수 있습니다. 보안 전문가가 이 Microsoft 플랫폼과 해당 기능을 이해할 수 있도록 작성자 Paul Huijbregts, Joe Anich 및 Justen Graves는 Microsoft Defender for Endpoint in Depth를 작성했습니다.
이 책에서는 Microsoft Office 및 Outlook을 비롯한 일반적인 생산성 애플리케이션에서 ASR을 처리하는 방법을 구체적으로 다룹니다. 다음 3장에서 발췌한 내용에서 작성자는 Microsoft Defender for Endpoint ASR 규칙을 사용하여 이러한 생산성 앱이 실행 가능한 콘텐츠 또는 하위 프로세스 생성과 같은 특정 작업을 수행하지 못하도록 차단하는 방법을 설명합니다.
자세한 내용은 3장의 PDF를 다운로드하세요. 또한 보안 상태 관리를 위해 Microsoft Defender for Endpoint를 사용하는 방법에 대해 논의한 Huijbregts, Anich 및 Graves와의 인터뷰도 읽어보세요.
이러한 규칙은 생산성 애플리케이션을 악용하려는 동작이나 공격을 차단하는 데 사용됩니다.
Office 프로세스의 취약성을 악용하거나 Office 응용 프로그램의 기능을 악용하는 공격에서 일반적인 연속 단계 중 하나는 영향을 받는 장치에 악성 파일을 삭제하고 실행하는 것입니다. 공격자가 장치에 성공적으로 침입하는 데 성공하고 이 시점부터 다양한 악의적인 활동을 수행할 수 있는 곳입니다.
이 규칙은 Office 응용 프로그램, Word, Excel, PowerPoint 및 OneNote가 실행 가능한 콘텐츠를 디스크에 삭제하는 것을 방지합니다. 이를 통해 이 규칙은 공격자가 시스템에 대한 액세스 권한을 얻고 거점을 확보하려는 중요한 단계에서 공격을 차단하는 것을 목표로 합니다.
Windows 실행 파일, 즉 PE(Portable Executable) 파일의 경우 규칙은 신뢰할 수 없고 서명되지 않은 파일만 디스크에 기록되는 것을 차단합니다. 이렇게 하면 의도한 사용 사례 중 일부가 차단되는 것을 방지할 수 있습니다. 그러나 스크립트 파일은 신뢰 또는 우호적 상태를 확인하지 않고 완전히 차단됩니다.
몇 가지 인기 있는 애플리케이션은 이미 백엔드 제외 또는 전역 제외를 사용하여 규칙에서 제외되었습니다. 그러나 이러한 제외를 남용할 수 있는 공격으로부터 사용자를 보호하기 위해 Microsoft는 제외된 응용 프로그램/프로세스 목록을 의도적으로 게시하지 않았습니다. 전역 제외를 배포하더라도 규칙에 의해 차단된 자사 내부 또는 타사 LOB 응용 프로그램에 대한 로컬 제외를 배포해야 할 수도 있습니다.
앞서 언급했듯이 Office 애플리케이션(즉, Word, Excel, PowerPoint, OneNote, Access)을 진입점 벡터로 사용하는 공격자는 영향을 받는 장치나 Office 프로세스에서 악성 파일을 다운로드하고 실행하려고 시도하는 경우가 많습니다. 감염을 심화 또는 확대하기 위해 시스템 프로세스나 관리 도구 또는 양성 타사 프로세스를 실행하는 데 사용됩니다. 예를 들어 명령 프롬프트 또는 PowerShell을 실행하여 중요한 보안 제어를 비활성화하거나 일부 레지스트리를 변경합니다.
따라서 이 규칙은 또 다른 중요한 제어 기능을 제공합니다. 즉, 모든 Office 응용 프로그램이 하위 프로세스를 시작하지 못하도록 차단합니다. 신뢰할 수 있는 파일, 친숙한 파일, 시스템 파일, 관리 도구 또는 정상적인 타사 응용 프로그램은 실행이 허용되지 않습니다.
적법한 클린 프로세스(주로 서명된 프로세스)에 코드를 삽입하는 것은 잘 알려진 탐지 회피 기술입니다. 사무 프로세스도 이 기술의 영향을 받지 않습니다. 그러나 Microsoft 연구원들은 Office 프로세스가 실행 중인 다른 프로세스에 코드를 삽입할 타당한 이유가 없다는 것을 알고 있습니다. 이 규칙은 Word, Excel 및 PowerPoint Office 애플리케이션과 관련된 프로세스가 코드 삽입 활동을 수행하는 것을 차단합니다.