I cyber-criminali, sottolinea Microsoft, non hanno perso tempo a capitalizzare il rapido passaggio al lavoro ibrido: per questo, oltre alle nuove funzionalità e all’estensione al cloud, l’azienda potenzia di continuo le capacità di cybersecurity di Windows.
Ogni giorno i criminali informatici migliorano il loro targeting, la velocità e la precisione, man mano che il mondo si adatta alle nuove modalità di lavoro.
Questi cambiamenti hanno messo il tema “problemi e rischi di cybersecurity” in cima alla lista di preoccupazioni e timori per i decisori aziendali, hanno mostrato i nuovi dati del 2022 Work Trend Index di Microsoft.
Malware, credenziali rubate, attacchi di phishing, dispositivi che mancano di aggiornamenti di sicurezza, errori degli utenti e attacchi fisici su dispositivi persi o rubati sono le principali preoccupazioni per i team It e di security che cercano di proteggere la loro forza lavoro.
Nel 2021 – ha messo ancora in evidenza la società di Redmond –, le protezioni integrate in Windows, Azure, Microsoft 365 e Microsoft Defender per Office 365 hanno bloccato più di 9,6 miliardi di minacce malware, più di 35,7 miliardi di phishing e altre email dannose, e 25,6 miliardi di tentativi di hijack dei clienti enterprise forzando le password rubate, ovvero più di 800 attacchi di password al secondo.
L’intelligenza che Microsoft ottiene da queste attività, combinata con gli 8.500 professionisti della sicurezza dell’azienda e i 24mila miliardi di segnali di security elaborati dal cloud Microsoft ogni 24 ore, fornisce una visione unica di ciò di cui i clienti hanno bisogno per proteggersi dalle minacce ora e in futuro.
Secondo Microsoft, la combinazione delle moderne capacità hardware e software richieste per Windows 11, fornite insieme ai partner dell’ecosistema, è ciò che permetterà all’azienda di aiutare i clienti a proteggere il loro lavoro, ovunque e comunque essi scelgano di lavorare.
Smart App Control in Windows 11
Microsoft è impegnata a implementare la sua strategia alla sicurezza Zero Trust dal chip al cloud basata sull’hardware. Parallelamente, sta sviluppando e distribuendo numerose nuove funzionalità di cybersecurity in Windows.
Smart App Control – ha messo in evidenza Microsoft – è un importante miglioramento del modello di sicurezza di Windows 11 che impedisce agli utenti di eseguire applicazioni dannose sui dispositivi Windows e di default blocca le applicazioni non fidate o non firmate.
Microsoft sottolinea che Smart App Control va oltre le precedenti protezioni integrate nel browser ed è intessuto direttamente nel core del sistema operativo a livello di processo.
Utilizzando la firma del codice insieme all’intelligenza artificiale, il nuovo Smart App Control permette solo l’esecuzione di processi che prevede siano sicuri in base ai certificati del codice o a un modello AI di trust dell’applicazione all’interno del cloud Microsoft.
L’inferenza del modello avviene 24 ore al giorno sulla più recente threat intelligence di Microsoft, che fornisce migliaia di miliardi di segnali.
Quando una nuova applicazione viene eseguita su Windows 11, la sua firma e le sue caratteristiche principali sono controllate rispetto a questo modello, assicurando che solo le applicazioni sicure conosciute siano autorizzate ad essere eseguite.
Smart App Control verrà fornito sui nuovi dispositivi con Windows 11 installato, ha affermato Microsoft. I dispositivi che eseguono versioni precedenti di Windows 11 dovranno essere ripristinati e ricevere un’installazione pulita di Windows 11 per sfruttare questa funzionalità.
Phishing e crittografia
Il rilevamento avanzato e la protezione dal phishing, incorporati in Windows con Microsoft Defender SmartScreen, aiuteranno a proteggere dagli attacchi di phishing, identificando e avvisando gli utenti quando stanno inserendo le loro credenziali Microsoft in un’applicazione dannosa o in un sito web violato.
Windows 11 – prosegue Microsoft – fa uso di capacità di sicurezza basate sull’hardware e sulla virtualizzazione per aiutare a proteggere i sistemi da tecniche di attacco di furto di credenziali come pass-the-hash o pass-the-ticket.
Aiuta anche a prevenire che il malware acceda ai segreti di sistema anche se il processo è in esecuzione con privilegi di amministratore. In futuro – ha annunciato Microsoft –, Credential Guard sarà abilitato di default per le organizzazioni che utilizzano l’edizione Enterprise di Windows 11.
Inoltre, la protezione LSA (Local Security Authority) aggiuntiva sarà abilitata di default in futuro per i nuovi dispositivi Windows 11 enterprise, rendendo significativamente più difficile per i cyber-attacker rubare le credenziali, assicurando che LSA carichi solo codice fidato e firmato.
La nuova funzione Personal Data Encryption in arrivo in Windows 11 fornisce una piattaforma, disponibile per l’uso da applicazioni e staff It, per proteggere i file e i dati quando l’utente non è autenticato nel dispositivo.
Per accedere ai dati, l’utente deve prima autenticarsi con Windows Hello for Business, collegando le chiavi di crittografia dei dati con le credenziali senza password: in tal modo, anche se un dispositivo viene perso o rubato, i dati sono più resistenti agli attacchi e quelli sensibili hanno un altro livello di protezione integrato.
Altre nuove funzioni di cybersecurity di Windows
Gli attacchi malware degli ultimi anni (RobbinHood, Uroburos, Derusbi, GrayFish e Sauron) hanno sempre più sfruttato le vulnerabilità dei driver per compromettere i sistemi, mette in evidenza Microsoft.
Nella prossima release di Windows 11, Hypervisor-Protected Code Integrity (HVCI) sarà abilitato di default su una serie più ampia di dispositivi che eseguono Windows 11.
Questa funzione impedisce agli aggressori di iniettare il proprio codice dannoso (per esempio WannaCry) e aiuta a garantire che tutti i driver caricati nel sistema operativo siano firmati e affidabili.
La blocklist dei driver vulnerabili di Microsoft sfrutta Windows Defender Application Control (WDAC) per aiutare a prevenire le minacce avanzate persistenti (APT, advanced persistent threats) e gli attacchi ransomware che sfruttano illecitamente i driver vulnerabili conosciuti.
La funzione kernel blocklisting mitiga queste minacce impedendo che questi driver vengano sfruttati, bloccando il loro carico nel kernel di Windows.
I dispositivi che eseguono HVCI o Windows SE hanno la blocklist abilitata di default. Inoltre, la funzione può essere abilitata dalla nuova esperienza nella pagina Isolamento core all’interno della app Windows Security.
