PHÒNG CHỐNG LỖ HỔNG ZERO-DAY VỚI MICROSOFT DEFENDER APPLICATION GUARD

Các lỗ hổng bảo mật Zero-day thường là mục tiêu ưa thích của các hacker để xâm nhập vào hệ thống của các tổ chức, doanh nghiệp. Với các lỗ hổng zero-day, lập trình viên sẽ không có thời gian để vá lại các đoạn mã. Qua đó, các hacker sẽ có đủ thời gian truy cập và khám phá mạng lưới nội bộ của tổ chức, lấy các dữ liệu có giá trị và tìm các vector khác để tấn công tiếp.

Để phòng chống sự khai thác và tấn công từ các lỗ hổng zero-day, doanh nghiệp nên tiếp cận các công nghệ ảo hóa hiện đại như Microsoft Defender Application Guard. Trong đó, các ứng dụng có thể vận hành một cách độc lập, an toàn và cũng giảm thiểu được các ảnh hưởng khi hệ thống bị tấn công.

Phòng chống lỗ hổng Zero-day với Microsoft Defender Application Guard

Các lỗ hổng zero-day luôn biến đổi không ngừng. Do đó, các tổ chức phải luôn xây dựng các hệ thống phòng thủ, bảo mật chống lại chúng. Và đặc biệt chú ý đến các ứng dụng của người dùng vì hầu hết các lỗ hổng zero-day đều nằm trong môi trường này. Các hacker sẽ sử dụng các chiến thuật kỹ thuật xã hội để lừa người dùng mở các tệp đính kèm hoặc truy cập vào các đường link độc hại và tải về các malware nguy hiểm. Qua đó, chúng sẽ có thể thâm nhập sâu và hệ thống, đánh cắp các dữ liệu và khai thác thêm các lỗ hổng khác.

Để phòng chống việc tấn công qua các lỗ hổng zero-day, Microsoft Defender Application Guard cung cấp cho các tổ chức công nghệ cách ly ứng dụng để giải quyết thách thức đó. Dựa trên các nguyên tắc của mô hình bảo mật Zero Trust về xác minh rõ ràng, quyền truy cập đặc quyền ít nhất và giả sử vi phạm, việc cô lập coi mọi ứng dụng và phiên duyệt web theo mặc định là không đáng tin cậy, thêm nhiều rào cản cho những kẻ tấn công cố gắng xâm nhập vào môi trường của người dùng.

Với Application Guard, các trang web và tệp Office chạy trong một vùng chứa dựa trên nền tảng ảo hóa (Hyper-V) cô lập. Đảm bảo rằng bất kỳ điều gì xảy ra trong vùng chứa vẫn được cách ly khỏi hệ điều hành máy tính để bàn. Điều này có nghĩa là mã độc bắt nguồn từ một tài liệu hoặc trang web sẽ chỉ chạy bên trong vùng chứa. Các thiết bị của người dùng sẽ không bị ảnh hưởng và bán kính lây nhiễm lan truyền vẫn bị giới hạn trong vùng chứa.

Giải pháp này có cùng một công nghệ bảo mật dựa trên ảo hóa (VBS). Nó cũng hỗ trợ các tính năng bảo mật khác của Windows như Credential Guard và Hypervisor Code Integrity (HVCI).

Sức mạnh của tính năng cô lập cục bộ Application Guard đã được tích hợp sẵn trong Microsoft Edge và Microsoft Office. Nó cung cấp khả năng bảo vệ liền mạch chống lại các tệp Word, PowerPoint và Excel độc hại, cũng như các trang web độc hại. Microsoft cũng đã mở rộng tính năng bảo vệ này cho Google Chrome và Mozilla Firefox thông qua plugin Application Guard. Cho phép mở các trang web không đáng tin cậy một cách riêng biệt bằng Microsoft Edge.

Application Guard cung cấp một tuyến phòng thủ đầu tiên tuyệt vời cho các tổ chức— khi người dùng chạy một ứng dụng hoặc mở tệp đính kèm email và nhấp vào một liên kết hoặc một URL, nếu bất kỳ cái nào trong số này có phần mềm độc hại, nó sẽ được chứa trong môi trường hộp cát và sẽ không bị có thể truy cập vào máy tính để bàn, hệ thống hoặc dữ liệu của nó. Ngoài ra, mọi cuộc tấn công độc hại có trong Application Guard đều giúp thông báo và cải thiện thông tin về mối đe dọa toàn cầu, nâng cao khả năng phát hiện tổng thể và bảo vệ không chỉ tổ chức của bạn mà còn cho hàng triệu khách hàng khác của Microsoft trên toàn thế giới.

Áp dụng Microsoft Defender Application Guard cho mô hình bảo mật Zero Trust

Công nghệ cách ly ứng dụng của Application Guard là một phần quan trọng trong chiến lược triển khai Zero Trust của mọi tổ chức. Và bảo vệ hệ thống của bạn khỏi bị xâm phạm mà không ảnh hưởng đến hiệu suất và năng suất.

Dựa trên các nguyên tắc sau của Zero Trust, công nghệ cách ly trong Windows tạo thành xương sống của Application Guard, cung cấp khả năng bảo vệ mạnh mẽ hơn và đảm bảo hơn cho người dùng của bạn đồng thời cho phép họ nhấp vào bất cứ đâu.

• Xác minh rõ ràng: Quản trị viên cũng có thể định cấu hình chính sách chứng thực tình trạng thiết bị trong tổ chức của họ bằng Microsoft Intune. Cùng với quyền truy cập có điều kiện, các chính sách này sẽ đảm bảo và chứng thực rằng Windows khởi động với khởi động an toàn được bật — đảm bảo rằng hypervisor khởi động chính xác và vùng chứa App Guard được bảo mật.
• Đặc quyền ít nhất: Vùng chứa cách ly phần cứng được sử dụng bởi Application Guard triển khai một nhân và không gian người dùng an toàn, đồng thời không cho phép bất kỳ quyền truy cập nào vào màn hình của người dùng hoặc các tài nguyên đáng tin cậy khác trong doanh nghiệp.
• Giả định vi phạm: Đối với mọi mục đích, vùng chứa này được coi là không đáng tin cậy và được sử dụng để chạy nội dung không đáng tin cậy. Không có dữ liệu người dùng hoặc bất kỳ danh tính nào bên trong vùng chứa. Người ta cho rằng nội dung không đáng tin cậy có thể chứa mã độc.