ما هو ASR (تقليل سطح الهجوم) وكيفية تطبيقه

لقد ارتفع نطاق الهجوم على المنظمات بشكل كبير في السنوات الأخيرةالحوسبة السحابية، والعمل عن بُعد، والبرمجيات كخدمة (SaaS)، والأجهزة المحمولة، وUSB، ووحدات الماكرو، وواجهات برمجة التطبيقات (APIs)... كل خدمة أو منفذ أو تطبيق جديد يُمثل ثغرة أمنية محتملة للمهاجمين. لهذا السبب، تُدمج مايكروسوفت مجموعة من التقنيات في نظامي التشغيل ويندوز 10 وويندوز 11 بهدف الحد من صلاحيات البرامج، حتى وإن بدت شرعية. للحد من هذه المخاطر، راجع النصائح الخاصة بـ تحسين الأمان في Windows 11.

ضمن تلك "الترسانة الدفاعية"، تُعد قواعد تقليل سطح الهجوم (ASR) إحدى الركائز الأساسية.تُدمج قواعد تقليل مساحة الهجوم في برنامج مكافحة الفيروسات Microsoft Defender وبرنامج Defender for Endpoint. وهي ليست مجرد برنامج مكافحة فيروسات تقليدي، بل نظام سياسات يمنع السلوكيات الخطيرة قبل أن تُتاح للبرامج الضارة فرصة تنفيذ حمولتها. يُعدّ الفهم الشامل لهذه القواعد، وكيفية عملها، وكيفية نشرها دون الإضرار بالبيئة أمرًا بالغ الأهمية لأي مسؤول نظام يدير نظام Windows في شركة، كبيرة كانت أم صغيرة. علاوة على ذلك، يُنصح بتعزيزها بـ... برامج الأمان الأساسية كجزء من الاستراتيجية الدفاعية.

ما هو نطاق الهجوم ولماذا يجب تقليله؟

سطح الهجوم هو مجموعة جميع النقاط التي يمكن للمهاجم من خلالها التفاعل مع أنظمتنا لسرقة البيانات، أو تنفيذ التعليمات البرمجية، أو التحرك الجانبي. ويشمل ذلك عناصر مادية ورقمية وبشرية.

على المستوى الماديتُعدّ الخوادم ومحطات العمل وأجهزة الشبكة وأجهزة الكمبيوتر المحمولة والمحطات الطرفية وأي جهاز آخر متصل بشبكة الشركة أو يحتوي على بيانات حساسة، عناصر قابلة للاختراق. وقد يكون جهاز كمبيوتر غير مشفر أو منسي أو منفذ USB غير مراقب وسيلة اختراق أكثر فعالية من استغلال ثغرة أمنية عن بُعد.

في القسم الرقمي نحن نتحدث عن أنظمة التشغيل، وتطبيقات الأعمال، وخدمات الويب، وقواعد البيانات، ونقاط النهاية، والحاويات، والخدمات السحابية، وواجهات برمجة التطبيقات (APIs). أي ثغرة أمنية غير مُعالجة، أو خلل في التكوين، أو واجهة مكشوفة، تُعد جزءًا من سطح الهجوم، ويمكن للمهاجم استغلالها. لذلك، من الضروري الحفاظ على... تحديثات الأمان يوم

العامل البشري أكمل الصورة: حسابات المستخدمين، والصلاحيات، وأخطاء التكوين، وبالطبع، الهندسة الاجتماعية. تستغل حملات التصيد الاحتيالي، وانتحال الشخصية، والخداع، ثغرات الوعي الأمني، لا العيوب التقنية. لهذا السبب، يُعد التدريب وثقافة الأمن القوية بنفس أهمية التقنيات نفسها، ويجب استكمالهما بحلول إدارة الهوية مثل... Windows Hello for Business.

إن تقليل مساحة الهجوم يعني تقليم وتحصين جميع نقاط الضعف تلك.يشمل ذلك إزالة البرامج غير المستخدمة، وإغلاق المنافذ، وتقييد الصلاحيات، وتقسيم الشبكات، ومراجعة واجهات برمجة التطبيقات، وتأمين الحوسبة السحابية، وتطبيق ضوابط تقنية لمنع إساءة استخدام الميزات المشروعة. وهنا تحديدًا تبرز أهمية تقنية التعرف التلقائي على التطبيقات (ASR)، ويُنصح أيضًا بتطبيق سياسات محلية. secpol.msc.

ما هي خاصية تقليل سطح الهجوم (ASR) في برنامج Microsoft Defender؟

ASR (تقليل سطح الهجوم) عبارة عن مجموعة من قواعد Microsoft Defender التي تقيد سلوكيات البرامج التي تعتبر عالية الخطورة.حتى عندما تنشأ هذه الهجمات من تطبيقات "موثوقة" مثل Office أو المتصفحات أو برامج البريد الإلكتروني. لا ينصب التركيز على توقيعات البرامج الضارة بقدر ما ينصب على منع استغلال الوظائف المشروعة لتنفيذ الهجمات.

تستهدف قواعد ASR أنماط السلوك النموذجية للبرامج الضارة، كيف:

• تشغيل الملفات التنفيذية أو البرامج النصية التي تقوم بتنزيل أو تشغيل ملفات أخرىغالباً من البريد الإلكتروني أو الإنترنت أو ذاكرة USB.
• تنفيذ البرامج النصية المبهمة أو المشبوهة (PowerShell، JavaScript، VBScript)، شائعة في الهجمات التي لا تستخدم الملفات.
• الإجراءات التي لا تقوم بها التطبيقات في الاستخدام العادي، مثل قيام Office بإنشاء عمليات فرعية، أو سرقة بيانات الاعتماد، أو الوصول إلى مناطق حساسة من النظام.

من المهم أن نفهم أن بعض هذه السلوكيات تظهر أيضاً في البرامج المشروعة.ينطبق هذا بشكل خاص على تطبيقات الأعمال المصممة بشكل سيئ أو القديمة. ولهذا السبب، يوفر نظام التعرف التلقائي على الكلام (ASR) عدة أوضاع (الحظر، والتدقيق، والتحذير) ويدعم استثناءات محددة حسب الملف أو المجلد أو حتى القاعدة.

يُعد ASR جزءًا من برنامج مكافحة الفيروسات Microsoft Defender (محرك مدمج في نظامي التشغيل Windows 10/11). تتم إدارته بطريقة متقدمة من خلال برنامج Defender for Endpoint ومنظومة Microsoft 365 (Intune، وConfiguration Manager، وMDM، وGPO). لا يتطلب بالضرورة ترخيص E5 للتشغيل، ولكنه ضروري للاستفادة الكاملة من مستوى الإدارة المتقدمة، وإعداد التقارير، واكتشاف التهديدات.

دور التعرف التلقائي على الكلام في نموذج الثقة الصفرية

ينطلق نهج "انعدام الثقة" من فرضية واضحة: "افترض أنك ملتزم بالفعل".يستلزم ذلك الحد من تأثير أي حادثة من خلال تطبيق طبقات تحكم على مستوى الشبكة والهوية ونقاط النهاية. وتندرج قواعد ASR ضمن طبقة نقاط النهاية كآلية تحكم وقائية.

بدلاً من انتظار تنفيذ ملف تنفيذي خبيث واكتشافهيقوم نظام ASR بحظر الأساليب المعتادة التي يستخدمها المهاجمون مسبقًا: وحدات ماكرو Office التي تشغل PowerShell، والملفات التنفيذية غير المعروفة التي يتم تنزيلها من البريد الإلكتروني، والبرامج النصية المبهمة، وبرامج التشغيل الضعيفة، والعمليات التي يتم تشغيلها من USB، وما إلى ذلك.

وبهذه الطريقة، يطبق نظام التعرف التلقائي على التطبيقات مبدأ أقل الامتيازات على ما يمكن للتطبيقات القيام به.لا يقتصر الأمر على ما يمكن للمستخدمين فعله. سيظل برنامج Word كما هو، لكنه لن يكون قادراً بعد الآن على إنشاء عمليات فرعية عشوائية، أو استدعاء واجهات برمجة تطبيقات Win32 معينة من وحدات الماكرو، أو تشغيل المحتوى الذي تم تنزيله دون تحكم.

بالإضافة إلى تجزئة الشبكة، والمصادقة متعددة العوامل، والتحكم في التطبيقات، وحماية الويب، وأفضل ممارسات التحديثاتتساعد تقنية التعرف التلقائي على الاختراق (ASR) بشكل كبير في "تضييق" نطاق الهجوم الفعال على محطات عمل وخوادم ويندوز، والتي لا تزال تمثل الحلقة الأضعف في العديد من الحوادث.

أنواع أسطح الهجوم وعلاقتها بتقنية التعرف التلقائي على الكلام

عادة ما يتم تقسيم أسطح الهجوم إلى ثلاث فئات رئيسية: الهندسة الرقمية، والهندسة المادية، والهندسة الاجتماعية.لكل منها قياسات محددة، لكنها جميعاً تتلامس مع بعضها البعض.

سطح الهجوم الرقمييشمل ذلك المواقع الإلكترونية، والخوادم، وقواعد البيانات، ونقاط النهاية، والبرمجيات كخدمة (SaaS)، والخدمات السحابية، وواجهات برمجة التطبيقات (APIs)، وغيرها. وتُعدّ الثغرات الأمنية في البرمجيات، والتكوينات غير الآمنة، والخدمات المكشوفة جزءًا من هذا. وتعتمد المؤسسات عادةً على أدوات إدارة سطح الهجوم الخارجي (EASM) لمراقبة هذه الأصول باستمرار.

سطح الهجوم الماديأجهزة الشبكة، والخوادم الموجودة في الموقع، ومعدات المستخدم، وأجهزة التخزين، وما إلى ذلك. ويتم تقليل ذلك من خلال الضوابط المادية (الوصول إلى مركز البيانات، والكاميرات، والأقفال، وحماية الرفوف) ومن خلال سياسات واضحة بشأن الأجهزة القابلة للإزالة.

سطح الهندسة الاجتماعيةتستغل هجمات التصيد الاحتيالي، والتصيد الصوتي، والتصيد عبر الرسائل النصية، نقاط الضعف البشرية. ويُعد تدريب الموظفين، وإجراء محاكاة للتصيد الاحتيالي، ووضع سياسات واضحة بشأن إدارة بيانات الاعتماد والوصول، أموراً أساسية في هذا الصدد.

يستهدف نظام التعرف التلقائي على الكلام (ASR) بشكل أساسي السطح الرقمي عند نقطة النهاية.ولكن مع تأثيرات على الفيزياء (على سبيل المثال، منع الملفات التنفيذية من USB) وعلى العامل البشري (مما يجعل من الصعب على النقر على بريد إلكتروني خبيث أن يؤدي إلى تنفيذ البرامج الضارة).

أهم قواعد التعرف التلقائي على الكلام (ASR) وما تحظره

تحتفظ مايكروسوفت بكتالوج واسع النطاق لقواعد التعرف التلقائي على الكلام، والذي يتم توسيعه مع كل إصدار من ويندوز 10/11تركز بعض أهمها على العوامل التي يتم استغلالها بشكل كبير اليوم:

قواعد تركز على تطبيقات Office والإنتاجية:

• منع تطبيقات Office من إنشاء عمليات فرعية (GUID D4F940AB-401B-4EFC-AADC-AD5F3C50688A): يمنع Word و Excel وما إلى ذلك من تشغيل عمليات مثل cmd.exe أو powershell.exe، وهو أمر شائع جدًا في الحملات التي تحتوي على وحدات ماكرو.
• منع تطبيقات الاتصال في Office من إنشاء عمليات فرعيةزيادة تحصين برنامج Outlook والبرامج المماثلة.
• منع برنامج Adobe Reader من إنشاء عمليات في الخلفية، لإغلاق منفذ استغلال مشترك آخر.

قواعد محددة للماكرو:

• حظر استدعاءات واجهة برمجة تطبيقات Win32 من وحدات ماكرو Office (GUID 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B): يوقف أحد أكثر أنماط البرامج الضارة شيوعًا، والتي تحتاج إلى استدعاء وظائف النواة أو مكتبات أخرى لإكمال الهجوم.
• حظر المحتوى القابل للتنفيذ من البريد الإلكتروني أو البريد الإلكتروني عبر الويبفهو يقضي على العديد من الهجمات التي تبدأ بمرفق أو رابط خبيث في مهدها.

قواعد مكافحة البرامج النصية الخبيثة:

• منع تنفيذ البرامج النصية المبهمة، سواء في PowerShell أو في لغات مثل JavaScript أو VBScript.
• منع برامج جافا سكريبت/في بي سكريبت من تشغيل المحتوى الذي تم تنزيله، مما يمنع سلاسل العدوى التي تمر دون أن يلاحظها المستخدم.

قواعد الحركة الجانبية، وبرامج التشغيل، وUSB:

• إنشاء عمليات الحظر من PsExec و WMI، اثنتان من تقنيات الحركة الجانبية الكلاسيكية في شبكات ويندوز.
• منع سرقة بيانات اعتماد LSASSأدوات التخفيف مثل ميميكاتز.
• منع إساءة استخدام الشهادات وتوقيعات السائقمنع المهاجمين من الاعتماد على برامج التشغيل الشرعية ولكن المعيبة.
• حظر العمليات غير الموقعة أو غير الموثوقة التي يتم تشغيلها من USBمفيد للغاية في البيئات التي يستخدم فيها المستخدمون محركات الأقراص القابلة للإزالة بشكل متكرر.
• استمرارية الكتل باستخدام اشتراكات أحداث WMI، وهي حيلة متكررة للبقاء في النظام دون لفت الانتباه بشكل كبير.

من المهم أن نضع في اعتبارنا أن القواعد ليست جميعها فعالة بنفس القدر بمفردها.على سبيل المثال، كانت قاعدة "منع Office من إنشاء عمليات فرعية" مقيدة بالعمليات التي يتم تشغيلها عبر WMI، واضطرت مايكروسوفت إلى إضافة قواعد محددة أخرى لسد هذه الثغرة. أما قواعد أخرى، مثل تلك التي تمنع واجهات برمجة تطبيقات Win32 في وحدات الماكرو، فهي أكثر قوة ويصعب تجاوزها اليوم.

أوضاع تشغيل قواعد نظام التعرف التلقائي على الكلام

يمكن أن تكون كل قاعدة من قواعد التعرف التلقائي على الكلام في واحدة من أربع حالات تحدد سلوكها:

• غير مُهيأ / مُعطّللا تعمل القاعدة ولا تولد بيانات.
• قفل: قاعدة فعالة، تمنع الإجراء وتسجل الحدث.
• التدقيقلا يقوم بالحظر، ولكنه يسجل ما سوف يكون مغلق، مثالي للاختبار.
• تحذير: يحظر ولكن يسمح للمستخدم بتجاوز الحظر لمدة 24 ساعة، وبعد ذلك يتم إعادة تطبيق القاعدة.

يُعد وضع التدقيق حجر الزاوية في التنفيذ الخاضع للرقابةيتيح لك تشغيل جميع القواعد أولاً في هذا الوضع معرفة تطبيقات الأعمال التي ستتأثر، وعدد الأحداث التي يتم إنشاؤها، وأين يجب إدخال الاستثناءات لتجنب تعطيل العمليات الحرجة.

يُقصد بوضع التحذير أن يكون خطوة وسيطة. بالنسبة للمؤسسات التي ترغب في منح المستخدمين النهائيين هامشًا من الحرية في الحالات الاستثنائية. ومع ذلك، لا يتم دعم هذه الميزة لجميع القواعد أو في جميع السيناريوهات: على سبيل المثال، هناك ثلاث قواعد لا تدعم التحذيرات إذا تم تكوينها من خلال Intune (على الرغم من أنها تدعمها عبر GPO)، وفي الإصدارات القديمة من Windows، يتم ترجمة إعداد "تحذير" إلى "حظر".

عند تفعيل قاعدة التعرف التلقائي على الكلام (ASR)، يرى المستخدم مربع حوار يشير إلى أنه تم حظر المحتوى.وإذا سمح الوضع بذلك، يمكنك فتحه مؤقتًا. هذه التجربة قابلة للتخصيص، وتُرفق بأحداث في سجل ويندوز، وإذا كنت تستخدم برنامج Defender for Endpoint، فتظهر تنبيهات في البوابة.

المتطلبات الأساسية وأنظمة التشغيل المتوافقة

للاستفادة الكاملة من تقنية ASR وبقية قدرات تقليل سطح الهجومهناك عدد من المتطلبات التي ينبغي أن تكون واضحة:

متطلبات برنامج مكافحة الفيروسات Microsoft Defender:

• يجب أن يكون برنامج Defender هو برنامج مكافحة الفيروسات الأساسي لديك.، لا يمكن أن يكون في وضع سلبي أو معطل.
• يجب تفعيل الحماية في الوقت الفعلي.
• يجب تفعيل الحماية المقدمة عبر السحابة ومع توفر الاتصال بالإنترنت، لأن بعض القواعد تعتمد عليه.
• الإصدارات الدنيا يوصى به لوضع التحذير والوظائف المتقدمة الأخرى: النظام الأساسي 4.18.2008.9 والمحرك 1.1.17400.5 أو أعلى.

على مستوى نظام التشغيلتُدعم قواعد التعرف التلقائي على الكلام (ASR) في إصدارات مختلفة من نظامي التشغيل Windows 10 وWindows 11، في كلٍ من بيئات العمل الاحترافية والمؤسسية. لا يُشترط الحصول على ترخيص Windows E5 لكي تعمل هذه القواعد، ولكن يُشترط توفر ما يلي:

ميزات متقدمة للإدارة والرؤية:

• مراقبة مركزية وتحليل مفصل من خلال برنامج Defender for Endpoint.
• التقارير والتكوينات المتقدمة من بوابة Microsoft Defender XDR.
• تكامل عميق مع سيناريوهات البحث والصيد المتقدمة.

مع تراخيص احترافية أو E3 لا يزال من الممكن استخدام قواعد ASR، ولكن الرؤية تقتصر على السجلات المحلية (عارض الأحداث، سجلات Defender) أو الحلول التي قام العميل بإعدادها (على سبيل المثال، إعادة توجيه الأحداث إلى SIEM الخاص بهم).

كيفية تقييم قواعد التعرف التلقائي على الكلام قبل نشرها

إن تفعيل جميع قواعد التعرف التلقائي على الكلام في وضع "الحظر" دفعة واحدة هو وصفة مثالية لتعطيل التطبيقات وإثارة غضب المستخدمين.توصي مايكروسوفت وتوثق اتباع نهج تدريجي قائم على التقييم المسبق.

تتمثل نقطة البداية المثالية في استخدام إدارة الثغرات الأمنية في برنامج Microsoft Defender.حيث تظهر كل قاعدة من قواعد ASR كتوصية أمنية. من لوحة تفاصيل التوصية، يمكنك الاطلاع على التأثير المُقدَّر على المستخدمين والأجهزة: النسبة المئوية لنقاط النهاية التي يمكن تفعيل القاعدة فيها في وضع الحظر دون التأثير بشكل كبير على الإنتاجية.

الخطوة التالية هي تشغيل القواعد في وضع التدقيقفي هذا الوضع، يتم تسجيل الأحداث لكل ما كان سيتم حظره، ولكن دون التأثير على العمليات. وهذا يسمح بما يلي:

• تحديد تطبيقات خط الأعمال التي تتصرف "بشكل غريب" لكنها ضرورية.
• قم بقياس عدد الأحداث التي تولدها كل قاعدة وقرر ما إذا كان الأمر قابلاً للإدارة أم أن هناك الكثير من الضوضاء.
• تصميم واختبار استراتيجية الاستبعاد حسب الملف أو المجلد أو العملية.

تُكتب العديد من تطبيقات الأعمال التجارية مع إيلاء القليل من الاهتمام للأمان. ويمكنهم استخدام ممارسات تشبه إلى حد كبير البرامج الضارة: البرامج النصية المبهمة، والملفات التنفيذية المساعدة، وبرامج التشغيل غير العادية، وما إلى ذلك. يسمح وضع التدقيق باكتشاف هذه الحالات دون تعطيل العمليات الرئيسية.

الاستثناءات ودمج التوجيهات في ASR

تُعدّ الاستثناءات ضرورية لمنع تحوّل متلازمة إعادة امتصاص الكالسيوم إلى مشكلة مزعجة.تسمح لك معظم القواعد بتحديد المسارات أو الملفات التي لن يتم تقييمها، حتى لو كان السلوك محظورًا في العادة.

إضافة الاستثناءات تتطلب عناية فائقة.:

• قللها إلى الحد الأدنى.دائماً كن دقيقاً قدر الإمكان (ملف تنفيذي محدد، وليس مجلداً كبيراً بأكمله).
• وثّق بوضوح سبب كل استبعاد ومراجعتها دورياً.
• تجنب استبعاد المواقع النموذجية للبرامج الضارة مثل ملفات تعريف المستخدمين، والملفات المؤقتة، والتنزيلات، أو مسارات البريد الإلكتروني.

في البيئات التي يتم فيها تطبيق سياسات متعددة (MDM، Intune، GPO، إلخ) يوجد منطق دمج.بالنسبة للأجهزة المُدارة، يمكن إنشاء "مجموعة فائقة" من القواعد من عدة ملفات تعريف: يتم إضافة التكوينات غير المتضاربة معًا، بينما يتم استبعاد تلك التي تتعارض مع بعضها البعض من السياسة المجمعة.

في حال وجود توجيهات متضاربة بين إدارة الأجهزة المحمولة (MDM) و Intune مقابل سياسات المجموعة (GPO).تُعطى الأولوية عادةً لسياسة المجموعة ويتم تطبيقها. من المهم مراجعة التسلسل الهرمي وتحديد نظام الإدارة الذي يجب أن يكون مسؤولاً عن إعدادات برنامج الحماية (Defender) في المؤسسة.

طرق تكوين ونشر نظام التعرف التلقائي على الكلام

تقدم مايكروسوفت عدة طرق لتكوين وتوزيع قواعد التعرف التلقائي على الكلام (ASR).من سطر الأوامر إلى بوابات الحوسبة السحابية المتقدمة، من الممارسات الشائعة في مجال الأعمال الجمع بين أكثر من أداة واحدة.

إدارة المؤسسات الموصى بها (Intune / Configuration Manager):

• سياسة أمان نقطة النهاية Intuneهذه هي الطريقة المفضلة في بيئات الحوسبة السحابية. فهي تتيح لك إنشاء ملفات تعريف محددة لـ "قاعدة تقليل سطح الهجوم"، وتحديد حالة كل قاعدة، وإضافة استثناءات، وتوزيع السياسات على مجموعات من المستخدمين أو الأجهزة.
• Intune – ملفات تعريف تكوين الجهاز (حماية نقطة النهاية): بديل لإدارة ASR ضمن سياسة حماية أوسع.
• Intune – ملفات تعريف OMA-URI المخصصة: للسيناريوهات المتقدمة حيث تحتاج إلى استخدام CSP الخاص بـ Defender مباشرة، مع تحديد GUIDs القواعد وقيم الحالة (0 تعطيل، 1 حظر، 2 تدقيق، 6 تحذير).
• مدير تكوين Microsoft (SCCM): يسمح لك بإنشاء سياسات Windows Defender Exploit Guard – Attack Surface Reduction، واختيار القواعد المراد حظرها أو تدقيقها، ونشرها على مجموعات من الأجهزة.

خيارات التكوين الأخرى:

• إدارة بيانات الأجهزة الطبية العامة باستخدام CSP ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules y AttackSurfaceReductionOnlyExclusions بالنسبة للاستثناءات، يتم ترميز المعرفات الفريدة العامة للقواعد جنبًا إلى جنب مع قيمة الحالة.
• نهج المجموعة (GPO)يمكن القيام بذلك من خلال قوالب الإدارة > مكونات ويندوز > برنامج مكافحة الفيروسات مايكروسوفت ديفندر > حماية الثغرات الأمنية > تقليل مساحة الهجوم. يتيح لك هذا الخيار ضبط حالة كل قاعدة وسياسة محددة للاستثناءات.
• بوويرشيلباستخدام أوامر مثل Set-MpPreference y Add-MpPreference يمكن تفعيل القواعد ومراجعتها وإصدار تنبيهات بشأنها أو تعطيلها، كما يمكن إدارة الاستثناءات. وهذا مفيد للبرامج النصية، أو عمليات التشغيل الآلي لمرة واحدة، أو البيئات الصغيرة.

في الشركات الصغيرة التي لا تستخدم Intune، تظل GPOs و PowerShell هي النهج الأساسي.على الرغم من عدم وجود "زر سحري" في بوابة Defender for Endpoint لدفع قواعد ASR، يمكنك استخدام GPOs المركزية في Active Directory أو البرامج النصية لتسجيل الدخول باستخدام PowerShell للحفاظ على تكوين متسق.

قدرات أخرى لتقليل مساحة الهجوم في برنامج Defender

لا يُعدّ نظام ASR وحيدًا: فهو جزء من مجموعة أوسع من ضوابط الحد من سطح الهجوم مدمج في برنامج Microsoft Defender for Endpoint.

القدرات التكميلية الرئيسية:

• التحكم في التطبيقات (WDAC)يُجبر هذا النظام التطبيقات على اكتساب الثقة قبل تشغيلها. وهو يمثل مستوىً متقدماً من الصرامة بعد نظام التعرف التلقائي على الكلام (ASR)، إذ يُحدد أي الملفات التنفيذية يُمكن تشغيلها، وليس فقط ما يُمكنها فعله.
• الوصول إلى المجلدات التي تسيطر عليها: يحمي الدلائل الرئيسية (المستندات، سطح المكتب، إلخ) من التعديلات غير المصرح بها، وهو مفيد بشكل خاص ضد برامج الفدية.
• جهاز التحكم: يدير استخدام USB ووسائط التخزين القابلة للإزالة الأخرى لمنع تسرب البيانات والبرامج الضارة من محركات الأقراص الخارجية.
• حماية من الاستغلال: يطبق إجراءات تخفيف على مستوى النظام والعمليات ضد تقنيات الاستغلال المعروفة، بشكل مستقل عن برنامج مكافحة الفيروسات الأساسي.
• العزل القائم على الأجهزة: يحمي سلامة النظام من خلال التمهيد الآمن، وVBS، وHVCI، وحاويات المتصفح (على سبيل المثال، عزل الحافة).
• حماية الشبكة وحماية الويبإنها توسع نطاق التحكم ليشمل حركة المرور الصادرة، والمجالات الضارة، وفئات مواقع الويب، وتتكامل مع Defender SmartScreen وسياسات الويب.

إن تطبيق هذه القدرات معًا يسمح بتقليل مساحة الهجوم بشكل كبير.لكن دائماً بنفس النهج: البدء في وضع التدقيق، والتعديل، وإدخال استثناءات مدروسة جيداً، ثم الانتقال إلى الحظر.

مراقبة أحداث التعرف التلقائي على الكلام والبحث المتقدم

تُعد مراقبة ما تفعله قواعد التعرف التلقائي على الكلام بنفس أهمية إعدادها.يتم تسجيل الأحداث المرتبطة بها على مستويات مختلفة.

على نقطة النهاية نفسهاتقع الأحداث الرئيسية في:

• مايكروسوفت ويندوز - ويندوز ديفندر/التشغيلي، مع معرفات مثل 1121 (قاعدة في وضع الحظر)، 1122 (قاعدة في وضع التدقيق) و 5007 (تغييرات التكوين).
• سجلات محددة أخرى لحماية الشبكة، والتحكم في الوصول إلى المجلدات، وحماية الثغرات الأمنية، وما إلى ذلك، ولكل منها مجموعة خاصة بها من المعرفات ذات الصلة.

لتسهيل عملية المراجعة، توفر مايكروسوفت طرق عرض مخصصة بتنسيق XML. لا تعرض هذه المرشحات إلا الأحداث المتعلقة بـ ASR، وحماية الشبكة، والتحكم في الوصول إلى المجلدات، أو إجراءات التخفيف الأمني. ويمكن استيرادها إلى عارض الأحداث أو نسخ استعلام XML مباشرةً.

في البيئات التي تستخدم برنامج Defender for Endpoint، يُعد Advanced Hunting حليفًا رائعًا.مع الاستعلامات على جدول مثل DeviceEvents على سبيل المثال، يمكن تحديد جميع مشغلات قواعد التعرف التلقائي على الكلام باستخدام استعلامات مثل:

مثال على الاستعلام: DeviceEvents | where ActionType startswith "Asr"

تم تحسين هذا البحث لتقليل التشويش من خلال عرض العمليات الفريدة فقط في الساعة.إذا حدث نفس الحدث على أجهزة متعددة بين الساعة 14:15 و 14:45، فسيتم عرض إدخال واحد فقط مع الطابع الزمني للحدث الأول، مما يجعل التحليل أسهل دون أن يدفن تحت آلاف الصفوف المتكررة.

الممارسات الجيدة والتحديات في تقليل مساحة الهجوم

إن تقليل مساحة الهجوم هو ماراثون وليس سباق سرعة، وهو يتعارض بشكل مباشر مع بعض الممارسات التجارية الراسخة.هناك تحديات واضحة وأفضل الممارسات التي تساعد على تحقيق ذلك.

التحديات الرئيسية:

• التبعيات المعقدةالتطبيقات والأنظمة القديمة التي تعتمد على مكونات قديمة أو غير آمنة، والتي يصعب تعديلها دون إتلاف شيء ما.
• تكامل الأنظمة القديمة التي لا تدعم إجراءات الأمان الجديدة أو تتطلب تكوينات غير مستحسنة.
• سرعة التغير التكنولوجيتُتيح المنصات والخدمات الجديدة مسارات جديدة، مما يُجبر على مراجعة الاستراتيجية باستمرار.
• محدودية الموارد: نقص الموظفين أو الأدوات أو الميزانية اللازمة لتغطية جميع الجوانب.
• التأثير على عمليات الأعمالغالباً ما تعني زيادة الأمان زيادة الاحتكاك، وعليك إيجاد التوازن الصحيح.

الممارسات الجيدة الشاملة:

• إدارة الأصول الدقيقة، مع قوائم جرد محدثة للأجهزة والبرامج والبيانات، مصنفة حسب الأهمية والمالك.
• أمن الشبكة القائم على التجزئة والرؤيةمع وضع قواعد واضحة بشأن ما يمكن مناقشته مع من، ومراقبة حركة المرور.
• تعزيز الأنظمةقم بإلغاء تثبيت البرامج غير الضرورية، وتعطيل الميزات والحسابات الافتراضية، وتطبيق التحديثات على الفور، ومراجعة إعدادات الأمان بانتظام. عزز نظام القياس عن بعد.
• رقابة صارمة على الوصولباتباع مبدأ أقل الامتيازات، مع المصادقة متعددة العوامل، والمراجعات الدورية للأذونات والإلغاء السريع عندما يغير شخص ما دوره أو يغادر.
• إدارة التكوين مدعومة بأدوات تكشف التغييرات غير المصرح بها، وتنبه، وإذا أمكن، تعيدها تلقائيًا.

في بيئات الحوسبة السحابية، يجب إيلاء اهتمام خاص أيضًا لتكوينات التخزين والهويات وواجهات برمجة التطبيقات والتشفير.لأن خطأ في الأذونات أو تكوين خاطئ للحاوية يمكن أن يعرض البيانات للإنترنت دون أن يلاحظ أحد ذلك حتى فوات الأوان.

في العمليات اليومية، تساعد قواعد ASR، جنبًا إلى جنب مع بقية قدرات Defender، على تقليل فرص نجاح الهجوم بشكل كبير.حتى لو نقر المستخدم في مكان لا ينبغي له النقر فيه أو لم يتم تحديث النظام بالكامل، أو تكوينه وتنفيذه بشكل صحيح في وضع الحظر بعد مرحلة تدقيق وضبط شاملة، فإنها تصبح طبقة فعالة للغاية وشفافة نسبيًا للمستخدم النهائي.

على الرغم من أن هذه الشبكة الكاملة من القواعد والمعرفات الفريدة والأنماط والأدوات قد تبدو غامضة في البدايةباتباع استراتيجية منظمة (التقييم، والتدقيق، والقضاء الدقيق على الثغرات الأمنية، ثم حجبها)، يصبح الأمر سهل الإدارة حتى بالنسبة للفرق الصغيرة. والفائدة واضحة: مساحة أقل للمراقبة، ونقاط حماية أقل، واحتمالية ضئيلة لتفاقم أي خلل معزول إلى اختراق خطير.