Hasta ahora, la tecnología Windows Defender Application Guard de Microsoft (introducida por primera vez en la versión RS3 de Windows 10) solo ha protegido realmente una aplicación: el navegador original y (más recientemente) el nuevo Edge.Basado en Chrome: las extensiones WDAG para Chrome y Firefox permiten en su lugar, abre sitios que no son de confianza en Edge.

Pero la misma tecnología pronto ejecutará Word, Excel y PowerPoint en un espacio aislado virtualizado cuando abra documentos desde Internet, lo que le permitirá copiar, imprimir, editar y guardar documentos sin tener que hacer clic en Vista protegida y volver a abrir el documento (que es tanto molesto como una oportunidad para infectarse con malware).

Application Guard para Office proporciona "soporte WDAG basado en contenedores para aplicaciones clave de Office", dijo a TechRepublic Dave Weston, director de seguridad del sistema operativo de Microsoft. Este es un gran paso adelante ya que las macros de Office, los scripts incrustados, el contenido activo como los controles OLE y COM y los documentos con enlaces ofuscados al malware siguen siendo una fuente importante de ataques, y el modo protegido deja una decisión de seguridad clave para los usuarios que pueden estar enfermos. equipado para decidir qué documentos son seguros.

“Office es la aplicación más productiva que existe. Lo que a la gente le encanta es la extensibilidad; nos gusta que probablemente pueda crear una plataforma petrolera o energética completa en Office con macros, con algunos archivos de Excel. Pero, obviamente, también les da a los atacantes la capacidad de confundir a los usuarios para que abran documentos con macro u otros ataques basados. [malicious] contenido”, dijo Weston.

El contenido activo no es la única amenaza, dijo Weston. Aunque es raro, algunos atacantes han utilizado exploits de día cero para atacar empresas a través de documentos de Office. "En los últimos años, hemos visto exploits de día cero que inicialmente hacen que el código se ejecute en modo protegido, luego lo combinan con algún tipo de kernel u otra vulnerabilidad para 'escapar' de la zona de pruebas".

Application Guard maneja ambos estilos de ataque, dijo Weston. “No hay acceso en el contenedor a cosas como las credenciales de forma transparente, por lo que no puede simplemente realizar ataques NTLM. Y, por supuesto, el contenido activo se mantiene en el contenedor y solo se promociona después de pasar un análisis más profundo. El hecho de que Application Guard pueda permitirle contener cualquier amenaza de Internet en una versión esencialmente reducida del hipervisor de Azure es extremadamente valioso.

La Vista protegida es segura pero molesta, porque no puede ordenar una hoja de cálculo de Excel o imprimir un PowerPoint sin apagarlo y esperar a que se vuelva a abrir el documento. Application Guard es transparente porque el documento se abre inmediatamente en el contenedor. Los atacantes también intentarían engañar a los usuarios para que lo deshabiliten.

"Los atacantes ponían cosas en sus documentos como 'esta imagen está borrosa, pero si hace clic en la barra para desactivar la vista protegida, obtendrá una imagen clara y agradable', por lo que se convierte en parte de su atractivo", señaló Weston. “Todo eso se ha ido. Puede editar el documento, puede guardarlo y conservarlo y volver a abrirlo en el contenedor; esencialmente tiene un espacio de trabajo virtual seguro y segmentado separado y puede editar, imprimir y realizar todas las funciones básicas, sin tener que "escapar" del contenedor. »

Correr en un contenedor no ralentiza la apertura de documentos, señaló Weston. "Hemos realizado muchas mejoras de rendimiento, como acceso a GPU, mejores redes, todo tipo de ajustes, y hay muchas optimizaciones de rendimiento bajo el capó". En lugar de cargar la aplicación de Office desde cero, Application Guard carga una máquina virtual con la aplicación ya en ejecución. "Cuando inicia Office con un documento que no es de confianza, tomamos esa máquina virtual y rehidratamos ese proceso para que sea efectivamente instantáneo".

"Si compara el tiempo que tarda un usuario en navegar y hacer clic en todos los botones necesarios para editar o imprimir un documento con los pocos segundos que tarda en abrir un contenedor, en algunos casos puede ser más rápido usar solo el tradicional Sandbox de vista protegida basado en software.

VER: 20 consejos profesionales para hacer que Windows 10 funcione como usted quiere (PDF gratuito)

Todavía hay una forma de eliminar documentos del espacio aislado de Application Guard mediante la función Documentos seguros que ya se encuentra en la vista previa pública de Office Insider (aunque está deshabilitada de forma predeterminada porque actualmente todos los archivos se envían a la región de Estados Unidos para su análisis). Esto verifica los documentos para ver si se pueden abrir de manera segura.

“Si tiene un documento comercial vital que desea promocionar en el espacio empresarial, puede liberarlo del contenedor, pero primero debe pasar por un análisis profundo a través de nuestro motor Defender ATP, donde ejecutamos cosas como nuestra interfaz AMSI. para comprender que es seguro Los administradores también tienen la capacidad de decidir si los usuarios pueden marcar los documentos como seguros al escanearlos de esta manera.

Application Guard requiere Windows 10 para la virtualización de hardware que impulsa los contenedores; Documentos Seguros no lo hace. En otros sistemas, los usuarios podrán hacer que Defender ATP verifique un documento antes de que salga de la Vista protegida.

"Accederá a su correo en otros sistemas como Mac o dispositivos Android, o tal vez en versiones anteriores de Windows que no tendrían contenedores disponibles", señaló Weston. Tener ambos siempre le brindará una protección más completa. "La detección es increíblemente valiosa, estamos haciendo un gran trabajo con ella, pero no es perfecta, por lo que tener un contenedor como respaldo es una excelente manera de cubrir todas sus necesidades".

Índice
  • E5 para integración
  • E5 para integración

    Application Guard para Office 365 ProPlus estará disponible "muy pronto", dijo Weston: estaba en versión preliminar privada y ya se anunció como una característica de Windows 10 2004.

    Esto funcionará automáticamente para los archivos adjuntos de Outlook, los documentos descargados de cualquier dominio que no sea su intranet o un sitio de confianza, y los archivos en carpetas que no sean de confianza, como la Carpeta temporal de Internet, siempre que Application Guard esté habilitado como una función de Windows 10 (que se puede hecho por política o usuario), los documentos se abren en Office 365 ProPlus y tiene una licencia de Microsoft 365 E5 o Microsoft 365 Security E5.

    Safe Documents también requiere una licencia E5 y Office 365 ProPlus. El requisito de E5 no se trata de convertirlo en una función premium: se necesita una licencia E5 para la Protección contra amenazas avanzada de Windows Defender, y la integración con eso hace que Application Guard sea mucho más útil para las empresas, ya que brinda a los defensores visibilidad de los ataques y ayuda a protegerlos. en más que solo dispositivos con Windows 10.

    “Estas cosas van de la mano porque si evitaste un ataque, casi siempre quieres investigarlo”, señaló Weston. “Desea comprender de dónde proviene, para asegurarse de que este ataque no se haya trasladado a otro lugar de su negocio que podría no beneficiarse de una prevención eficaz. Lo que consideramos mágico es la experiencia en la que podemos prevenir prácticamente cualquier cosa bajo el sol, incluidas las vulnerabilidades del kernel, donde ha impedido por completo ese ataque pero tiene todas las opciones para detectarlo y responder a él; y solo podemos brindar esta experiencia si está integrada en la suite.

    "Después de haber trabajado en incidentes de seguridad durante tantos años, el hecho de que pueda pasar de detonar a un cliente a investigar los buzones de correo de una empresa es un progreso increíble. Es el tipo de cosas que tenía que hacer en Excel o pasar horas escribiendo scripts de Python y registros de minería. , y ahora se hace en segundos.

    VER: Más de 250 consejos para el trabajo remoto y la gestión de trabajadores remotos (Premium de TechRepublic)

    Dado que Safe Documents y Application Guard devuelven información sobre documentos peligrosos a Microsoft Security Graph, protegen indirectamente a los usuarios que no tienen Office 365 ProPlus o una licencia E5.

    "Si alguien obtiene un documento de cualquier lugar, ya sea OneDrive, Dropbox o Gmail, y lo abre y determinamos que es una amenaza en el contenedor, sobre la base del escaneo Defender ATP, podemos tomar esa información del gráfico de seguridad, colóquelo en el portal SecOps ATP e inmediatamente diríjase a otros buzones de correo que aún no han leído la amenaza y elimínelo allí”, explicó Weston.

    Los detalles como el encabezado de X-Mail y el hash de archivo se utilizarán para crear automáticamente modelos de aprendizaje automático para detectar el mismo ataque en otros dispositivos. “El resto del gráfico de seguridad se protegerá instantáneamente, ya que se consumirá de inmediato en nuestros modelos y se convertirá en protección sin que los humanos hagan nada”, dijo Weston.

    Y con el tiempo, Application Guard y Safe Documents pueden estar disponibles más allá de los inquilinos de Office ProPlus y E5. “Comenzamos con la empresa porque ahí es donde está la demanda y queremos madurar la tecnología. Pero, en última instancia, queremos proteger a los usuarios, por lo que continuaremos buscando oportunidades para difundir esta tecnología. »

    Weston también predice que Application Guard probablemente protegerá más que Word, Excel y PowerPoint en el futuro. "Vamos a examinar de cerca Outlook y algunas de las otras partes de la suite de Office, y ver si hay suficiente demanda de los clientes y si tenemos la experiencia adecuada para ese tipo de aplicaciones. Incluso podría llegar a equipos

    Ninguna de estas aplicaciones está en la hoja de ruta todavía, y depende de las aplicaciones a las que se dirijan los atacantes, dijo Weston. "Como podemos madurar la tecnología y brindar una buena experiencia, miraríamos cualquier lugar al que se muevan los atacantes, para brindar ese tipo de protección de seguridad".