Chrome + EMET =ブラウザベースの脅威に対する現実的な保護はどれほど強力ですか?
tl; dr:ある種の強化されたGoogle Chrome + Microsoft Enhanced Mitigation Experience Toolkit 5.1の組み合わせは、私が行うブラウザベースの脅威に対してどれほど安全かない期待する別の言い方をすれば、脅威が完全にパッチされたChromeに対して脆弱性を悪用し、EMETにもかかわらずChromeの優れたサンドボックスから抜け出すことはどれほど現実的ですか?追加の保護?
少し前に、私は自分の街で小さなビジネスチェーンを運営しているクライアントを引き受けました。各事業所には、ホーム/ホームオフィス構成で2台または3台のマシンを実行する小さなネットワークがあります。 (小さな本社の場所にはドメインがありますが、クライアントは他の場所のPCに参加する提案を拒否しました。したがって、これは今のところかなり設定されています。)
これらの別々の場所にはそれぞれ、非常に機密性の高い財務情報が処理される1台のPCがあります。もちろん、私が引き受けられたとき、これらの機密性の高いマシン(実際にはすべてのクライアントPC)と、各サイトのさまざまなネットワークに多くのセキュリティ問題がありました。たくさんの仕事と会社の本社マネージャーとのたくさんの説得の後、私はこの問題とその問題に取り組むことがなぜ重要だったのかについて一緒に働いています、物事は今かなりまともな形になっています。機密性の高いマシンから適切なセグメンテーションを取得し、適切にパッチを適用するかアンインストールするなど、私が知っているすべてのPC /デバイス上のすべてのソフトウェアを取得しました。
を除いて...
機密性の高い財務情報(クレジット/デビットカード情報ではなく、同様の機密性)が処理されるこれらのマシンでは、その場所のマネージャーは、会社のGmailアカウント(ブラウザー内)を確認し、あちこちでWebブラウジングを行うのが大好きです。 ;今では彼らのワークフローの一部になっています。私は、マルウェア配信ベクトルのリスクやドライブバイブラウザなどのフィッシングが原因で、これは実際には、実際には良い考えではないことを本社の監督マネージャーにアドバイスしました。しかし、結局のところ、決定は「まあ、彼らはそれらのコンピューターを電子メールなどに使用する必要があると思います。しかし、できるだけ安全にするようにしてください」でした。
はぁ。
とにかく、私はもっと複雑なことをする可能性について考えています(ゲスト強化されたLinuxフレーバーとブラウザーでVM、またはリモートサーバーでのアプリ仮想化で何かを使用する))が、 Gmailチェックとウェブブラウジングのセキュリティソリューションとして導入した一時的な設定は、かなり簡単です。GoogleChrome ublock ad-blockerがインストールされ、GmailとGDriveを除くすべてのサイトでFlashがオフになっています。他のプラグイン(つまり、Chromeの組み込みFlash以外)はマシンにインストールされていません。Chromeのサンドボックスおよびその他のセキュリティ機能をバックアップするために、EMET 5.1とサービス可能なマルウェア対策ソリューション(価値があるものは何でも)をインストールしました。 。InternetExplorerを無効にしましたが、他のブラウザはインストールされていません。金曜日にポリシー変更の電子メールが送信され、これらのマシンに他のブラウザをインストールまたは使用することは禁止されています。
(FYI、Javaなし、Reader/Acrobatなし、office doc suiteまたはviewerなし、またはその他の非常に一般的なプログラム対象プログラムがインストールされています。機密性の高い操作が発生するPCは、Windows7または8.1のいずれかを実行しています。最終的にインターネットに接続されます。特定の金融取引サービスと連携する必要があるため、アクセスします。)
さて、明らかに最もセキュリティの高い行動方針は、これらのマシンを機密情報処理専用に取っておき、電子メールやWebブラウジング用にいくつかの新しいマシン/デバイス(最近は安価です)を入手することです。 (もちろん、機密性の高い操作から離れたサブネットワークにセグメント化されています。)しかし、それが起こらないと仮定しましょう。また、ここで1つの問題に焦点を当てるために、会社のマネージャーは実際には「一時的な」Chromeセットアップ)のみを使用し、新しいポリシーに違反しないと仮定しましょう。 Firefoxまたは別のブラウザのインストール、またはChromeの設定の変更を試みたり、成功したりします(現在、ユーザーアカウントで実行されていますが、残念ながら、マシンの管理者パスワードにアクセスできます。」HQを入手できない緊急事態の場合。 ")
とにかく、これらのことを想定すると、ブラウザのエクスプロイトを使用してサイトにリンクするフィッシングメールなどのブラウザ攻撃、マルバタイジング、ドライブバイブラウジング攻撃などを実際にどれだけ恐れる必要がありますか。サイトまたはメッセージ自体は、ゼロ日の脆弱性を使用する必要があります(または、Chromeが使用/オープンされる可能性があるため、発表から数日後の脆弱性であるため、自動アップデーターがアクティブで、ほぼ毎日)、EMETのエクスプロイト防止保護を回避し、Chromeの評判の高いサンドボックスに違反して、ユーザー特権を取得することもできます。(私の評価では)ほとんどありそうもない企業のシステムを保護するためターゲットを絞った、非常に洗練されたスピアフィッシング攻撃などに直面するために、強化されたChromeブラウザ+ EMETはどのレベルの実際のセキュリティを提供しますか?ストップギャップの設定は永続的になりますか?
高度にターゲットを絞って洗練されているとは思わないブラウザベースの脅威に対して?言い換えれば、脅威が完全にパッチされたChromeに対して脆弱性を悪用し、EMETの追加の保護にもかかわらず、Chromeの優れたサンドボックスから抜け出すことはどれほど現実的ですか?
まず、完全にパッチが適用されたChromeはそれほど現実的ではありません。特に、攻撃対象領域を減らしたため、ターゲットを絞らない攻撃(つまり、APTなし)のチャンスを得ると考えています。さらに、広告ブロッカーをインストールして、マルバタイジングによって引き起こされるリスクを軽減します。
しかし、ブラウザベースの脅威はサンドボックスから抜け出すことだけではないと思います。多くのブラウザベースの脅威の場合、サンドボックスはまったく問題になりません。たとえば、次のようになります。
- ローカルルーターを攻撃し、さらなる攻撃のためにDNS設定を変更する可能性のあるCSRF攻撃については、 ブラジルで何百万ものDSLモデムがハッキングされた方法... を参照してください。
- Scareware 、疑わしい必須プラグインまたは疑わしいソフトウェアアップデートおよびその他の戦術は、ソーシャルエンジニアリングを使用して悪意のあるソフトウェアをインストールし、ユーザーの助けを借りてサンドボックスから抜け出します。
- 典型的な クロスサイトスクリプティング攻撃 のようなWebアプリケーション自体の脆弱性を使用して、ユーザーIDを乗っ取ることができます。繰り返しになりますが、この攻撃ではサンドボックスから抜け出す必要はありません。
したがって、提案するのは、優れた初期セキュリティを提供するセットアップですが、それでもいくつかの攻撃ベクトルが残ります。ソーシャルエンジニアリング攻撃などの他のリスクについてユーザーを教育し、別のブラウザ/ブラウザプロファイル、VM、またはオンラインなどの機密性の高いタスク用の別のハードウェアを使用するなど、リスクをさらに軽減する方法を示す必要があります。また、ユーザー環境内の他のすべてのシステムが、CSRFなどのWebベースの攻撃に対して強化されていることを確認する必要があります。
また、一部のサイトでは、広告ブロッカーがないと機能しないため、ユーザーは攻撃対象領域を広げる必要があります。したがって、 malvertisement のリスクと、広告ブロッカーで特定のサイトのみのブロックを解除する方法をユーザーに教えることで、これらのサイトの処理方法をユーザーに教える必要があります。