Onderzoeker: bedrijven moeten Microsoft EMET gebruiken
Bedrijven kunnen door het installeren van de Microsoft Enhanced Mitigation Experience Toolkit (EMET) het veel lastiger voor aanvallers maken om toegang tot systemen en netwerken te krijgen. Dat stelt onderzoeker Grant Willcox. Hij besloot voor zijn proefschrift naar de effectiviteit van EMET 5.1 te kijken.
EMET is een gratis tool van Microsoft die het lastiger maakt voor aanvallers om zowel bekende als onbekende kwetsbaarheden in programma's te gebruiken. Wilcox besloot drie exploits aan te passen om te kijken of hij de beveiliging van EMET hiermee kon omzeilen. Met één exploit slaagde de onderzoeker hierin. Hij had echter de hypothese gesteld dat het mogelijk was om met alle drie de exploits EMET te omzeilen. Aangezien dit niet is gelukt laat het volgens Wilcox de effectiviteit van de beveiligingstool zien.
Aanrader
De onderzoeker stelt dat aan de hand van de resultaten het aan te bevelen is dat bedrijven EMET 5.1 of nieuwer gebruiken, aangezien het een "zeer effectieve oplossing" is om te voorkomen dat aanvallers gebruik maken van veelvoorkomende problemen binnen programma's. "Het zal waarschijnlijk niet voorkomen dat een vastberaden aanvaller exploits zal gebruiken om toegang tot het bedrijfsnetwerk te krijgen, maar het zal minder vastberaden aanvallers afschrikken en hen dwingen om alternatieve oplossingen te gebruiken."
Bedrijven die ervoor kiezen om EMET uit te rollen moeten wel het aanbevolen profiel binnen EMET gebruiken. EMET kent verschillende profielen voor programma's om het beveiligingsniveau mee te bepalen. Door het uitvoeren van tests kan vervolgens worden gekeken of hogere beveiligingsinstellingen mogelijk zijn zonder dat programma's crashen. "Hoewel de beveiliging van EMET niet waterdicht is, verhoogt het de lat behoorlijk om programma's aan te vallen", besluit Wilcox.
???
Voor het overgrote deel van de gebruikers zijn de default instellingen, en de gewone UI prima.
EMET is via GPO te beheren.
Er zijn nog andere mogelijkheden, zonder group-policies: http://blogs.technet.com/b/kfalde/archive/2014/04/30/configuring-emet-via-gpo-gpp-w-o-using-the-admx-files.aspx
???
Voor het overgrote deel van de gebruikers zijn de default instellingen, en de gewone UI prima.
Als je landelijk een aantal duizenden PC's beheerd is dat goed te doen natuurlijk ^^.
En je wil juist NIET dat die gebruikers met die UI (en je veiligheidsinstellingen) gaat lopen spelen?
Het gaat hier over bedrijfstoepassingen overigens en niet over thuisgebruik.
???
Voor het overgrote deel van de gebruikers zijn de default instellingen, en de gewone UI prima.
Maar hoe wil je dit beheren in een corporatie?
Ik zie een admin nog niet 500+ werkplekken bezoeken om dan even een setting aan te passen.
Ik zie een admin nog niet 500+ werkplekken bezoeken om dan even een setting aan te passen.
Er zijn nog andere mogelijkheden, zonder group-policies: http://blogs.technet.com/b/kfalde/archive/2014/04/30/configuring-emet-via-gpo-gpp-w-o-using-the-admx-files.aspx
Nieuw voor mij, moet ook zeggen dat ik EMET tot V4 volgde en daarna niet meer.
Netjes dus :).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
