Windows 11은 성능 향상 및 인터페이스 변경을 포함하여 엄청난 업데이트 팩을 제공합니다. 그러나 소프트웨어 개발에서 자주 발생하는 것처럼 대부분의 변경 사항은 암묵적이고 눈에 보이지 않는 상태로 남아 있습니다. 이번에는 Windows 11의 보안 업데이트에서 발생했습니다.
Windows 11의 보안 기능
Windows 11에 대한 전반적인 리뷰에서 업데이트된 Microsoft Defender를 언급했습니다 1 . 그 기사에서 말했듯이 덜 취약해지고 훨씬 더 전력 효율적이 되었습니다. 그러나 이러한 변경 사항은 이 업데이트에서 Defender에서 발생한 모든 일의 4분의 1도 아닙니다.
Microsoft Defender의 새로운 모습
Microsoft는 시스템 보안 패러다임을 "제로 트러스트"로 변경했습니다. 이전에는 시스템 보안 메커니즘이 사용자가 설치한 프로그램이 악성이 아니라는 가정 하에 외부 악성코드로부터 시스템을 보호하려고 했습니다. Windows 11(및 Windows 10 21H2)에서 Defender는 이전에 사용했던 것보다 훨씬 더 어려운 휴리스틱 및 동작 분석을 제공합니다. 2
공격 표면 감소
Microsoft Defender의 새로운 메커니즘은 일반적으로 기업 네트워크를 대상으로 하지만 개별 시스템에서 구현할 수 있습니다. 첫 번째 주목할만한 요소는 공격 표면 감소 3 입니다. . 이 기능을 사용하면 잠재적으로 위험한 요소를 훨씬 더 강력하게 제어할 수 있습니다. 이 경우 Defender는 정의되지 않은 서버에 연결하여 무언가를 다운로드하려고 하는 프로그램에 추가 주의를 기울입니다. 극도로 정밀한 Microsoft 바이러스 백신 검사는 특정 기업 네트워크에서 이전에 사용된 적이 없는 프로그램과 난독화된 스크립트입니다.
이러한 개선 사항은 위협에 전혀 기회를 주지 않기 위해 만들어진 Microsoft의 보복 조치입니다. 별도의 취약점을 찾는 대신 4 , 그들은 초기에 악성 코드의 실행을 방지하기로 결정했습니다. 효과적이기는 하지만 취약점 패치의 중요성을 취소하지는 않습니다.
네트워크 보안
최신 공격 중 일부는 익스플로잇을 사용하여 맬웨어를 주입하는 악성 랜딩 페이지를 통해 실행됩니다. 이전에 Microsoft 맬웨어 방지 솔루션은 네트워크 모니터링의 표준 방법을 사용했습니다. 알려진 악성 사이트나 피싱 사이트에 대해서는 효과적이었지만 제로 데이 공격을 방지하는 데는 소용이 없었습니다.
업데이트된 보안 기능을 통해 Defender는 사용자가 상호 작용하기 전에 샌드박스에서 웹 사이트 활동을 확인할 수 있습니다. 물론 이러한 작업은 손상되거나 의심스러운 도메인을 사용하거나 안전하지 않은 연결을 사용하는 등 신뢰할 수 없는 페이지에서만 수행됩니다. 현재 사기꾼은 샌드박스와 실제 시스템을 구분하지 못하기 때문에 이러한 보호가 매우 효과적입니다.
제어된 폴더 보호
시스템 내부에 사용자 또는 정의된 프로그램만 액세스할 수 있는 안전한 공간을 만드는 것이 지난 몇 년 동안 사이버 보안 세계에서 유행했습니다. 일부 사이버 보안 공급업체는 광범위한 시장에 솔루션을 제공하지만 이러한 제품은 기업을 대상으로 하며 비용이 많이 듭니다.
Microsoft는 지원되는 CPU 목록을 줄이는 것뿐만 아니라 TPM 2.0 모듈의 필요성을 명시했습니다. 바로, 파일 시스템 내부에 안전 영역을 만들기 위해 제어된 폴더 기능이 필요합니다. 이 영역은 해당 영역을 만든 사용자 및 허용된 프로그램만 액세스 및 편집할 수 있습니다. 이 폴더에는 모든 종류의 중요한 데이터를 보관할 수 있으며 랜섬웨어, 스파이웨어, 스틸러 등 모든 악성코드에 취약합니다.
Windows 11의 Endpoints에 대한 새로운 기능
글로벌 개선 사항 외에도 Microsoft는 MDFE(Microsoft Defender for Endpoint)도 게시했습니다. 이 기능은 기업 보안 팀이 위협을 추적, 탐지 및 제거할 수 있는 특정 기능으로 구성됩니다. Microsoft는 로그가 보관되는 모든 사이버 보안 사고에 대한 전체 그림을 제공하는 클라우드 저장소를 제공합니다. 해당 클라우드에서 데이터는 다양한 위협의 엄청나게 큰 기반에서 연구되는 AI 기반 메커니즘에 의해 분석됩니다. MDFE는 기업 보안을 위한 완벽한 솔루션이 될 것을 약속합니다. 물론 그들이 주장하는 대로 작동한다면.
엔드포인트용 Windows Defender. 그것이 작동하는 방식입니다.
Windows 11의 애플리케이션 제어
다양한 애플리케이션이나 프로토콜의 취약점을 악용하는 것은 가장 널리 퍼진 악성코드 주입 방법 중 하나입니다. Defender의 새로운 하위 모듈인 WDAC(Windows Defender Application Control)가 이를 내려놓기 위해 호출됩니다. 앞서 언급했듯이 Windows의 보안 시스템은 사용자의 PC에서 실행되는 응용 프로그램의 코드를 신뢰할 수 있다고 가정했습니다. 이제 WDAC는 애플리케이션 내부에서 순환할 수 있는 악성 코드를 검색합니다. 이 단계는 실제로 악용 가능성을 줄입니다. 누군가가 악용을 통해 맬웨어 주입에 성공하더라도 Defender가 공격을 중지합니다.
WDAC(Windows Defender Applicaiton Controle)의 알림
이 단계는 매우 가혹하고 성능을 부풀릴 수 있지만 꽤 효과적입니다. 그럼에도 불구하고 Microsoft는 응용 프로그램 제어를 위한 또 다른 도구인 AppLocker도 게시했습니다. 그 것은 WDAC 대신에 그리고 WDAC를 보완하는 데 모두 사용될 수 있습니다. 예를 들어 때때로 앱에 대한 권한을 에스컬레이션해야 하는 경우와 같이 불편한 상황에서 매우 유용합니다. WDAC는 악성 코드 실행일 수 있다고 가정하고 이 시도를 차단할 것입니다. AppLocker를 사용하면 사용자가 일부 작업에 대해 제외가 있어야 하는 앱을 선택할 수 있습니다.
Windows Defender 애플리케이션 가드
업데이트된 Defender의 이 부분은 WDAC와 이름이 비슷하지만 기능은 약어보다 훨씬 더 많습니다. WDAG는 프로그램 주위에 셸을 만들어 코드에서 가능한 악성 요소를 확인할 수 있습니다. 일종의 샌드박스이지만 다른 목적과 최대 가상화가 있습니다. 많은 바이러스가 일반 샌드박스(또는 기타 테스트 환경)를 실제 시스템과 구별할 수 있습니다. WDAG는 거부할 수 없는 셸을 생성할 뿐만 아니라 앱이 일반 시스템에서 시작한다고 생각할 수 있도록 모든 것을 만듭니다.
현재 Application Guard는 다음을 보호합니다.
Microsoft는 프로그램 실행을 위한 특정 환경인 AppContainer도 제공합니다. 샌드박스처럼 작동합니다. 시스템 및 기타 PC 구성 요소와 상호 작용할 수 있는 기능을 제공하지 않고 프로그램 코드를 실행할 수 있는 영역입니다. 널리 사용되는 컨테이너화 도구인 Docker에서 제공하는 기능과 매우 유사합니다. 이전에는 WSL, 이중 부팅 또는 가상 머신을 통해 Docker를 사용해야 했기 때문에 앱 개발자에게 매우 유용합니다.