Spesso abusata dagli hacker che distribuiscono malware (si apre in una nuova scheda), la piattaforma di automazione delle attività di PowerShell può essere utilizzata anche per il rilevamento e la prevenzione degli attacchi. Questo è il consiglio che la National Security Agency (NSA) degli Stati Uniti ha recentemente dato agli amministratori di sistema di tutto il mondo.
In collaborazione con i Cyber Security Center nel Regno Unito e in Nuova Zelanda, la NSA ha emesso un avviso di sicurezza in cui afferma che il blocco di PowerShell, una pratica di sicurezza comune, riduce effettivamente le capacità difensive delle organizzazioni contro il ransomware (si apre in una nuova scheda) e altre forme di attacchi informatici.
Al contrario, gli amministratori di sistema dovrebbero utilizzarlo per rafforzare la loro analisi forense e la risposta agli incidenti, nonché per automatizzare il maggior numero possibile di attività ripetitive.
molti consigli
“Il blocco di PowerShell ostacola le capacità difensive che le versioni attuali di PowerShell possono fornire e impedisce il corretto funzionamento dei componenti del sistema operativo Windows. Le versioni recenti di PowerShell con funzionalità e opzioni migliorate possono aiutare i difensori a contrastare gli abusi di PowerShell", ha affermato la NSA.
L'advisory contiene una serie di consigli, tra cui l'uso di PowerShell Remoteing o l'uso del protocollo Secure Shell (SSH) per migliorare la sicurezza dell'autenticazione con chiave pubblica.
"Le corrette impostazioni di WDAC o AppLocker in Windows 10+ aiutano a impedire a un malintenzionato di assumere il controllo completo di una sessione di PowerShell e dell'host", spiega il documento.
Gli amministratori di sistema possono anche controllare i loro endpoint per segni di abuso (si apre in una nuova scheda) registrando l'attività di PowerShell e monitorando i log.
L'avviso consiglia inoltre agli amministratori di abilitare funzionalità come la registrazione approfondita dei blocchi di script, la registrazione dei moduli o la trascrizione sopra la spalla, poiché la prima crea un database di registri, utile per rilevare l'attività aggressiva di PowerShell.
Quest'ultimo consente agli amministratori di registrare ogni input e output di PowerShell, ottenendo una migliore comprensione degli obiettivi degli aggressori.
"PowerShell è essenziale per proteggere il sistema operativo Windows", ha concluso la NSA, aggiungendo che con una configurazione e una gestione adeguate, può essere un ottimo strumento per la manutenzione e la sicurezza del sistema.
Tramite BleepingComputer (si apre in una nuova scheda)
