Souvent abusée par les pirates distribuant des logiciels malveillants (ouvre un nouvel onglet), la plate-forme d'automatisation des tâches de PowerShell peut également être utilisée pour la détection et la prévention des attaques. C'est le conseil que la National Security Agency (NSA) des États-Unis a récemment donné aux administrateurs système du monde entier.
En collaboration avec les centres de cybersécurité du Royaume-Uni et de Nouvelle-Zélande, la NSA a publié un avis de sécurité indiquant que le blocage de PowerShell, une pratique de sécurité courante, réduit en fait les capacités défensives des organisations contre les ransomwares (ouvre dans un nouvel onglet) et d'autres formes. de cyberattaques.
Au lieu de cela, les administrateurs système devraient l'utiliser pour renforcer leur analyse médico-légale et leur réponse aux incidents, ainsi que pour automatiser autant de tâches répétitives que possible.
de nombreuses recommandations
"Le blocage de PowerShell entrave les capacités défensives que les versions actuelles de PowerShell peuvent fournir et empêche les composants du système d'exploitation Windows de fonctionner correctement. Les versions récentes de PowerShell avec des capacités et des options améliorées peuvent aider les défenseurs à contrer les abus de PowerShell", a déclaré la NSA.
L'avis contient un certain nombre de recommandations, notamment l'utilisation de la communication à distance PowerShell ou l'utilisation du protocole Secure Shell (SSH) pour améliorer la sécurité de l'authentification par clé publique.
"Configurer correctement WDAC ou AppLocker dans Windows 10+ permet d'empêcher un acteur malveillant de prendre le contrôle total d'une session et d'un hôte PowerShell", explique le document.
Les administrateurs système peuvent également rechercher sur leurs points de terminaison des signes d'abus (s'ouvre dans un nouvel onglet) en enregistrant l'activité PowerShell et en surveillant les journaux.
L'avis recommande également aux administrateurs d'activer des fonctionnalités telles que la journalisation approfondie des blocs de script, la journalisation des modules ou la transcription par-dessus l'épaule, car la première crée une base de données de journaux, utile pour détecter les activités PowerShell agressives.
Ce dernier permet aux administrateurs de consigner chaque entrée et sortie PowerShell, ce qui leur permet de mieux comprendre les objectifs des attaquants.
"PowerShell est essentiel pour protéger le système d'exploitation Windows", a conclu la NSA, ajoutant qu'avec une configuration et une gestion appropriées, il peut être un excellent outil pour la maintenance et la sécurité du système.
Via BleepingComputer (Ouvre dans un nouvel onglet)