Le autorità per la sicurezza informatica di Stati Uniti, Nuova Zelanda e Regno Unito hanno pubblicato un foglio informativo congiunto sulla sicurezza informatica (CIS) che raccomanda una configurazione e un monitoraggio adeguati di PowerShell per affrontare il ripetersi dell'uso di questo linguaggio di scripting negli attacchi informatici. Il messaggio centrale del documento è che, sebbene PowerShell rimanga un bersaglio di abusi da parte degli aggressori, fornisce troppi vantaggi alle organizzazioni perché i difensori lo disabilitino in tutti gli ambienti aziendali. Invece di disabilitare il linguaggio di scripting, il CIS raccomanda di intraprendere azioni per ridurre le possibilità di abuso e di abilitare le capacità di rilevamento in caso di abuso.
Vectra Detect for Azure AD aiuta i team di supporto a seguire le raccomandazioni del CIS. Vectra monitora l'attività di Azure AD di tutti gli utenti che accedono ai servizi cloud , alle applicazioni SaaS e al backend di Azure AD e può vedere quando l'accesso viene effettuato utilizzando PowerShell. Questo monitoraggio alimenta il dashboard Chaos di Vectra e i rilevamenti delle minacce AI, che insieme aiutano i team a ridurre le possibilità di abuso di PowerShell e a consentirne il rilevamento.
Azure AD Chaos Dashboard di Vectra aiuta i difensori a bloccare proattivamente un attacco consentendo loro di esaminare chi e come utilizza PowerShell nel proprio tenant. Il dashboard Chaos evidenzia gli eventi degni di nota relativi a potenziali controlli di sicurezza aggirati, tra cui l'uso di PowerShell. Ogni evento di accesso a PowerShell viene tracciato con gli utenti specifici e la versione di PowerShell riportati per la revisione. Queste informazioni consentono ai team di effettuare ulteriori controlli sugli utenti per ridurre al minimo il rischio di abuso dell'accesso a PowerShell durante un attacco.
Il rilevamento Azure AD Unusual Scripting Engine Usage di Vectra avvisa gli aggressori che abusano di PowerShell o di altri motori di scripting all'interno di Azure AD e degli ambienti SaaS. L'avviso comprende innanzitutto il modo in cui i motori di scripting sono comunemente utilizzati dagli utenti. Quindi rileva un utilizzo anomalo che potrebbe essere in linea con un attacco. Questo avviso consente a Vectra di individuare tempestivamente una serie di minacce attive, che vanno dalle violazioni iniziali all'automazione degli attacchi contro il cloud Azure. Insieme agli altri avvisi di Vectra per Azure AD e Microsoft 365, un difensore può vedere e fermare rapidamente un attaccante dal raggiungere il suo obiettivo.
Quindi, anche se in alcuni casi potrebbe essere istintivo disabilitare PowerShell come precauzione per fermare potenziali attacchi informatici, tali misure drastiche non sono necessarie con gli strumenti e i controlli giusti. Il CIS afferma che PowerShell è essenziale per la sicurezza di Windows e che "la rimozione o la limitazione impropria di PowerShell impedirebbe agli amministratori e ai difensori di utilizzare PowerShell per la manutenzione del sistema, la forensics, l'automazione e la sicurezza". I team di sicurezza interessati dovrebbero invece disporre di un piano per rilevare e bloccare una compromissione se e quando si verifica.
Per ulteriori informazioni sul rilevamento degli attacchi che sfruttano PowerShell o Azure AD, visitate la pagina di Vectra sulla protezione di Azure AD.