Artikler / Security & identity

Attack Surface Analyzer 2.0

Attack Surface Analyser kan analysere hvor sårbart dit operativsystem er. Værktøjet laver analysen på baggrund af angrebsoverflade på operativsystemet.

Læs mere

Hvad er Attack Surface Analazer?

De fleste af os vil gerne vide hvilke ændringer der forekommer på vores operativsystem, når vi installerer applikationer fra nye eller mindre troværdige udviklere. Det er vigtigt, fordi de fleste installationer kræver administrator rettigheder, hvilket kan føre til uønsket systemændringer. Ved at vide hvilke ændringer der fortages når en applikation installeres, kan man mindske risikoen for uønskede gæster eller ved datamisbrug.

Attack Surface Analyzer (ASA) blev udgivet tilbage i 2012, hvor den nyeste version (2.0) kom for et par dage siden (Maj 2019). Programmet er udviklet til at hjælpe udviklere og IT-professionelle med at identificere ændringer i operativsystemet når nye applikationer installeres eller opdateres.

Værktøjet kan hjælpe med at identificere potentielle sikkerhedsrisici ved at analysere følgende:

Filsystemet
Brugerkonto
System services
Netværks porte
Certifikater
Registrerings databasen

Værktøjet kan spille en vigtig rolle for at sikre, at softwaren, I udvikler eller distribuerer, ikke påvirker operativsystemets sikkerhed.

Hvor kan jeg downloade Attack Surface Analyzer 2.0?

Den nye version af Attack Surface Analyzer (2.0) kan hentes fra GitHub, hvor Microsoft har udgivet koden som open-source og har dermed åbnet for at alle kan bidrage til projektet.

Hvis man stadig har brug for version 1.0, kan det hentes her.

Hvordan bruger jeg værktøjet?

Der er ingen installation af selve Attack Surface Analyzer. Efter programmet er hentet, skal det blot pakkes ud et sted på operativsystemet.

I det udpakket arkiv, køres programmet “asa.exe” med eleveret rettigheder (kør som administrator).

Den nye version er lige til at gå i gang med. Værktøjet er inddelt i to sektioner, en for scanning (“scan“) og en for resultater (“results“).

I “scan” sektionen, har vi mulighed for to forskellige scanningstyper, statisk scanning (“static scan“) og realtime overvågning (“live monitoring mode“).

Den statistiske scanning (“static scan“) kan detektere ændringer vha. et før/efter billede. Før man installere sin applikation, tager man det første billede af systemet, og når installation er færdig, tager man endnu et billede. Dette vil producere en rapport over hvilke ændringer der blev foretaget mellem de to billeder.

Den sidste scanningstype kaldet “live scanning mode“, registrerer ændringer på operativ systemet i realtid.

Lad os prøve en statisk scanning.

Tilgå “Scan“-fanen oppe i toppen.
Vælg “Static Scan” i “Scan Type“, i “Run id” skriv “Before State“, vælg alle collectors (“Files“, “Ports“, “Users“, “Certificates“, “Services“, Registry“) og tryk nu på “Collect Data“.
Gå ud og hent noget kaffe. Afhængigt af maskinens ressourcer, kan det tage en del tid for Attack Surface Analyzer at indsamle og analysere alt data. Det kan hjælpe at slå Windows Defender fra i tidsrummet når man laver en scanning. Se hvilke filer den scanner vha. ressource monitor (“C:\Windows\system32\perfmon.exe /res“). På mit miljø tog en scanning ca. 45 minutter.
Når programmet er færdig med at hente og analysere data, skal vi installere et program, som skal tjekkes. I dette eksempel bruger vi 7-Zip, som kan hentes her. Færdiggør installationen af programmet (7-Zip). Bemærk at i denne vejledning beskriver ikke installation af 7-Zip applikationen.
Når du har installeret 7-Zip, åbner vi igen “asa.exe” (Attack Surface Analyzer) med eleveret rettigheder, og kører en ny statisk scanning med samme indstillinger som tidligere.
Når den sidste scanning er færdig, tilgå fanen “Results“.
Vælg “Before State” i “Base Run Id” og “After State” i “Product Run Id“. Tryk derefter på “Run Analysis“.
Vælg herefter f.eks. “Registry” for at se hvilke ændringer der er blevet fortaget i registreringsdatabasen af 7-Zip installationen. Resultatet kan også blive eksporteret til JSON.

Afsluttende bemærkninger

Attack Surface Analyzer er et mindre kendt værktøj i IT-verdenen, men er et stærk våben i mod trusler fra nye eller ukendte applikationer. Programmet understøtter en mere automatiseret tilgang vha. CLI, og fungerer også på Linux og macOS.

Hos Zwable tester og analyserer vi alle programmer inden de ender hos slutbrugerne. Vi forstår vigtigheden i at fastholde en sikker IT-infrastruktur. Hvis du er interesseret, er du velkommen til at kontakte os og høre mere. Vi står klar til en uforpligtende samtale, omkring en gennemgående analyse af jeres IT-miljø og applikationer.

Windows

Windows Server 2008 End of Support

Security & identity

Office 365 Sikkerhed – E-mail

Modern workplace

Skype for Business Online bliver erstattet af Teams 31. juli 2021

Få en uforpligtende
IT-konsultation

Vil du vide mere om, hvordan vi kan fungere som din interne
IT-afdeling? Så book et uforpligtende møde via formularen nedenfor.

Morten Rønborg

IT-specialist mr@zwable.com

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.

Necessary

Altid aktiveret

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Varighed	Beskrivelse
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Functional

Performance

Analytics

Others