Il browser rappresenta certamente uno dei maggiori rischi per la sicurezza informatica.
Per il mondo aziendale parliamo di un elemento di elevata criticità, che non solo porta i player a una serrata competizione l’uno con l’altro, ma soprattutto li pone in una posizione nella quale anche una piccola innovazione può far pendere l’ago della bilancia della scelta da un lato o dall’altro. Se poi parliamo di realtà governative, sanitarie, finanziarie o più semplicemente corporate, la criticità della scelta sale ulteriormente di livello.
E’ per questo che nella giornata di ieri molta attenzione ha riscosso la presentazione di Defender Application Guard, una nuova funzionalità di Edge, che isola il browser Microsoft dagli altri file e processi in esecuzione e soprattutto previene lo sfruttamento delle vulnerabilità.
Come funziona la Defender Application Guard su Microsoft Edge
Attivando la funzionalità, Microsoft Edge lancia una nuova sessione, che Windows 10 esegue in virtual containers. Se la sessione sfrutta una vulnerabilità, l’attacco è limitato a ciò che è contenuto nel container, quindi senza raggiungere nessun altro punto né locale né di rete.
Una volta usciti dalla sessione il container viene cancellato, e con lui il codice maligno.
Questo approccio presenta anche alcuni svantaggi. La cancellazione del container alla fine della sessione elimina anche una serie di elementi che sono rilevanti, tra i quali i cookie, gli elementi memorizzati (user, password e altre personalizzazioni) e la cache. Inoltre affidarsi ai container ha un costo in termini di prestazioni: almeno inizialmente, l’attività sarà leggermente rallentata.
Per questo, gli amministratori di sistema potranno abilitare due diverse modalità, non attivando Guard nella maggior parte dei casi e predisponendo una lista di siti per i quali l’attivazione è consigliata o obbligatoria.
Entro il 2017, Windows Defender Application Guard dovrebbe essere disponibile ad aziende che hanno aderito ad alcuni piani tariffari. La containerizzazione potrebbe successivamente essere estesa ad altre applicazioni.