La Riduzione della superficie di attacco (ASR) è un insieme di regole di sicurezza che bloccano i percorsi di abuso più comuni prima che il codice malevolo possa avviarsi. Invece di attendere di rilevare un payload dopo l'esecuzione, i criteri ASR impediscono comportamenti rischiosi come l'avvio di script da documenti Office, la creazione di processi figlio da applicazioni attendibili o l'esecuzione di contenuti provenienti da catene di distribuzione basate su archivi e collegamenti rapidi.
ASR è importante perché molti attacchi reali si basano su primi passaggi prevedibili: un utente apre un'esca, un collegamento rapido o uno script avvia una seconda fase e il payload raggiunge il comando e controllo. Negando quei modelli di avvio sull'endpoint, i difensori possono interrompere presto la catena, anche quando l'email o il file sembrano legittimi. In pratica, ASR viene usata insieme al filtro degli allegati, al controllo delle applicazioni e alla formazione degli utenti per ridurre le possibilità che un'esca di phishing si trasformi in esecuzione di codice. È particolarmente utile contro file LNK camuffati, documenti basati su macro e altri file che abusano del normale comportamento di Windows.



