microsoft. Юлия Алехина. "ИТ на острие атаки: от новых...
TRANSCRIPT
КОТ ИБ
Алехина Юлия,
Microsoft
ТЕЛЕФОН: +7 (962) 987-09-80
EMAIL: [email protected]
ИТ НА ОСТРИЕ АТАКИ
От новых механизмов защиты до
устранения последствий
30 МАРТА 2017
НОВОСИБИРСК
#CODEIB
Среднее количество дней присутствия
злоумышленника во взломанной системе до его обнаружения
200+С момента
обнаружения вторжения до
полного восстановления
80 днейПотери вследствие
падения эффективности
бизнеса и возможностей роста
$3Триллиона
Средняя стоимость утечки данных (15%
увеличение год к году)
$3.5Миллиона
“НА СЕГОДНЯШНИЙ ДЕНЬ ЕСТЬ ДВА ТИПА КОРПОРАЦИЙ – ТЕ, КОГО УЖЕ ВЗЛОМА ЛИ, И ТЕ
КТО ЕЩЕ ПОКА НЕ ЗНАЕТ ОБ ЭТОМ”
- J A M E S C O M E Y , Д И Р Е К Т О Р Ф Б Р
АНАТОМИЯ АТАКИ
Компрометация на
уровне
интернет-шлюзов
Эксплойты на
уровне ядра
«Передача хэша»
(Pass-the-Hash)
Фишинг
ШПИОНАЖ, КРАЖА ИНТЕЛЛЕКТУАЛЬНОЙ
СОБСТВЕННОСТИКРАЖА ДАННЫХ ВЫКУП
СНИЖЕНИЕ ПРОИЗВОДИТЕЛЬНОСТИ
НАРУШЕНИЕ РАБОТЫ БИЗНЕСА
ВХОД
ЗАКРЕПЛЕНИЕ
РАСШИРЕНИЕ
РЕЗУЛЬТАТ
СЕТЬ
DEVICE
ПОЛЬЗОВАТЕЛЬ
КАК ЗАЩИТИТЬ СВОЙ БИЗНЕС С ПОМОЩЬЮ РЕШЕНИЙ MICROSOFT
• Exchange ATP – анализ почтовых вложений и интернет-ссылок
• Многофакторная аутентификация (Azure MFA или Windows Hello for
Business)
• Защита доменных учетных записей - Windows 10 Credential Guard
• Создание белых списков приложений с помощью встроенного
функционала в Windows 10 Enterprise - Device Guard и AppLocker
• Windows Defender ATP – анализ поведения на клиентский машинах
Newsletter /
Bulk
Detection
Block
coordinated
botnet
attacks
Block or
throttle using
sender/URL
reputationContent
Clustering
Improved
clustering,
e.g. URLs,
…
Global ML
Models
(Content,
Reputation,
Comms, User
Preferences)
AV engines/Clustering
ATP - Detonation / Safe Links
Polymorphic Malware
Sender Auth & Spoof Detection
Additional Phish Detection
Tenant
specific ML
Models
(Content
& Comms)
Analyst
Rules
Доступно
Будущее
ZAP
E5 функции
Безопасно
Несколько фильтров + 3 антивирусныхядра службы Exchange Online Protection
Получатель
Небезопасно
Подозрительноевложение
Отправитель
АППАРАТНАЯ ЗАЩИТА
Закрытый ключ хранится в ТРМ
УЧЕТНЫЕ ДАННЫЕ ПОЛЬЗОВАТЕЛЯ
Асимметричная пара ключей
Предоставление через инфраструктуру PKI или локальное
создание в Windows 10
WINDOWS HELLO ДЛЯ БИЗНЕСА
Многофакторная аутентификация пользователя с привязкой к устройству
ЗНАКОМЫЕ УСТРОЙСТВА
IDP
Active Directory
Azure AD
Microsoft Account
1
Пользователь
2
Windows10
3Intranet
Resource4
4Intranet
Resource
Новый подход
Сценарии использования Azure MFA
1
Сценарии использования
4
3
2
MFA вместе с технологиями удаленного доступа
к VPN (Cisco, Citrix, Juniper, F5, etc.)
BYOD: доступ к корпоративным ресурсам с
собственных устройств
Защищенный доступ к веб порталам
Замена токенов
Истории успеха
DEVICE GUARD И CREDENTIAL GUARD
В СРЕ ДЕ С ЗАЩИТОЙ НА ОСНОВЕ ВИРТУА ЛИЗАЦИИ (VSM)
Ядро
Службы платформы Windows
Приложения
Ядро
Системный контейнер
DEV
ICE
GU
AR
D
Vir
tualT
PM
Низкоуровневая оболочка
Оборудование
Операционная система Windows
Hyper-VHyper-V
CR
ED
EN
TIA
L
GU
AR
D
В изолированный системный
контейнер попадают наиболее
важные и уязвимые компоненты:
• Политики кода ядра - Device
Guard
• Доменные учетные данные –
Credential Guard
• Все хранится на виртуальном
ТРМ
DEVICE GUARD
Позволяет запускать только доверенне приложения на настольном ПК, т.е. они должны быть подписаны Microsoft
Не доверенные приложения не будут запускаться даже под правами локального администратора
Защита ядра системы и драйверов от угроз нулевого дня и уязвимостей
Аппаратные требования: https://technet.microsoft.com/ru-ru/library/dn986865(v=vs.85).aspx
Аппаратный контроль приложений
Windows Defender Advanced Threat Protection
Выявляет, анализирует и своевременно
реагирует на атаки повышенной
сложности
Обнаружение угроз после их вторжения
с помощью анализа поведения
Информирует IT отделы о
подозрительном поведении на ПК
Датчики встроены в Windows 10 1607
Интегрируется со сторонними
антивирусными решениями
30 МАРТА 2017
НОВОСИБИРСК
#CODEIB
КОТ ИБ
Алехина Юлия,
MICROSOFT
ТЕЛЕФОН: +7 (962) 987-09-80
EMAIL: [email protected]
FACEBOOK:julialekhina.com
BLOG: https://blogs.technet.microsoft.com/mmpc