Г. Казань20 октября 2016#CODEIB

Андрей ИвановCloud Security LeadMicrosoft

Удивительное рядом -безопасность из облака

EMAIL andreyi@microsoft.com

Среднее количество дней

присутствия злоумышленника

во взломанной системе до его обнаружения

200+ Дней с момента

обнаружения вторжения до

полного восстановления

80Потери вследствие

падения эффективности

бизнеса и возможностей

роста

$3 Триллиона Средняя стоимость

утечки данных (15% увеличение

год к году)

$3.5 Миллиона

“НА СЕГОДНЯШНИЙ ДЕНЬ ЕСТЬ ДВА ТИПА КОРПОРАЦИЙ – ТЕ, КОГО УЖЕ ВЗЛОМАЛИ, И ТЕ КТО

ЕЩЕ ПОКА НЕ ЗНАЕТ ОБ ЭТОМ”-JAMES COMEY, ДИРЕКТОР ФБР

HOW DO BREACHES OCCUR?

Вирусы и уязвимости

нулевого дня – не

единственная проблема

безопасности

99.9% Использованных атакующими уязвимостей, имели опубликованный CVE более года назад

46% Скомпрометированных систем не содержали каких-либо вирусов

50% Из тех, кто открывал письмо или вложение делали это в течение первого часа

23% Пользователей открывали фишинговые письма (11% открывали вложения)

Эффективность

фишинговых атак

оставляют мало время для реакции

Хакеры стали хитрее и не ломятся напрямую

Вектора атак

5

7

8

10

Типовые фазы атаки

Cloud Identity Provider

Удаленный доступ как сервисEasily Publish your on-prem applications outside the corporate

network

Single sign onUtilize cloud Identity Provider as a central management

point for all your apps

Microsoft Operations Management Suite

Приложения и данные

SaaS

Единая среда технологий безопасности платформы Microsoft

Malware Protection Center Cyber Hunting Teams Security Response

Center

УстройстваИнфраструктура

CERTs

PaaS IaaS

Identity (Учетные записи)

INTELLIGENT SECURITY GRAPH

Cyber DefenseOperations Center

Digital Crimes Unit

Antivirus NetworkIndustry Partners

Identity Apps and Data Devices Infra

Protect. (Защита, противодействие угрозам)

• Azure MFA• MIM2016 (PIM)• Azure PIM• Win10 (Hello for Business)• SCCM End-Point Protection• Azure Key Vault• Just enough administration• Local Administrator Passw

ord Solution

• Win10 Information Protection

• Azure AD App Proxy• AD RMS• Azure Information Prot

ection• Azure Key Vault• Intune (MAM)• Azure Conditional Acce

ss• O365 ATP• O365 DLP

• Windows Secure Boot• Intune (MDM)• SCCM• Device-based condition

al Access• Bitlocker• Win10 Device Guard

• AD Group Policies• WS 2016 Shielded VM• OMS Backup and Recov

ery• Win10 auto VPN• WS2016 Credential Gua

rd, Remote Credential Guard

• SCM• EMET

Detect (Мониторинг и аналитика)

• ATA• Azure AD premium reporti

ng • Azure AD Identity Protectio

n• OMS (Security and Complia

nce)• Azure Security Center• Win 10 Defender ATP• O365 ASM

• Azure Cloud App Security

• OMS (Application insight connector)

• O365 ASM

• Win 10 Defender ATP• Device health attestatio

n

• Azure Security Center• OMS (Security and Com

pliance)• SCOM (ACS)

Response (Реагирование на инциденты)

• OMS (automation)• Azure AD Identity Protectio

n• Azure Security Center• O365 ASM

• Azure Cloud App Security

• O365 ATP• O365 Advanced eDisco

very

• Intune MDM (очистка устройства )

• Win10 IP (отзыв сертификата)

• OMS (automation)• Azure Security Center