microsoft. Андрей Иванов. "Удивительное рядом -...
TRANSCRIPT
Г. Казань20 октября 2016#CODEIB
Андрей ИвановCloud Security LeadMicrosoft
Удивительное рядом -безопасность из облака
EMAIL [email protected]
Среднее количество дней
присутствия злоумышленника
во взломанной системе до его обнаружения
200+ Дней с момента
обнаружения вторжения до
полного восстановления
80Потери вследствие
падения эффективности
бизнеса и возможностей
роста
$3 Триллиона Средняя стоимость
утечки данных (15% увеличение
год к году)
$3.5 Миллиона
“НА СЕГОДНЯШНИЙ ДЕНЬ ЕСТЬ ДВА ТИПА КОРПОРАЦИЙ – ТЕ, КОГО УЖЕ ВЗЛОМАЛИ, И ТЕ КТО
ЕЩЕ ПОКА НЕ ЗНАЕТ ОБ ЭТОМ”-JAMES COMEY, ДИРЕКТОР ФБР
HOW DO BREACHES OCCUR?
Вирусы и уязвимости
нулевого дня – не
единственная проблема
безопасности
99.9% Использованных атакующими уязвимостей, имели опубликованный CVE более года назад
46% Скомпрометированных систем не содержали каких-либо вирусов
50% Из тех, кто открывал письмо или вложение делали это в течение первого часа
23% Пользователей открывали фишинговые письма (11% открывали вложения)
Эффективность
фишинговых атак
оставляют мало время для реакции
Хакеры стали хитрее и не ломятся напрямую
Вектора атак
5
7
8
10
Типовые фазы атаки
Cloud Identity Provider
Удаленный доступ как сервисEasily Publish your on-prem applications outside the corporate
network
Single sign onUtilize cloud Identity Provider as a central management
point for all your apps
Microsoft Operations Management Suite
Приложения и данные
SaaS
Единая среда технологий безопасности платформы Microsoft
Malware Protection Center Cyber Hunting Teams Security Response
Center
УстройстваИнфраструктура
CERTs
PaaS IaaS
Identity (Учетные записи)
INTELLIGENT SECURITY GRAPH
Cyber DefenseOperations Center
Digital Crimes Unit
Antivirus NetworkIndustry Partners
Identity Apps and Data Devices Infra
Protect. (Защита, противодействие угрозам)
• Azure MFA• MIM2016 (PIM)• Azure PIM• Win10 (Hello for Business)• SCCM End-Point Protection• Azure Key Vault• Just enough administration• Local Administrator Passw
ord Solution
• Win10 Information Protection
• Azure AD App Proxy• AD RMS• Azure Information Prot
ection• Azure Key Vault• Intune (MAM)• Azure Conditional Acce
ss• O365 ATP• O365 DLP
• Windows Secure Boot• Intune (MDM)• SCCM• Device-based condition
al Access• Bitlocker• Win10 Device Guard
• AD Group Policies• WS 2016 Shielded VM• OMS Backup and Recov
ery• Win10 auto VPN• WS2016 Credential Gua
rd, Remote Credential Guard
• SCM• EMET
Detect (Мониторинг и аналитика)
• ATA• Azure AD premium reporti
ng • Azure AD Identity Protectio
n• OMS (Security and Complia
nce)• Azure Security Center• Win 10 Defender ATP• O365 ASM
• Azure Cloud App Security
• OMS (Application insight connector)
• O365 ASM
• Win 10 Defender ATP• Device health attestatio
n
• Azure Security Center• OMS (Security and Com
pliance)• SCOM (ACS)
Response (Реагирование на инциденты)
• OMS (automation)• Azure AD Identity Protectio
n• Azure Security Center• O365 ASM
• Azure Cloud App Security
• O365 ATP• O365 Advanced eDisco
very
• Intune MDM (очистка устройства )
• Win10 IP (отзыв сертификата)
• OMS (automation)• Azure Security Center