Разработка, внедрение и комплексное сопровождение ИТ-систем, позволяющих сократить затраты производства и высвободить ресурсы предприятия.

+7 (3854) 555 906
asc.gif





Новости ИТ-отрасли



26.04.2018

Новые возможности Windows Defender ATP: защита конечных устройств будет еще эффективнее и надежнее


Наша миссия — дать возможность каждому человеку и каждой организации на планете добиваться большего. Надежная и безопасная компьютерная среда — один из важнейших компонентов нашего подхода. Более двух лет назад мы представили технологию Windows Defender ATP (Advanced ThreatProtection), которая использует мощь облака, встроенные средства безопасности Windows и искусственный интеллект, позволяя нашим пользователям всегда быть на шаг впереди возникающих киберугроз. Рассказывает Моти Гинди, Windows Cyber Defense.

В следующем обновлении Windows 10 мы в очередной раз расширим возможности Windows Defender ATP, чтобы организации могли укрепить свою защиту и справляться с инцидентами безопасности быстрее и эффективнее. Рассмотрим эти новые возможности подробнее.

Автоматическое исследование угроз и устранение последствий

Теперь можно за считанные минуты перейти от получения оповещений к устранению последствий атаки в масштабах всей организации! Средства автоматического исследования и реагирования значительно сокращают число оповещений, с которыми приходится иметь дело аналитику. Для обработки оповещений используется искусственный интеллект. Он способен в течение нескольких минут, опираясь на знания экспертов по компьютерной криминалистике, проанализировать сложные исходные данные, определить, присутствует ли угроза и каков ее источник, после чего автоматически предпринять соответствующие действия по ее устранению. Если Windows Defender ATP определяет, что в инцидент вовлечено сразу несколько компьютеров организации, он автоматически включает в анализ все подвергшиеся атаке системы и параллельно выполняет все необходимые для них действия. Windows Defender ATP может автоматически исследовать угрозы и предпринимать меры по их устранению, используя обширные исторические данные, хранящиеся и анализируемые в нашем облаке (time travel).

Новые возможности автоматизированного обеспечения безопасности позволяют Windows Defender ATPобнаруживать бреши в защите, устранять их и даже предотвращать. Можно настроить автоматическое выполнение этих действий в простых и понятных ситуациях или выполнять их только после одобрения человеком. В любом случае это сэкономит время и усилия операторов систем безопасности, и они смогут сконцентрироваться на решении более сложных, стратегических задач. Кроме того, специалисты по безопасности смогут действовать быстрее и выполнять свою работу эффективнее.

Условный доступ к Microsoft 365 на основе рисков для каждого устройства

Следующим логичным действием после обнаружения угрозы должна быть блокировка доступа скомпрометированного устройства к важным данным — до тех пор, пока угроза не устранена. Теперь это возможно! Совместно с коллегами из подразделений Microsoft Intune и Azure Active Directory (AAD) мы расширили популярные сценарии условного доступа к Microsoft 365.

В следующем обновлении у нас появляется динамический анализ уровня риска конечной точки, который может быть использован в политике контроля к корпоративным ресурсам, тем самым минимизируя риск их компрометации.

Например, если конечные устройства подвергаются угрозе (пусть даже с использованием самых передовых методов атак, использующих исключительно системную память, без сохранения файлов на диске), Windows Defender ATP сможет обнаружить это и автоматически защитить важную корпоративную информацию с помощью условного доступа с расширенными критериями. Одновременно с этим Windows Defender ATP начнет автоматический анализ для быстрого устранения угрозы. Когда угроза устранена (автоматически или после подтверждения человеком), возвращается исходный уровень «нет риска», и устройство снова получает доступ к данным.

Теперь с помощью Windows Defender ATP вы можете контролировать доступ на основе уровня риска для каждого отдельного цифрового устройства, что помогает следить за надежностью всех используемых устройств.

Решение сложных проблем с помощью Advanced Hunting

Когда речь идет о более сложных угрозах, аналитикам безопасности нужны более детализированные данные и подходящие инструменты для быстрого поиска и исследования источников угрозы. Для этой цели мы разработали новую мощную систему поиска на основе запросов, получившую название Advanced Hunting.

С помощью Advanced Hunting можно проактивно искать уязвимости и расследовать инциденты, связанные с данными организации. Теперь можно легко находить и сопоставлять для обнаружения взаимосвязей такие события, как создание процессов, изменение файлов, вход в систему, передача данных по сети, действия по устранению проблем и многие другие.

Расширенный поиск — составная часть нашего инструментария для исследования инцидентов, поэтому для работы с найденными файлами и системами можно использовать широкий арсенал средств, предоставляемых Центром обеспечения безопасности Windows, и сопоставлять свои результаты с данными, собранными по всему миру.

Чтобы вы могли быстрее приступить к использованию Advanced Hunting, мы включили в этот инструмент несколько образцов запросов и создали проект на GitHub, где можно найти дополнительные примеры.

Ниже приведен пример запроса для поиска попыток закрепления в системе или повышения привилегий посредством захвата процесса отладчика системных процессов Windows.

RegistryEvents

| where RegistryKey startswith @"HKEY_LO CAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\" 
    and RegistryValueName contains "debugger" 
    and isnotempty(RegistryValueData) 
// Parse the debugged process name from the registry key 
| parse RegistryKey with @"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\" DebuggedFile 
| where DebuggedFile in~ ("utilman.exe","osk.exe","magnify.exe","narrator.exe","displayswitch.exe","atbroker.exe","sethc.exe", "helppane.exe") 
| project Technique="AttachedDebugger", DebuggedFile, DebuggerCommandline=RegistryValueData, InitiatingProcessCommandLine, EventTime, ComputerName 

Обмен данными в Intelligent Security Graph

Наши службы учатся друг у друга. С помощью Microsoft Intelligent Security Graph (ISG) мы обмениваемся данными об обнаруженных угрозах, чтобы автоматически обновлять системы защиты и механизмы обнаружения и устранения угроз в продуктах Microsoft 365. Например, если любой компонент WindowsDefender ATP обнаружил угрозу, она будет мгновенно заблокирована, если снова встретится в электронном письме на компьютере, защищенном Office 365 ATP, и наоборот.

Когда дело касается исследования угроз, другие службы Microsoft ATP могут получать информацию, необходимую для составления полной картины. Мы рады сообщить, что расширяем взаимодействие Windows и Office, а теперь еще и Azure Advanced Threat Protection (ATP). Advanced Threat Protection обеспечивает больший охват учетных записей (Azure ATP), устройств (Windows Defender ATP), приложений и данных (Office 365 ATP). Это значит, что стало проще получать релевантную информацию и перемещаться по элементам управления, не теряя контекста.

Мы добавили улучшенные средства предотвращения атак, использующих вымогательское ПО, эксплойты и комбинированные методы.

Для компрометации систем, внедрения вымогательского ПО и других вредоносных программ злоумышленники используют новые методы, в том числе атаки, использующие исключительно системную память, без сохранения файлов на диске. Для борьбы с такими угрозами мы значительно улучшили наши системы защиты от эксплойтов и средства поведенческого анализа, которые стабильно показывают отличные результаты в независимых тестах. Облачные средства защиты были также обновлены. Теперь они позволяют проверять и блокировать больше типов исполняемого кода (включая сценарии JavaScript, макросы и документы), независимо от того, загружен ли файл с веб-сайта, скопирован с USB-носителя или получен другим способом.

Мы добавили новые средства предотвращения неавторизованного распространения в локальной сети (lateral movement) и новые способы защиты от атак с использованием вымогательского ПО (такого как NotPetya), пытающегося перезаписать загрузочный сектор, чтобы нарушить процедуру загрузки компьютера.

Кроме этого, мы улучшили производительность и уменьшили время реагирования на быстро развивающиеся атаки. Intelligent Security Graph теперь можно использовать, чтобы мгновенно передавать на устройства динамически обновляемые результаты анализа — сразу же после обнаружения атаки. Также мы добавили средство быстрого сканирования памяти, работающее на основе технологии обнаружения угроз Intel (Threat Detection Technology, TDT). Этот инструмент, использующий интегрированный графический процессор Intel, в реальном времени сканирует память в поисках сложных угроз, обеспечивая повышенную скорость обнаружения, облегчая взаимодействие с пользователем и экономнее расходуя заряд аккумулятора устройства.

Microsoft Secure Score

Как известно, лучший способ обеспечения безопасности — решать проблемы заранее, не допуская их возникновение. За это отвечает Windows Secure Score. Он создает отчеты об уровне защищенности всех устройств и предоставляет вам практические рекомендации по повышению этого уровня, чтобы вы могли укрепить позиции перед потенциальной атакой. Поскольку состояние устройств — это еще не всё, мы также отображаем в Microsoft Secure Score комплексное представление показателей защищенности всех ваших систем Windows и Office.

Для тех, кто беспокоится о новейших угрозах (сейчас это Meltdown и Spectre), мы добавили новую панель мониторинга. Она показывает, насколько инфраструктура организации защищена и какие компьютеры все еще уязвимы. Здесь отображается информация о сети, об обновлениях операционной системы и микрокода, необходимых для защиты от этих угроз.

Windows Defender ATP сегодня

Описанные новшества Windows Defender ATP активно используют облачные сервисы и средства анализа для защиты от сложных угроз на всех уровнях. Мы расширяем поддержку платформ, не ограничиваясь Windows10. В частности, Windows Defender ATP будет встроен в Windows Server 2019. Кроме того, версия для Windows7 и 8.1 сейчас проходит закрытое тестирование и скоро станет общедоступной, а ассоциация MicrosoftIntelligent Security Association делает доступной функциональность Windows Defender ATP для устройств под управлением macOS, Linux, iOS и Android.

Источник: blogs.windows.com


Поделиться:   

Возврат к списку

Copyright © 2012-2018 ГК Киролан. Все права защищены и охраняются законом.