Post on 16-Apr-2017
Безопасность от Microsoft. Windows 10 & EMS
Илья КоринMicrosoft Russia
БЕЗОПАСНОСТЬ В WINDOWS 10Защита, Обнаружение & Реагирование
До вторжения После вторжения
Windows Defender ATP
Breach detection investigation &
responseDevice
protection
Device Health attestation
Device Guard
Device Control
Security policies
Information protection
Device protection / Drive encryption
Enterprise Data Protection
Conditional access
Threat resistance
SmartScreen
AppLocker
Device Guard
Windows Defender
Network/Firewall
Built-in 2FA
Account lockdown
Credential Guard Microsoft Passport
Windows Hello :)
Identity protection
Обнаружение взлома
Расследование и реагирование
Защита устройства
Защита информации
Защита от угроз
безопасности
Conditional Access
Windows Defender ATP
Device integrity
Device control
BitLocker and BitLocker to Go
Windows Information Protection
SmartScreen
Windows Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello :)
Credential Guard
Защита учетных данных
До вторжения
Защита устройства
Trusted Platform Module Windows Firewall BitLocker
BitLocker to GoSmartScreen
BitLocker Admin and Monitoring
Windows Update
Защита от угроз
Защита учетных данных
Защита информации
Обнаружение взлома,
расследование и реагированиеПосле вторжения
WINDOWS 7 БЕЗОПАСНОСТЬ
WINDOWS 10 БЕЗОПАСНОСТЬ
После вторжения
Обнаружение взлома,
расследование и реагирование
Защита устройства
Защита учетных данных
Защита информации
Защита от угроз
Trusted Platform Module Windows Firewall BitLocker
BitLocker to GoSmartScreen
BitLocker Admin and Monitoring
Windows Defender Advanced Threat Protection
Windows Hello
Windows Defender
Windows Information Protection
Microsoft Edge Windows Hello Companion Devices
UEFI Secure Boot
Credential Guard
Device Guard
Virtualization Based Security
Microsoft Edge Barcelona
Conditional Access
Device Encryption
Security Management2
Windows Update
Windows Trusted Boot
До вторжения
Защита, Обнаружение & Реагирование
До вторжения После вторжения
Windows Defender ATP
Breach detection investigation &
responseDevice
protection
Device Health attestation
Device Guard
Device Control
Security policies
Information protection
Device protection / Drive encryption
Enterprise Data Protection
Conditional access
Threat resistance
SmartScreen
AppLocker
Device Guard
Windows Defender
Network/Firewall
Built-in 2FA
Account lockdown
Credential Guard Microsoft Passport
Windows Hello :)
Identity protection
Обнаружение взлома
Расследование и реагирование
Защита устройства
Защита информации
Защита от угроз
безопасности
Conditional Access
Windows Defender ATP
Device integrity
Device control
BitLocker and BitLocker to Go
Windows Information Protection
SmartScreen
Windows Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello :)
Credential Guard
Защита учетных данных
БЕЗОПАСНОСТЬ В WINDOWS 10
Биометрические датчики
Виртуализация
Криптографическая обработка
Целостность устройства
ЗАЩИТА УСТРОЙСТВБЕЗОПАСНЫЕ КОРНИ ДОВЕРИЯ
ТРАДИЦИОННАЯ СТРУКТУРА ПЛАТФОРМЫ
Оборудование
Ядро
Службы платформы Windows
Приложения
БЕЗОПАСНОСТЬ НА ОСНОВЕ ВИРТУАЛИЗАЦИИ В WINDOWS 10
Ядро
Службы платформы Windows
Приложения
Ядро
Системный контейнер
Дов
ерен
ное
прил
ожен
ие
№ 1
Дов
ерен
ное
прил
ожен
ие
№ 2
Дов
ерен
ное
прил
ожен
ие
№ 3
Низкоуровневая оболочка
Оборудование
Операционная система Windows
Hyper-VHyper-V
Защита, Обнаружение & Реагирование
До вторжения После вторжения
Windows Defender ATP
Breach detection investigation &
responseDevice
protection
Device Health attestation
Device Guard
Device Control
Security policies
Information protection
Device protection / Drive encryption
Enterprise Data Protection
Conditional access
Threat resistance
SmartScreen
AppLocker
Device Guard
Windows Defender
Network/Firewall
Built-in 2FA
Account lockdown
Credential Guard Microsoft Passport
Windows Hello :)
Identity protection
Обнаружение взлома
Расследование и реагирование
Защита устройства
Защита информации
Защита от угроз
безопасности
Conditional Access
Windows Defender ATP
Device integrity
Device control
BitLocker and BitLocker to Go
Windows Information Protection
SmartScreen
Windows Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello :)
Credential Guard
Защита учетных данных
БЕЗОПАСНОСТЬ В WINDOWS 10
КОМПЛЕКСНАЯ ЗАЩИТА ОТ УГРОЗ
External
Internal
SmartScreen Windows Firewall
Windows Defender
Office ATP
Microsoft Edge
Device Guard
Защита, Обнаружение & Реагирование
До вторжения После вторжения
Windows Defender ATP
Breach detection investigation &
responseDevice
protection
Device Health attestation
Device Guard
Device Control
Security policies
Information protection
Device protection / Drive encryption
Enterprise Data Protection
Conditional access
Threat resistance
SmartScreen
AppLocker
Device Guard
Windows Defender
Network/Firewall
Built-in 2FA
Account lockdown
Credential Guard Microsoft Passport
Windows Hello :)
Identity protection
Обнаружение взлома
Расследование и реагирование
Защита устройства
Защита информации
Защита от угроз
безопасности
Conditional Access
Windows Defender ATP
Device integrity
Device control
BitLocker and BitLocker to Go
Windows Information Protection
SmartScreen
Windows Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello :)
Credential Guard
Защита учетных данных
БЕЗОПАСНОСТЬ В WINDOWS 10
АППАРАТНАЯ ЗАЩИТА
УЧЕТНЫЕ ДАННЫЕ ПОЛЬЗОВАТЕЛЯ
Асимметричная пара ключей
Предоставление через инфраструктуру PKI или
локальное создание на базе Windows 10
WINDOWS HELLO ДЛЯ БИЗНЕСАDevice-Based Multi-Factor
Использование привычных устройств
Улучшенная безопасность
Отпечатки пальцев и распознавание лиц
Простота использования
Невозможно забыть
БИОМЕТРИЧЕСКИЕ ДАННЫЕ
УСТРОЙСТВА-КОМПАНЬОНЫ АУТЕНТИФИКАЦИЯ
WINDOWS HELLO COMPANION DEVICE FRAMEWORK
Phone Band 2 USB RFIDТелефоны Часы и браслеты USB Смарт карты
УСТРОЙСТВА-КОМПАНЬОНЫ СЦЕНАРИИ
Устройство как второй фактор проверки
Учетные данные сохраняются на устройстве-
компаньоне
Удобство и повышение безопасности. Устройство-компаньон используется в качестве 2 или 3-го фактора данных при доступе к ресурсам
WINDOWS 10 МЕХАНИЗМЫ ЗАЩИТЫЗащита, Обнаружение & Реагирование
До вторжения После вторжения
Windows Defender ATP
Breach detection investigation &
responseDevice
protection
Device Health attestation
Device Guard
Device Control
Security policies
Information protection
Device protection / Drive encryption
Enterprise Data Protection
Conditional access
Threat resistance
SmartScreen
AppLocker
Device Guard
Windows Defender
Network/Firewall
Built-in 2FA
Account lockdown
Credential Guard Microsoft Passport
Windows Hello :)
Identity protection
Обнаружение взлома
Расследование и реагирование
Защита устройства
Защита информации
Защита от угроз
безопасности
Conditional Access
Windows Defender ATP
Device integrity
Device control
BitLocker and BitLocker to Go
Windows Information Protection
SmartScreen
Windows Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello :)
Credential Guard
Защита учетных данных
Изоляция данных
Защита от утечек данных
Совместный доступ
Защита устройств
BitLocker enhancements in Windows 8.1InstantGo3rd party adoption
Защита данных и систем в случае потери или кражи устройства
Безопасное хранениеИзоляция личных и корпоративных данных на личных устройствах
Запрет доступа к данным для несанкциони-рованных приложений
Защита данных при совместном использовании или передаче за пределы корпоративных устройств и инфраструктуры
Data LeakageТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ
BitLocker enhancements in Windows 8.1InstantGo3rd party adoptionBitLocker Windows Information Protection
Azure Rights Management
Data Leakage
Office 365
ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ
Защита устройств
Изоляция данных
Защита от утечек данных
Совместный доступ
Защита, Обнаружение & Реагирование
До вторжения После вторжения
Windows Defender ATP
Breach detection investigation &
responseDevice
protection
Device Health attestation
Device Guard
Device Control
Security policies
Information protection
Device protection / Drive encryption
Enterprise Data Protection
Conditional access
Threat resistance
SmartScreen
AppLocker
Device Guard
Windows Defender
Network/Firewall
Built-in 2FA
Account lockdown
Credential Guard Microsoft Passport
Windows Hello :)
Identity protection
Обнаружение взлома
Расследование и реагирование
Защита устройства
Защита информации
Защита от угроз
безопасности
Conditional Access
Windows Defender ATP
Device integrity
Device control
BitLocker and BitLocker to Go
Windows Information Protection
SmartScreen
Windows Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello :)
Credential Guard
Защита учетных данных
БЕЗОПАСНОСТЬ В WINDOWS 10
WINDOWS DEFENDER ADVANCED THREAT PROTECTION
DETECT ADVANCED ATTACKS AND REMEDIATE BREACHES
Уникальная база знаний аналитики угрозСобственные и сторонние данные
Расследование на большом временном отрезке
Облачные технологииобнаружения после вторжения на основе поведения
Встроено в WindowsНе требует развертывания и дополнительной инфраструктуры.
25
SIEM
SIEM / центральный
интерфейс
Аналитика угроз от партнеров
Аналитика от «охотников на угрозы» Майкрософт
Исследование
Оповещения
Консоль операций безопасности
Ответ
Исправление
Сбор экспертно-аналитических данных
Постоянно действующие поведенческие датчики на конечных точках Аналитика
безопасностиПоведенческий словарь индикаторов атак
Детонация файлов и URL-адресов
Известные вредоносные действия
Неизвестные
Пользовательский клиент Azure
«Охотники на APT-угрозы» Windows, отдел по борьбе с киберугрозами MCS
Набор решений Майкрософт
для обнаружения угроз
Решение Advanced Threat Analytics
…
ИНДИКАТОРЫ КОМПРОМЕТАЦИИ
Мониторинг известных угрозБаза данных аналитики угроз с известными индикаторами компрометации (вредоносных действий и кампаний)
Индикаторы компрометации Strontium: файлы и поддельные домены
ИНДИКАТОРЫ АТАК
Мониторинг того, чего мы еще не знаемОбщий словарь индикаторов для поведения, средств и методов, характерных для атак
Защита, Обнаружение & Реагирование
До вторжения После вторжения
Windows Defender ATP
Breach detection investigation &
responseDevice
protection
Device Health attestation
Device Guard
Device Control
Security policies
Information protection
Device protection / Drive encryption
Enterprise Data Protection
Conditional access
Threat resistance
SmartScreen
AppLocker
Device Guard
Windows Defender
Network/Firewall
Built-in 2FA
Account lockdown
Credential Guard Microsoft Passport
Windows Hello :)
Identity protection
Обнаружение взлома
Расследование и реагирование
Защита устройства
Защита информации
Защита от угроз
безопасности
Conditional Access
Windows Defender ATP
Device integrity
Device control
BitLocker and BitLocker to Go
Windows Information Protection
SmartScreen
Windows Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello :)
Credential Guard
Защита учетных данных
БЕЗОПАСНОСТЬ В WINDOWS 10
Enterprise Mobility Suite – супернабор!
Microsoft IntuneMicrosoft Azure Active Directory
Premium
Microsoft Azure Rights Management
Services
Управление девайсами и программами
Идентификация и управление доступом
Защита важной информации
Обнаружение угроз на основе поведенческой
аналитики
Advanced Threat Analytics
Единый способ безопасного входа как к
локальным, так и облачным приложениям
и самообслуживание
Управлять и защищать корпоративные
приложения и данные практически на любом
устройстве с технологией MDM & MAM
Шифрование, идентификация и
авторизация доступа к корпоративной почте и
документам с любых устройств
Выявление подозрительной деятельности и новейших
угроз в реальном времени с простой и понятной
отчетностью
Active Directory
Решение для всеобъемлющей идентификации и управления доступом.
• Единая точка входа во все корпоративные ресурсы
• Многофакторная аутентификация
Что такое Azure Active Directory?
Intune – управление инфраструктурой
Управление мобильными приложениями
Максимизация производительности мобильной работы и защита корпоративных ресурсов в приложениях Office, включая поддержку нескольких удостоверений
Расширение возможности существующих бизнес-приложений с помощью средства упаковки Intune App
Безопасный просмотр контента с использованием управляемых браузеров, просмотрщиков PDF, AV-плейеров, программ просмотра изображений
Managed apps
Personal appsPersonal apps
Managed apps
ITUser
Corporate data
Personal data
Multi-identity policy
Управление мобильными приложениями
Personal apps
Managed apps
Copy Paste Save
Ограничение действий с копированием, вырезанием, вставкой и сохранением в управляемых приложениях.
Save to personal storage
Paste to personal app
User
Email attachment
RMS - шифрование файлов и данныхЗащита ЛЮБЫХ файлов
Делимся с ЛЮБЫМИ персонами
Просмотр на ЛЮБЫХ девайсах
Контроль и управление прямо из облака
Топология - GatewayТопология - CenterMicrosoft Advanced Threat Analytics
Анализ1
Как работает Microsoft Advanced Threat Analytics
После инсталляции:• Зеркалируя порты, копирует все
движения, связанные с AD
• Остается невидимым для атакующих
• Анализирует весь трафик Active Directory
• Собирает события от SIEM (система управления информационной безопасностью)
ATA:• Автоматически запускает обучение и
профилирование сущности поведения
• Идентифицирует нормальное поведение
• Учится непрерывно обновляться по нормальной деятельности пользователей, устройств и ресурсов
Обучение2
Что такое сущность? Это пользователи, устройства или ресурсы
Как работает Microsoft Advanced Threat Analytics
Обнаружение3 Microsoft Advanced Threat Analytics:• Ищет ненормальное поведение и
идентифицирует подозрительную деятельность
• Только поднимает флаги, если ненормальные деятельности контекстно объединяются
• Исследования в области безопасности мирового класса используются для обнаружения атак и нарушения безопасности
ATA не только сравнивает поведение самих субъектов, но и поведение их во время взаимодействия.
Как работает Microsoft Advanced Threat Analytics
Предупреждение4
ATA сообщает о всех подозрительных активностях в простоях, и функционировании ИС предприятия
ATA идентифицирует:Кто?Что?Где?Когда?
Для каждой подозрительной активности АТА содержит рекомендации для расследования и ликвидации.
Как работает Microsoft Advanced Threat Analytics
Спасибо за внимание!Илья Корин+79059573615