Октябрь 5, 2016 1:53 пп

Новый уровень защиты – Windows Defender Application Guard для Microsoft Edge

By

Мы хотим, чтобы Microsoft Edge оставался самым безопасным и защищенным браузером. Последние два года мы постоянно внедряем инновации и очень гордимся результатами. Усилия наших инженеров привели к тому, что Microsoft Edge гораздо менее уязвим, чем популярный браузер Internet Explorer  для Windows.

Windows Defender Application Guard для Microsoft Edge

Количество уязвимостей в браузерах Microsoft Edge, Chrome и Firefox по состоянию на сентябрь 2016 г. по данным National Vulnerability Database (с момента выхода Microsoft Edge).

Ни один современный браузер (как и любое другое приложение со сложной архитектурой) не является абсолютно надежным. Однако о большинстве уязвимостей Microsoft Edge нам добросовестно сообщают профессиональные партнеры по безопасности. Эти исследователи сотрудничают с нашим Центром реагирования на проблемы в области безопасности (Microsoft Security Response Center, MSRC) и группой разработки Microsoft Edge. Вместе мы успеваем защитить пользователей до того, как злоумышленники смогут воспользоваться уязвимостями. Более того, пока не зафиксировано случаев использования этих уязвимостей для проведения атак нулевого дня.

Многие компании по всему миру все чаще сталкиваются с угрозой целевых атак. Злоумышленники специально разрабатывают такие атаки для инфраструктуры конкретной организации, чтобы получить контроль над ее сетями и данными. Для самых бдительных корпоративных клиентов мы представляем новый уровень глубокой защиты: Windows Defender Application Guard для Windows 10 Корпоративная. Windows Defender Application Guard использует технологию виртуализации Microsoft Hyper-V, которая обеспечивает беспрецедентную защиту от целевых угроз.

Целевые атаки против крупных предприятий

В последние годы общая картина возникновения угроз существенно изменилась. Сегодня более 90 % атак начинается с перехода по ссылке, после чего злоумышленники крадут учетные данные, устанавливают вредоносное ПО или используют уязвимости.

Механизм хакерской атаки

При этом страдают не только атакованные компании, но и тысячи, а порой и миллионы пользователей. Их учетные и персональные данные могут быть украдены. Особо заинтересованные и настойчивые злоумышленники часто используют приемы социальной инженерии — отправляют грамотно составленное личное письмо известным сотрудникам компании. Отправитель такого письма представляется кем-либо из руководителей организации и просит сотрудника перейти по ссылке, чтобы тот прочитал якобы важный документ. Эта ссылка ведет на специально созданный вредоносный сайт, где с помощью еще не обнаруженной уязвимости на компьютер устанавливается вредоносное ПО. Установив связь с этим компьютером, злоумышленник может украсть учетные данные и начать поиск других уязвимых компьютеров в остальной сети. Этот процесс повторяется, пока не будет достигнута цель — например, кража данных и интеллектуальной собственности или подрыв бизнеса.

Как помешать планам злоумышленника

Мы противостоим угрозам с помощью системного подхода и предлагаем клиентам необходимые средства для защиты на различных направлениях атаки. Windows Defender Application Guard не позволяет злоумышленникам установить связь с локальным компьютером или расширить присутствие в корпоративной сети.

У нас лучшая в отрасли технология виртуализации. Она не только изолирует потенциальные угрозы от сети и системы, но и полностью устраняет их, когда контейнер закрывается.

Подробности работы Windows Defender Application Guard

Windows Defender Application Guard использует для защиты от атак облачную технологию виртуализации.

Когда пользователь переходит на проверенный сайт (например, открывает внутреннее веб-приложение бухгалтерии), Microsoft Edge работает в обычном режиме. Браузер обращается к локальному хранилищу, аутентифицирует пользователя на внутренних сайтах с корпоративными учетными данными, работает с файлами cookie обычным образом, позволяет сохранять файлы на локальный компьютер, — словом, Windows работает так, как вы привыкли. Этот режим обведен на схеме синим цветом и называется хост-версией Windows.

Windows Defender Application Guard для Microsoft Edge

Application Guard изолирует непроверенные сайты на аппаратном уровне.

Когда сотрудник переходит на сайт, которого нет в списке известных или доверенных, в дело вступает Application Guard и изолирует потенциальную угрозу. На схеме этот режим обведен красным цветом. Application Guard создает на аппаратном уровне новый экземпляр Windows с отдельной копией ядра и минимальным количеством служб платформы Windows для работы Microsoft Edge. Оборудование системы запрещает этой отдельной копии Windows доступ к обычной операционной среде пользователя.

Application Guard полностью блокирует доступ к памяти, локальному хранилищу, другим установленным приложениям, конечным точкам корпоративной сети и другим ресурсам, интересующим злоумышленника. Этой отдельной копии Windows недоступны никакие учетные данные, включая доменные, которые могут храниться в постоянном хранилище учетных данных.

Конечно, в большинстве случаев непроверенные сайты являются абсолютно безопасными, и пользователь просто хочет, чтобы они работали как надо. Изолированная среда позволяет сайтам функционировать, как обычно (как если бы они выполнялись на хост-версии Windows). Application Guard предоставляет для этого необходимые функции, которые позволяют работать с непроверенными сайтами, как обычно: копировать и вставлять их данные с помощью буфера обмена Windows, а также печатать контент сайтов на рабочем принтере. Таким образом, продуктивность работы останется прежней, даже если хост защищен с помощью Application Guard. Администратор предприятия может управлять этой функциональностью с помощью средств и политик управления Microsoft, выбирая доступные функции по результатам оценки рисков.

Многоуровневая изоляция для защиты предприятий

Чтобы повысить безопасность, которую предлагают сугубо программные «песочницы», корпорация Microsoft при поддержке корпоративных и государственных клиентов разработала аппаратную изоляцию. Благодаря Windows Defender Application Guard браузер Microsoft Edge защищает организацию от самых сложных атак и попыток внедриться в вашу сеть и устройства через Интернет. Браузер создает безопасную и комфортную среду для просмотра веб-страниц.

Но что происходит, если непроверенный сайт — инструмент злоумышленника?  Вернемся к описанному сценарию атаки.

Злоумышленник отправляет искусно составленное электронное письмо ничего не подозревающему сотруднику компании. Ссылка в этом письме приглашает перейти на сайт, который контролирует злоумышленник. Сотрудник, не увидев в письме ничего подозрительного, кликает ссылку, ведущую на непроверенный сайт. Чтобы заранее обезопасить пользователя и корпоративные ресурсы, Application Guard работает вместе с Microsoft Edge и открывает такой сайт во временной и изолированной копии Windows. Теперь даже в случае успешного взлома браузера вредоносный код будет выполняться в пустой среде, где нет ничего, что интересует злоумышленника, — нет данных, доступа к учетным данным пользователей и к другим конечным точкам корпоративной сети. Сценарий атаки полностью нарушен. Когда пользователь (даже не зная об атаке) закончит работу, этот временный контейнер удаляется вместе с вредоносным ПО. Таким образом, злоумышленник не сможет установить связь с локальным компьютером и даже взломанный экземпляр браузера не позволит атаковать корпоративную сеть. После удаления текущего контейнера для последующих сеансов каждый раз создается новый.

Веб-разработчики и Application Guard

Хорошие новости для веб-разработчиков: специально изменять код сайта не требуется. Microsoft Edge отображает сайты в Application Guard тем же способом, что и в хост-версии Windows. Определять, когда Microsoft Edge работает в данном режиме, не нужно — как не нужно и учитывать различия в его поведении. Поскольку временный контейнер уничтожается после окончания сеанса, файлы cookie и прочая информация локально не сохраняются.

Мы стремимся обезопасить и защитить корпоративных пользователей и данные

Миссия Microsoft — помочь каждому человеку и каждой организации в мире работать эффективнее и достигать большего. С инструментом Windows Defender Application Guard корпоративные пользователи смогут свободно работать с множеством интернет-сайтов и служб без риска для корпоративных и персональных данных. Благодаря этому Microsoft Edge становится самым безопасным браузером для предприятия.

Функция Windows Defender Application Guard для Microsoft Edge станет доступна участникам программы предварительной оценки Windows уже в ближайшие месяцы, а более обширное развертывание ожидается в следующем году.

Авторы статьи: Джон Хейзен, главный программный менеджер, Microsoft Edge, и Чез Джеффриз, главный программный менеджер, Application Guard.