Тенденции в обеспечении безопасности и система Windows 10
Специалисты по безопасности Windows 10 рассказывают, как предупреждать влияние факторов, формирующих современные киберугрозы
Ежедневно мы видим различные угрозы кибербезопасности — как новые, так и давно известные, — от постоянных угроз повышенной сложности (Advanced Persistent Threats — APT) и угроз, связанных с «Интернетом вещей» (IoT), до нехватки квалифицированных специалистов. Мы многое делаем, чтобы защитить себя и своих клиентов: используем аналитику угроз и машинное обучение, продумываем действия в случае вторжения и т. д. Множество компаний во всем мире каждый день участвует в этом противостоянии. Такая динамическая взаимосвязь делает кибербезопасность одним из самых быстроразвивающихся направлений в технической отрасли.
Microsoft традиционно выступает на переднем крае борьбы c киберугрозами и имеет солидный послужной список инноваций и инвестиций в сфере безопасности, которые наиболее широко реализованы в Windows 10.
В этой статье своими соображениями с вами делятся ведущие специалисты Microsoft по кибербезопасности.
Аналитика угроз
Эти технологии помогают организациям быстрее обнаруживать угрозы безопасности и эффективнее реагировать на них.
«Кибербезопасность должна постоянно развиваться. Я уверена, что технологии Microsoft справятся с критическими проблемами кибербезопасности, которые ожидают нас в 2017 году. Во-первых, оптимизация аналитики угроз позволяет быстро идентифицировать индикаторы компрометации (IOC) или атаки (IOA) и реагировать на них. Наши уникальные знания о существующих угрозах позволяют создать интеллектуальную систему отслеживания, которая защищает конечные точки наших клиентов, эффективнее обнаруживает атаки и быстрее применяет ответные меры. Во-вторых, оптимизация и автоматизация технологий и процессов обеспечения безопасности помогает справляться с растущим дефицитом талантливых специалистов в области кибербезопасности. Устройства IoT — это новый «троянский конь» для атак DDoS. Машинное обучение помогает противостоять кибератакам, использующим уязвимости мобильных телефонов сотрудников для поражения устройств IoT, и дополнительно защищать компании от ущерба. В-третьих, общее количество поставщиков услуг и технологий в сфере безопасности заставляет больше внимания уделять интеграции и кросс-платформенному обмену данными об угрозах — именно это предлагают наши службы Advanced Threat Analytics, предупреждающие о подозрительном поведении пользователя, в то время как Центр безопасности Azure сообщает клиентам об исключениях и событиях виртуальных машин, вызываемых вредоносными программами, а службы Advanced Threat Protection в Защитнике Windows обнаруживают в организации конечные точки с симптомами активной атаки». — Энн Джонсон, вице-президент по глобальной кибербезопасности
Вредоносные программы
Специалисты Microsoft по безопасности отмечают, что злоумышленники все чаще используют для обычных вредоносных программ тактические приемы и эксплойты, характерные для APT. Отслеживать такие вредоносные программы и противодействовать им труднее.
«Набор сценариев скрытности действий, характерных для APT, применяется теперь и для широкого семейства вредоносных программ, обеспечивая незаметность и эффективность их распространения. Распространенные типы вредоносного ПО шифруются с использованием надежных паролей, чтобы избежать систем самоанализа и спровоцировать пользователей на расшифровку и запуск программы. Полезные нагрузки размещаются на разрешенных сайтах, например на популярных файлообменных ресурсах, и вредоносная программа приглашает скачать их с использованием SSL-соединения поставщика. Больше скрытых возможностей закладывается на уровне приложения. В ближайшее время мы увидим, как техническая отрасль будет реагировать, внося необходимые изменения для проверки зашифрованных данных и на уровне приложений так же, как мы вносим такие изменения в свои продукты для обеспечения безопасности». — Джон Ламберт, @JohnLaTwC, партнер-директор подразделения Microsoft по аналитике угроз
«Защита от угроз повышенной сложности (служба Advanced Threat Protection), наряду с растущими возможностями облачной аналитики в Защитнике Windows, имеет критическое значение для наших клиентов. Ключевое преимущество Windows 10 состоит в постоянных обновлениях, которые приносят инновационные решения для профилактики эксплойтов и защиты на различных уровнях всем пользователям. Также я наблюдаю, как в ответ на все более разрушительные кибервойны на национальном уровне и атаки шантажистов (программы-вымогатели) системы аварийного восстановления и обеспечения безопасности сильнее срастаются друг с другом. Более зрелыми — эффективными, целенаправленными и инновационными — будут становиться киберпреступления, направленные на получение прибыли. Преступники будут совершенствовать автоматическое распознавание финансовых возможностей и использовать эти данные для проведения более редких, но и более разрушительных атак». — Эрик Дуглас, директор отдела исследований в области безопасности
Аналитики Microsoft в сфере безопасности наблюдают также продолжающийся рост количества атак на бизнес с использованием программ-вымогателей.
«Наше исследование самых распространенных семейств программ-вымогателей показывает, что кампании по их доставке с использованием однотипных файлов и методов, как правило, могут продолжаться в течение нескольких дней или даже недель. Если предприятие в состоянии быстро изучить первые случаи заражения или определить «нулевого пациента», часто удается эффективно остановить эпидемическое распространение программы-вымогателя. С помощью службы Advanced Threat Protection в Защитнике Windows (ATP в Защитнике Windows) компании могут быстро выявлять и расследовать такие первые случаи, а затем использовать полученные сведения о симптомах для проактивной защиты всей свой сети». — Томми Близард, группа разработки ATP в Защитнике Windows
Отказ от традиционных паролей
Изучение влияния социальных и индивидуальных факторов на распространение интеллектуальных технологий для разработки рекомендаций по надежному проектированию систем принимает новые направления. Уровни подключаемых устройств, от телефонов до холодильников, дают пользователям новые возможности для укрепления своей безопасности посредством персонализации.
«Поскольку системы аналитики угроз справляются со своими задачами все быстрее, мы прогнозируем рост количества атак, вредоносных программ и краж личных данных в 2017 году. Мы ожидаем, что под влиянием этих факторов пользователи будут чаще прибегать к решениям для контроля приложений, таким как Device Guard, которые являются одним из лучших способов защиты от вредоносного ПО. В отношении личных данных мы ожидаем активного перехода на решения Fast IDentity Online (FIDO), например Windows Hello, которые предлагают пользователям надежную проверку подлинности без пароля. В центре дискуссий будут мобильные и IoT-устройства, так как существуют в буквальном смысле миллиарды устройств, работающих на платформах, при разработке и настройке которых аспекты безопасности не учитывались. В конечном итоге это приведет к повышению спроса на решения Microsoft для безопасности, такие как платформа Windows 10 и другие продукты корпорации Microsoft, которые поддерживают интеллектуальную систему отслеживания (Intelligent Security Graph) и могут помочь в защите организаций от новых угроз». — Крис Хэллам, группа Windows and Devices
Специалисты по кибербезопасности и новые принципы работы
По прогнозам, опубликованным Национальным институтом стандартов и технологий США (NIST), к 2020 году нехватка профессионалов в области кибербезопасности во всем мире достигнет 1,5 миллиона человек. Это значит, что компании должны внедрять инновации и изменять свой подход к организации работы таким образом, чтобы максимально эффективно использовать имеющихся специалистов.
«Находить талантливых инженеров, которые разбираются в аспектах безопасности и имеют реальный опыт, становится все труднее, не говоря уже о том, что по мере сокращения количества перспективных сотрудников компании более ожесточенно конкурируют за них. Преступники могут привлекать самых талантливых специалистов заманчивыми предложениями, поэтому критически важно, чтобы мы могли мобилизовать лучшие силы на защиту и борьбу с потенциальными угрозами. Чтобы не дать преступникам опередить себя, компании должны пересмотреть традиционную роль и структуру своих отделов безопасности. Главной задачей будет поиск и привлечение в эти отделы лучших специалистов». — Дэвид Уэстон, подразделение исследований и разработок
«В сфере обеспечения безопасности распространяется новая установка, требующая предусматривать действия в случае вторжения. Когда эту тему только начали обсуждать, основное внимание уделялось архитектуре и проектированию сетей, которые в случае успешной атаки позволяли бы минимизировать распространение вредоносного ПО внутри системы. Рабочие группы по сетевой безопасности в Microsoft и некоторых других компаниях перешли от стратегии обнаружения и реагирования к подходу, при котором предполагается, что злоумышленники уже в сети и на них ведется активная охота с поиском следов и аномальных действий, которые могут быть признаками вторжения. Я считаю, что в этом году нас ждет множество семинаров «как набрать и организовать эффективную группу охотников» на конференциях по безопасности, а также статей и публикаций в блогах на эту тему. В итоге я полагаю, что многие ИТ-отделы в этом году развернут у себя такие группы, а к следующему году это, вероятно, будет уже входить в базовые ожидания от организации операционной безопасности». — Джефф Джонс, директор по кризисному менеджменту
«Исходя из того, что вторжение уже произошло, организации должны активно искать и обнаруживать злоумышленников, чтобы контейнировать угрозу и минимизировать ее влияние до того, как будет причинен ущерб, о котором станет известно общественности. Для защиты и обнаружения вторжений в локальных, гибридных и облачных средах потребуются квалифицированные рабочие группы, а также машинное обучение в облачных системах и автоматизация. При этом группы реагирования на инциденты будут понимать, что обнаружение неудачных попыток эскалации — это не ложное срабатывание, а признак активных действий злоумышленников в системе, и будут проводить необходимое расследование для соответствующего реагирования». — Хейден Хейнсуорт, @hhainsworth, руководитель программы взаимодействия с клиентами и партнерами, подразделение разработок в области кибербезопасности
Microsoft больше, чем какая-либо другая компания во всем мире, делает для того, чтобы помочь бизнесу защитить свои рабочие системы, а отдельным людям — собственную цифровую безопасность. Наши уникальные знания о структуре угроз формируют принципы защиты и помогают организациям оптимизировать свои планы действий с учетом самых серьезных угроз. В ближайшие месяцы мы будем подробнее рассказывать о том, как Windows удается упреждать новые риски при помощи искусственного интеллекта, машинного обучения и других важных инноваций, учитывающих тенденции в сфере кибербезопасности.
директор по программному управлению,
Windows Enterprise and Security