Новые возможности Windows Defender ATP: защита конечных устройств будет еще эффективнее и надежнее
Наша миссия — дать возможность каждому человеку и каждой организации на планете добиваться большего. Надежная и безопасная компьютерная среда — один из важнейших компонентов нашего подхода. Более двух лет назад мы представили технологию Windows Defender ATP (Advanced Threat Protection), которая использует мощь облака, встроенные средства безопасности Windows и искусственный интеллект, позволяя нашим пользователям всегда быть на шаг впереди возникающих киберугроз. Рассказывает Моти Гинди, Windows Cyber Defense.
В следующем обновлении Windows 10 мы в очередной раз расширим возможности Windows Defender ATP, чтобы организации могли укрепить свою защиту и справляться с инцидентами безопасности быстрее и эффективнее. Рассмотрим эти новые возможности подробнее.
Автоматическое исследование угроз и устранение последствий
Теперь можно за считанные минуты перейти от получения оповещений к устранению последствий атаки в масштабах всей организации! Средства автоматического исследования и реагирования значительно сокращают число оповещений, с которыми приходится иметь дело аналитику. Для обработки оповещений используется искусственный интеллект. Он способен в течение нескольких минут, опираясь на знания экспертов по компьютерной криминалистике, проанализировать сложные исходные данные, определить, присутствует ли угроза и каков ее источник, после чего автоматически предпринять соответствующие действия по ее устранению. Если Windows Defender ATP определяет, что в инцидент вовлечено сразу несколько компьютеров организации, он автоматически включает в анализ все подвергшиеся атаке системы и параллельно выполняет все необходимые для них действия. Windows Defender ATP может автоматически исследовать угрозы и предпринимать меры по их устранению, используя обширные исторические данные, хранящиеся и анализируемые в нашем облаке (time travel).
Новые возможности автоматизированного обеспечения безопасности позволяют Windows Defender ATP обнаруживать бреши в защите, устранять их и даже предотвращать. Можно настроить автоматическое выполнение этих действий в простых и понятных ситуациях или выполнять их только после одобрения человеком. В любом случае это сэкономит время и усилия операторов систем безопасности, и они смогут сконцентрироваться на решении более сложных, стратегических задач. Кроме того, специалисты по безопасности смогут действовать быстрее и выполнять свою работу эффективнее.
Условный доступ к Microsoft 365 на основе рисков для каждого устройства
Следующим логичным действием после обнаружения угрозы должна быть блокировка доступа скомпрометированного устройства к важным данным — до тех пор, пока угроза не устранена. Теперь это возможно! Совместно с коллегами из подразделений Microsoft Intune и Azure Active Directory (AAD) мы расширили популярные сценарии условного доступа к Microsoft 365.
В следующем обновлении у нас появляется динамический анализ уровня риска конечной точки, который может быть использован в политике контроля к корпоративным ресурсам, тем самым минимизируя риск их компрометации.
Например, если конечные устройства подвергаются угрозе (пусть даже с использованием самых передовых методов атак, использующих исключительно системную память, без сохранения файлов на диске), Windows Defender ATP сможет обнаружить это и автоматически защитить важную корпоративную информацию с помощью условного доступа с расширенными критериями. Одновременно с этим Windows Defender ATP начнет автоматический анализ для быстрого устранения угрозы. Когда угроза устранена (автоматически или после подтверждения человеком), возвращается исходный уровень «нет риска», и устройство снова получает доступ к данным.
Теперь с помощью Windows Defender ATP вы можете контролировать доступ на основе уровня риска для каждого отдельного цифрового устройства, что помогает следить за надежностью всех используемых устройств.
Решение сложных проблем с помощью Advanced Hunting
Когда речь идет о более сложных угрозах, аналитикам безопасности нужны более детализированные данные и подходящие инструменты для быстрого поиска и исследования источников угрозы. Для этой цели мы разработали новую мощную систему поиска на основе запросов, получившую название Advanced Hunting.
С помощью Advanced Hunting можно проактивно искать уязвимости и расследовать инциденты, связанные с данными организации. Теперь можно легко находить и сопоставлять для обнаружения взаимосвязей такие события, как создание процессов, изменение файлов, вход в систему, передача данных по сети, действия по устранению проблем и многие другие.
Расширенный поиск — составная часть нашего инструментария для исследования инцидентов, поэтому для работы с найденными файлами и системами можно использовать широкий арсенал средств, предоставляемых Центром обеспечения безопасности Windows, и сопоставлять свои результаты с данными, собранными по всему миру.
Чтобы вы могли быстрее приступить к использованию Advanced Hunting, мы включили в этот инструмент несколько образцов запросов и создали проект на GitHub, где можно найти дополнительные примеры.
Ниже приведен пример запроса для поиска попыток закрепления в системе или повышения привилегий посредством захвата процесса отладчика системных процессовWindows.
RegistryEvents | where RegistryKey startswith @"HKEY_LO CAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\" and RegistryValueName contains "debugger" and isnotempty(RegistryValueData) // Parse the debugged process name from the registry key | parse RegistryKey with @"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\" DebuggedFile | where DebuggedFile in~ ("utilman.exe","osk.exe","magnify.exe","narrator.exe","displayswitch.exe","atbroker.exe","sethc.exe", "helppane.exe") | project Technique="AttachedDebugger", DebuggedFile, DebuggerCommandline=RegistryValueData, InitiatingProcessCommandLine, EventTime, ComputerName
Обмен данными в Intelligent Security Graph
Наши службы учатся друг у друга. С помощью Microsoft Intelligent Security Graph (ISG) мы обмениваемся данными об обнаруженных угрозах, чтобы автоматически обновлять системы защиты и механизмы обнаружения и устранения угроз в продуктах Microsoft 365. Например, если любой компонент Windows Defender ATP обнаружил угрозу, она будет мгновенно заблокирована, если снова встретится в электронном письме на компьютере, защищенном Office 365 ATP, и наоборот.
Когда дело касается исследования угроз, другие службы Microsoft ATP могут получать информацию, необходимую для составления полной картины. Мы рады сообщить, что расширяем взаимодействие Windows и Office, а теперь еще и Azure Advanced Threat Protection (ATP). Advanced Threat Protection обеспечивает больший охват учетных записей (Azure ATP), устройств (Windows Defender ATP), приложений и данных (Office 365 ATP). Это значит, что стало проще получать релевантную информацию и перемещаться по элементам управления, не теряя контекста.
Мы добавили улучшенные средства предотвращения атак, использующих вымогательское ПО, эксплойты и комбинированные методы.
Для компрометации систем, внедрения вымогательского ПО и других вредоносных программ злоумышленники используют новые методы, в том числе атаки, использующие исключительно системную память, без сохранения файлов на диске. Для борьбы с такими угрозами мы значительно улучшили наши системы защиты от эксплойтов и средства поведенческого анализа, которые стабильно показывают отличные результаты в независимых тестах. Облачные средства защиты были также обновлены. Теперь они позволяют проверять и блокировать больше типов исполняемого кода (включая сценарии JavaScript, макросы и документы), независимо от того, загружен ли файл с веб-сайта, скопирован с USB-носителя или получен другим способом.
Мы добавили новые средства предотвращения неавторизованного распространения в локальной сети (lateral movement) и новые способы защиты от атак с использованием вымогательского ПО (такого как NotPetya), пытающегося перезаписать загрузочный сектор, чтобы нарушить процедуру загрузки компьютера.
Кроме этого, мы улучшили производительность и уменьшили время реагирования на быстро развивающиеся атаки. Intelligent Security Graph теперь можно использовать, чтобы мгновенно передавать на устройства динамически обновляемые результаты анализа — сразу же после обнаружения атаки. Также мы добавили средство быстрого сканирования памяти, работающее на основе технологии обнаружения угроз Intel (Threat Detection Technology, TDT). Этот инструмент, использующий интегрированный графический процессор Intel, в реальном времени сканирует память в поисках сложных угроз, обеспечивая повышенную скорость обнаружения, облегчая взаимодействие с пользователем и экономнее расходуя заряд аккумулятора устройства.
Microsoft Secure Score
Как известно, лучший способ обеспечения безопасности — решать проблемы заранее, не допуская их возникновение. За это отвечает Windows Secure Score. Он создает отчеты об уровне защищенности всех устройств и предоставляет вам практические рекомендации по повышению этого уровня, чтобы вы могли укрепить позиции перед потенциальной атакой. Поскольку состояние устройств — это еще не всё, мы также отображаем в Microsoft Secure Score комплексное представление показателей защищенности всех ваших систем Windows и Office.
Для тех, кто беспокоится о новейших угрозах (сейчас это Meltdown и Spectre), мы добавили новую панель мониторинга. Она показывает, насколько инфраструктура организации защищена и какие компьютеры все еще уязвимы. Здесь отображается информация о сети, об обновлениях операционной системы и микрокода, необходимых для защиты от этих угроз.
Windows Defender ATP сегодня
Описанные новшества Windows Defender ATP активно используют облачные сервисы и средства анализа для защиты от сложных угроз на всех уровнях. Мы расширяем поддержку платформ, не ограничиваясь Windows 10. В частности, Windows Defender ATP будет встроен в Windows Server 2019. Кроме того, версия для Windows 7 и 8.1 сейчас проходит закрытое тестирование и скоро станет общедоступной, а ассоциация Microsoft Intelligent Security Association делает доступной функциональность Windows Defender ATP для устройств под управлением macOS, Linux, iOS и Android.