В начале июня я прошел партнёрское обучение в Московском Технологическом центре Microsoft. Тема была посвящена безопасности Windows 10. Хочу поделиться с вами некоторыми мыслями, находясь под впечатлением от услышанного и увиденного -).

В обновлении Windows 10 Creators Update, вышедшем в апреле 2017 года, была проделана огромная работа над улучшением безопасности.

Ransomware на сегодняшний день является наиболее распространенной цифровой угрозой безопасности и работе пользователей. Её влияние распространяется на весь мир и затрагивает все типы пользователей компьютеров: от домашних пользователей до организаций, чья деятельность была заблокирована в результате деятельности вредоносного ПО.

Многочисленные инциденты продемонстрировали, что ransomware может иметь катастрофические последствия для многих критичных публичных и частных сервисов. Были затронуты силовые ведомства, больницы, транспортные системы по всему миру.

Традиционные, основанные на сигнатурах, решения не могут обеспечить адекватный уровень защиты от продвинутых атак. Компоненты безопасности, встроенные в Windows 10, отражают наш новый, прогнозный подход к безопасности.

Отчёт Microsoft – Next-gen ransomware protection with Windows 10 Creators Update

В Windows 10 Creators Update технологии безопасности работают вместе, чтобы обеспечить защиту от известных и новых атак ransomware. Новые технологии и непрекращающиеся исследования в области безопасности приводят к уменьшению поверхности атак и предоставляют возможность предотвращать, обнаруживать и реагировать на атаки. В Windows 10 Creators Update также имеется новый центр безопасности – Windows Defender Security Center.

Давайте рассмотрим, какие компоненты безопасности есть в Windows 10.

Первый компонент – это Windows Defender AV: облачная защита от ранее неизвестных вредоносных программ.

Windows Defender Antivirus, встроенный в Windows 10, автоматически блокирует большую часть нежелательных программ, используя модели машинного обучения, поведенческий анализ и различные виды эвристик. Он блокирует выполнение подозрительных файлов и пересылает их в облачную службу. Там эти файлы проходят проверку, используя статический и динамический анализ в контролируемой песочнице.

В течение нескольких секунд облачная защита Windows Defender AV определяет, является ли файл вредоносным. Эта информация сохраняется в базе знаний для последующего использования. В течение нескольких минут эта информация добавляется в систему машинного обучения и соотносится с сигналами из Microsoft Intelligent Security Graph. Windows Defender AV защищает других пользователей, которые столкнулись с таким же или похожим вредоносным файлом.

Второй компонент безопасности – Device Guard.

Device Guard – это комбинация безопасности, основанной на виртуализации, и контроль выполнения программ с помощью политик.

Device Guard позволяет запускать только одобренные программы. Политики целостности кода используются для управления запуском программ, плагинов, аддонов и модулей.

Браузер Microsoft Edge – это ещё один рубеж защиты. Разработанный как очень защищенная платформа с защитой от фишига, Edge уменьшает вероятность заражения через уязвимости в Adobe Flash. Страницы сайтов открываются в песочнице. Используется репутационный скоринг скачиваемых файлов и блокируются загрузки заведомого подозрительных файлов.

Многие заражения начинаются с выполнения скриптов JS или VBS. Эти скрипты используют обфускацию для скрытия деталей реализации и часто бывают полиморфными. Эти скрипты в дальнейшем загружают payload с серверов управления. Зачастую эти модули даже не записываются на диск, а выполняются в памяти. Windows 10 имеет внутри ядра индикаторы таких действий и позволяют идентифицировать и обнаруживать нежелательный код. Windows Defender AV использует этот новый механизм Antimalware Scan Interface (AMSI) в своей работе.

Windows Defender AV использует в своей работе также анализ поведения программного кода: как код взаимодействует с системой, с памятью, диском, сетью. Всё это уменьшает повреждения от нежелательных программ.

Для расследования инцидентов, связанных с заражением системы, можно использовать Windows Defender Advanced Threat Protection.

WDATP доступен как часть Windows 10 Enterprise E5.

WDATP собирает показания индикаторов, встроенных в Windows 10: какие процессы запускались, повышались привилегии, выполнялась командная строка из приложений Office, например, что является нетипичным поведением. Строится граф инцидента, можно отправить подозрительный файл в облачную службу, где его запустят в песочнице и узнают IP-адреса, с которыми он открывает сетевые сессии. Это возможные командные управляющие центра злоумышленников.

Обладая всей этой информацией можно определить затронутые атакой системы, заблокировать их, сетевые администраторы могут заблокировать трафик до командных центров. Кроме того можно подготовить пакет документации для расследования инцидента. 

На лабораторных работах мы провели тестовую атаку на систему и потом, используя WDATP, мы исследовали инцидент, заблокировали задействованные рабочие станции, проанализировали нежелательные файлы и внесли их в список блокировки.

Технологии безопасности, встроенные в Windows 10 Creators Update, действительно вызывают уважение!

Какие рекомендации я могу дать:

  • Используйте системы обновления ПО. Июньские обновления закрывают новые критические уязвимости.
  • Проведите обучение пользователей безопасным методам работы с электронной почтой, браузерами. Расскажите о социальной инженерии, используемой злоумышленниками для подготовки атаки
  • Используйте актуальные версии antivirus/antimalware
  • Сохраняйте резервные копии критичных данных в облако
  • Для исследования инцидентов безопасности используйте Windows Defender Advanced Threat Protection

Свяжитесь с нами, и мы расскажем подробнее, как приобрести Windows 10 с расширенными технологиями безопасности. И поможем их внедрить на вашем предприятии.

 

Как Windows 10 Creators Update защищена от современных ransomware
Поделись с друзьями:
Дмитрий Узлов on EmailДмитрий Узлов on FacebookДмитрий Узлов on Linkedin
Руководитель направления проектов компании "Технополис".
MCSE - Cloud Platform and Infrastructure [Charter Member]
MCSE - Productivity

Помогаю компаниям создавать безопасную и надёжную среду для коллективной работы сотрудников, используя облачные технологии.
Метки:        

1
Отправить ответ

Please Login to comment
1 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
0 Comment authors
Microsoft 365. Обзор (часть 1) - Блоги Технополис Recent comment authors

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

  Subscribe  
новые старые
Уведомлять
trackback

[…] Подробнее о компонентах безопасности можно прочитать в моей статье Как Windows 10 Creators Update защищена от современных ransomware […]

Перейти к верхней панели