Defender на стероидах: комплексная защита корпоративной сети в Windows 10 Fall Creators Update. Интервью с Робом Леффертсом

11 июля в 11:21
Можно ли доверить защиту системы и сети встроенному в Windows приложению Defender? Раньше мы считали, что это промежуточное звено, которое обеспечит хоть какой-то уровень защиты, пока вы не поставите нормальное решение.
В новом пакете обновлений для Windows 10 — Fall Creators Update, — корпоративные клиенты увидят совсем новую функциональность в Windows Defender Advanced Thread Protection, с мощной защитой, а главное — с единой централизованной системой мониторинга и реагирования на угрозы для сети предприятия и рабочих систем.
О том, какие нововведения и схемы борьбы с вирусными атаками сейчас наиболее актуальны, мы поговорили с директором по управлению корпоративными программами и безопасности Microsoft Робом Леффертсом.
Этим интервью мы завершаем серию публикаций об облачных технологиях Microsoft. В первой мы сравнили «облака» с «новым электричеством», во второй – обсудили вопросы безопасности в эпоху искусственного интеллекта.

Роб Леффертс
директор по управлению корпоративными программами и безопасности в подразделении Windows
Закончил Университет Карнеги Меллон. В 1997 году пришел в Microsoft. Долгое время работал в подразделении, занимающемся развитием Sharepoint, руководил техническим и стратегическим развитием, был менеджером SharePoint Base и Windows SharePoint Services. Далее руководил направлением по работе с приложениями, отвечал за платформу для разработчиков Office, Access и Project, в рамках Office Division.
директор по управлению корпоративными программами и безопасности в подразделении Windows.
Роб Леффертс
Закончил Университет Карнеги Меллон. В 1997 году пришел в Microsoft. Долгое время работал в подразделении, занимающемся развитием Sharepoint, руководил техническим и стратегическим развитием, был менеджером SharePoint Base и Windows SharePoint Services. Далее руководил направлением по работе с приложениями, отвечал за платформу для разработчиков Office, Access и Project, в рамках Office Division.
— Что нового появится в сфере безопасности в Fall Creators Update для Windows 10?
— Основное нововведение — это новый Windows Defender Advanced Threat Protection (ATP) с новыми технологиями защиты от различных угроз. Мы привыкли, что Defender — это стандартный антивирус, но это уже не так. Теперь это комплексное решение для защиты всей инфраструктуры предприятия. Сам Windows Defender ATP был анонсирован в феврале 2016 года, а на рынок вышел в августе, т.е. доступен уже почти год. И мы очень довольны реакцией клиентов на него.
В Fall Creators Update мы усилили общую защиту Windows, в первую очередь — ядра системы, оперативной памяти, файловой системы. Windows Defender ATP тоже получит много новых возможностей. Например, теперь у нас есть единая панель, Dashboard, где можно просматривать события и сигналы тревоги со всех машин в сети, управлять настройками безопасности, анализировать, что именно происходило и как.
Единая панель управления Windows Defender ATP, где видно состояние конкретных машин и общее состояние защиты.
Также он получил новые возможности по противодействию вредоносному ПО. На самом деле, сейчас ситуация в сфере кибербезопасности значительно изменилась, и мы должны реагировать на это.
— А что именно изменилось?
— Сейчас для взлома используются высококлассные профессиональные команды, и они часто добиваются успеха. Поэтому уровень защиты должен быть очень высоким. Вопросы кибербезопасности становятся критически важными для предприятий, переходят на уровень стратегических — это уже не головная боль IT-отдела, а проблема, решаемая на уровне топ-менеджмента.
Количество направлений защиты существенно расширилось. Теперь Windows Defender ATP может работать не только «по факту», но и на предотвращение взлома.
Естественно, мы, как крупнейший вендор, не можем оставаться в стороне. Мы должны обеспечивать очень высокий стандартный уровень защиты, чтобы клиенты, использующие наши операционные системы и решения, могли ощущать себя в безопасности.
Что касается самих атак: в последнее время мы наблюдаем, что 96% всех атак уникальны, и для проникновения используется уникальное вредоносное ПО. По сути, атака и ПО кастомизируются под конкретную жертву. Поэтому старые методики обнаружения — антивирус, использующий только сигнатуры, — просто не работают.
— Тогда как бороться с такими атаками, и вообще, насколько это реально?
— В рамках отдельной машины — практически невозможно. Поэтому мы используем облачную аналитику. Там мы можем исследовать новый файл и определить, вредоносный он или нет. Мы можем использовать анализ поведения, мы можем использовать машинное обучение, чтобы вырабатывать рекомендации — доверять этому файлу или нет. Впоследствии эта информация становится доступной для систем всех наших клиентов — в следующий раз системе не потребуется отправлять такой же файл на проверку — она уже будет знать, «хороший» он или «плохой».
Обмен информацией между машиной и панелью контроля за безопасностью осуществляется через облако
— А как осуществляется анализ? И как обстоят дела с конфиденциальностью информации?
— Все довольно просто. При попытке запуска нового файла ваш Windows Defender антивирус направляет метаданные и сигнатуру в облако, в специальный выделенный сеанс Azure, доступ к которому имеет только инфраструктура клиента. Мы не видим, что там, все остается конфиденциальным. А вся информация, которая выходит наружу, анонимизирована, поэтому конфиденциальность клиента защищена.
В облаке проверяется, можно ли доверять этому файлу или нет. Если система его уже знает, она отсылает обратно разрешение на запуск. Если нет, то в облако пересылается сам файл. Здесь в безопасной песочнице под контролем он запускается и система смотрит, что он будет делать. Если файл делает что-то плохое — например, пытается шифровать другие файлы, — то его запуск блокируется. Этот алгоритм позволяет нам защищать клиентов, которые первыми столкнулись с новой и неизвестной пока угрозой.
— Сколько времени занимает проверка? Сильно ли она тормозит работу пользователей?
— Нет, все происходит очень быстро. Если пересылаются только метаданные, то их мало, поэтому обмен информацией укладывается в несколько миллисекунд. Проверка файла может занять пару секунд — но это все равно очень быстро. Т.е. работа пользователя никак не затормозится.
— Претерпела ли изменение локальная защита? И как быть с тем, что сегодня большинство угроз не является вирусами и не имеет файлов как таковых, а работает в оперативной памяти?
В Fall Creators Update мы значительно усилили защиту самой Windows и выделили три основных аспекта:

• Application Guard (Защита приложений).
• Device Guard (Защита устройства).
• Exploit Guard (Защита от уязвимостей).

Мы интегрировали Windows Enchanced Mitigation Experience Toolkit (EMET) в новую функцию, которая называется Windows Defender Exploit Guard. Этот набор инструментов имеет богатую историю, его развитие началось еще во времена Windows XP. С его помощью администратор может настроить параметры безопасности системы и работы приложений, не давая сработать некоторым известным эксплоитам, от которых не защищены приложения. Теперь EMET встроен в Windows 10, и управлять им можно напрямую из системы.
Пример срабатывания защиты — обнаружена инъекция кода
Windows Defender Application Guard — это такая тонкая виртуальная машина. Она виртуализирует ресурсы запускаемого приложения, и оно работает с ОС и файловой системой не напрямую, а только через API, которые мы предоставляем. Поэтому вредоносное ПО не может выйти из этой виртуальной машины и повредить систему.
Обычно если мы говорим о заражении, то имеем в виду браузер. Многие работодатели беспокоятся, что их работники активно бродят по сети и посещают разные сайты, которые могут через браузер взломать их систему, а потом и сеть предприятия. Виртуализация работающего браузера существенно снизит опасность. Мы неоднократно видели, как злоумышленники пытаются взломать работающий браузер, но когда вы закрываете его — все просто пропадает, и система остается такой же, какой была.
Просмотр истории событий. Доступна история за полгода
Наконец, модернизированная технология Windows Defender Device Guard, которая присутствует в Windows 10 с самого начала. Она позволяет запретить запуск вообще любых приложений, кроме прописанного «белого списка». Этот список настраивается администратором, а сигнатуры файлов хранятся в специальном защищенном контейнере, где их невозможно модифицировать.
Знаете, как часто бывает — работник скачал себе какое-то приложение из интернета и кейген, чтобы не покупать его... В таких кейгенах очень часто встречаются вирусы. Работодатели, конечно, запрещают так поступать, но работники все равно делают это. Если запретить выполнение любых приложений, кроме «белого списка», то опасность такого заражения исчезнет. Да и от запуска полученных по электронной почте вирусов запрет убережет.
Просмотр всей истории событий безопасности
До последнего времени проблема заключалась в том, что настройка соответствующего списка требовала много времени. Поэтому администраторы занимались этим только тогда, когда это было абсолютно необходимо — например, в каких-то критически важных армейских системах и т.д. То есть там, где требования безопасности окупают возню с настройками.
Просмотр состояния конкретной машины
В Fall Creators Update есть целый ряд новшеств для облегчения настройки. Во-первых, приложения, разворачиваемые через инструменты Windows, будут автоматически добавляться в белый список. Во-вторых, сигнатуры некоторых приложений можно брать напрямую у разработчика. В-третьих, благодаря использованию облачной аналитики, администратор может получать советы, какие приложения безопасны, чтобы добавить их в белый список. Новые возможности, облегчающие настройку белого списка, должны сделать этот инструмент более популярным у администраторов.
– Есть ли еще какие-либо значимые изменения?
— Есть довольно много общих улучшений. Мы встроили в систему новые сенсоры, которые позволяют контролировать ядро и оперативную память. Добавили много новых механизмов защиты — и ядра, и оперативки, и файловой системы.
Еще мы разработали новые инструменты, которые контролируют работу скриптов, — они могут отслеживать работающие скрипты powershell, VB, Java и анализировать их безопасность. Все это войдет в новый инструментарий Microsoft по противодействию злоумышленникам.
Что касается нового Windows Defender ATP — это уже не просто антивирус. Теперь это комплексное интегрированное решение уровня предприятия.
Аналитическая панель
Вся телеметрия с рабочих станций собирается в одном месте, в панели управления. Вы можете просматривать информацию о состоянии машин, уведомления об инцидентах, проверять настройки и настраивать работу систем безопасности на машинах, реагировать на события, предпринимать меры по противодействию взлому. Причем поскольку работа осуществляется через облако, то компьютер сотрудника защищен всегда, даже если тот находится вне корпоративного файрвола — например, сидит в кафе.
Также мы обновили набор API, что позволит более глубоко интегрировать Windows Defender ATP с другими корпоративными системами и продуктами.
— Теперь нам остается ждать осени, чтобы можно было опробовать все самим?
Следующее обновление – да, мы его выпускаем в сентябре-октябре, однако с конца июня мы сделали доступной тестовую версию с ограниченным сроком действия, которую могут скачать все желающие.
Сохранить: