Конференция "Код ИБ 2016". Иркутск

1. Безопасность от Microsoft.
Windows 10 & EMS
Илья Корин
Microsoft Russia

2. БЕЗОПАСНОСТЬ В WINDOWS 10
Защита, Обнаружение & Реагирование
До вторжения После вторжения
Windows Defender
ATP
Breach detection
investigation &
response
Device
protection
Device Health
attestation
Device Guard
Device Control
Security policies
Information
protection
Device protection /
Drive encryption
Enterprise Data
Protection
Conditional access
Threat
resistance
SmartScreen
AppLocker
Device Guard
Windows Defender
Network/Firewall
Built-in 2FA
Account lockdown
Credential Guard
Microsoft Passport
Windows Hello :)
Identity
protection
Обнаружение
взлома
Расследование и
реагирование
Защита
устройства
Защита
информации
Защита от
угроз
безопасности
Conditional Access
Windows Defender
ATP
Device integrity
Device control
BitLocker and
BitLocker to Go
Windows
Information
Protection
SmartScreen
Windows Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello :)
Credential Guard
Защита
учетных
данных

3. До вторжения
Защита
устройства
Trusted Platform Module Windows Firewall BitLocker
BitLocker to GoSmartScreen
BitLocker Admin and
Monitoring
Windows Update
Защита от
угроз
Защита учетных
данных
Защита
информации
Обнаружение
взлома,
расследование и
реагирование
После вторжения
WINDOWS 7 БЕЗОПАСНОСТЬ

4. WINDOWS 10 БЕЗОПАСНОСТЬ
После вторжения
Обнаружение
взлома,
расследование и
реагирование
Защита
устройства
Защита учетных
данных
Защита
информации
Защита от
угроз
Trusted Platform Module Windows Firewall BitLocker
BitLocker to GoSmartScreen
BitLocker Admin and
Monitoring
Windows Defender
Advanced Threat
Protection
Windows Hello
Windows Defender
Windows Information
Protection
Microsoft Edge Windows Hello
Companion Devices
UEFI Secure Boot
Credential Guard
Device Guard
Virtualization Based
Security
Microsoft Edge Barcelona
Conditional Access
Device Encryption
Security Management2
Windows Update
Windows Trusted Boot
До вторжения

5. Защита, Обнаружение & Реагирование
До вторжения После вторжения
Windows Defender
ATP
Breach detection
investigation &
response
Device
protection
Device Health
attestation
Device Guard
Device Control
Security policies
Information
protection
Device protection /
Drive encryption
Enterprise Data
Protection
Conditional access
Threat
resistance
SmartScreen
AppLocker
Device Guard
Windows Defender
Network/Firewall
Built-in 2FA
Account lockdown
Credential Guard
Microsoft Passport
Windows Hello :)
Identity
protection
Обнаружение
взлома
Расследование и
реагирование
Защита
устройства
Защита
информации
Защита от
угроз
безопасности
Conditional Access
Windows Defender
ATP
Device integrity
Device control
BitLocker and
BitLocker to Go
Windows
Information
Protection
SmartScreen
Windows Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello :)
Credential Guard
Защита
учетных
данных
БЕЗОПАСНОСТЬ В WINDOWS 10

6. Биометрические
датчики
Виртуализация
Криптографическая
обработка
Целостность
устройства
ЗАЩИТА УСТРОЙСТВ
БЕЗОПАСНЫЕ КОРНИ ДОВЕРИЯ

7. ТРАДИЦИОННАЯ СТРУКТУРА ПЛАТФОРМЫ
Оборудование
Ядро
Службы платформы
Windows
Приложения

8. БЕЗОПАСНОСТЬ НА ОСНОВЕ ВИРТУАЛИЗАЦИИ
В WINDOWS 10
Ядро
Службы платформы
Windows
Приложения
Ядро
Системный контейнер
Доверенное
приложение
№ 1
Доверенное
приложение
№ 2
Доверенное
приложение
№ 3
Низкоуровневая оболочка
Оборудование
Операционная система Windows
Hyper-VHyper-V

9. Защита, Обнаружение & Реагирование
До вторжения После вторжения
Windows Defender
ATP
Breach detection
investigation &
response
Device
protection
Device Health
attestation
Device Guard
Device Control
Security policies
Information
protection
Device protection /
Drive encryption
Enterprise Data
Protection
Conditional access
Threat
resistance
SmartScreen
AppLocker
Device Guard
Windows Defender
Network/Firewall
Built-in 2FA
Account lockdown
Credential Guard
Microsoft Passport
Windows Hello :)
Identity
protection
Обнаружение
взлома
Расследование и
реагирование
Защита
устройства
Защита
информации
Защита от
угроз
безопасности
Conditional Access
Windows Defender
ATP
Device integrity
Device control
BitLocker and
BitLocker to Go
Windows
Information
Protection
SmartScreen
Windows Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello :)
Credential Guard
Защита
учетных
данных
БЕЗОПАСНОСТЬ В WINDOWS 10

10. КОМПЛЕКСНАЯ ЗАЩИТА ОТ УГРОЗ
External
Internal
SmartScreen Windows Firewall
Windows Defender
Office ATP
Microsoft Edge
Device Guard

11. Защита, Обнаружение & Реагирование
До вторжения После вторжения
Windows Defender
ATP
Breach detection
investigation &
response
Device
protection
Device Health
attestation
Device Guard
Device Control
Security policies
Information
protection
Device protection /
Drive encryption
Enterprise Data
Protection
Conditional access
Threat
resistance
SmartScreen
AppLocker
Device Guard
Windows Defender
Network/Firewall
Built-in 2FA
Account lockdown
Credential Guard
Microsoft Passport
Windows Hello :)
Identity
protection
Обнаружение
взлома
Расследование и
реагирование
Защита
устройства
Защита
информации
Защита от
угроз
безопасности
Conditional Access
Windows Defender
ATP
Device integrity
Device control
BitLocker and
BitLocker to Go
Windows
Information
Protection
SmartScreen
Windows Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello :)
Credential Guard
Защита
учетных
данных
БЕЗОПАСНОСТЬ В WINDOWS 10

12. АППАРАТНАЯ
ЗАЩИТА
УЧЕТНЫЕ ДАННЫЕ
ПОЛЬЗОВАТЕЛЯ
Асимметричная пара ключей
Предоставление через
инфраструктуру PKI или
локальное создание на базе
Windows 10
WINDOWS HELLO ДЛЯ БИЗНЕСА
Device-Based Multi-Factor
Использование
привычных устройств

13.  Улучшенная безопасность
 Отпечатки пальцев и распознавание
лиц
 Простота использования
 Невозможно забыть
БИОМЕТРИЧЕСКИЕ ДАННЫЕ

14. УСТРОЙСТВА-КОМПАНЬОНЫ АУТЕНТИФИКАЦИЯ
WINDOWS HELLO COMPANION DEVICE FRAMEWORK
Phone Band 2 USB RFIDТелефоны Часы и браслеты USB Смарт карты

15. УСТРОЙСТВА-КОМПАНЬОНЫ СЦЕНАРИИ
Устройство как второй
фактор проверки
Учетные данные
сохраняются на устройстве-
компаньоне
Удобство и повышение безопасности. Устройство-компаньон используется в качестве 2
или 3-го фактора данных при доступе к ресурсам

16. WINDOWS 10 МЕХАНИЗМЫ ЗАЩИТЫ
Защита, Обнаружение & Реагирование
До вторжения После вторжения
Windows Defender
ATP
Breach detection
investigation &
response
Device
protection
Device Health
attestation
Device Guard
Device Control
Security policies
Information
protection
Device protection /
Drive encryption
Enterprise Data
Protection
Conditional access
Threat
resistance
SmartScreen
AppLocker
Device Guard
Windows Defender
Network/Firewall
Built-in 2FA
Account lockdown
Credential Guard
Microsoft Passport
Windows Hello :)
Identity
protection
Обнаружение
взлома
Расследование и
реагирование
Защита
устройства
Защита
информации
Защита от
угроз
безопасности
Conditional Access
Windows Defender
ATP
Device integrity
Device control
BitLocker and
BitLocker to Go
Windows
Information
Protection
SmartScreen
Windows Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello :)
Credential Guard
Защита
учетных
данных

17. Изоляция
данных
Защита от
утечек данных
Совместный
доступ
Защита
устройств
BitLocker
enhancements in
Windows 8.1
InstantGo
3rd
party adoption
Защита данных
и систем в случае
потери или кражи
устройства
Безопасное
хранение
Изоляция личных
и корпоративных
данных на личных
устройствах
Запрет доступа
к данным для
несанкциони-
рованных
приложений
Защита данных
при совместном
использовании
или передаче
за пределы
корпоративных
устройств
и инфраструктуры
Data LeakageТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ

18. BitLocker
enhancements in
Windows 8.1
InstantGo
3rd
party adoptionBitLocker Windows Information Protection
Azure Rights Management
Data Leakage
Office 365
ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ
Защита
устройств
Изоляция
данных
Защита от
утечек данных
Совместный
доступ

19. Защита, Обнаружение & Реагирование
До вторжения После вторжения
Windows Defender
ATP
Breach detection
investigation &
response
Device
protection
Device Health
attestation
Device Guard
Device Control
Security policies
Information
protection
Device protection /
Drive encryption
Enterprise Data
Protection
Conditional access
Threat
resistance
SmartScreen
AppLocker
Device Guard
Windows Defender
Network/Firewall
Built-in 2FA
Account lockdown
Credential Guard
Microsoft Passport
Windows Hello :)
Identity
protection
Обнаружение
взлома
Расследование и
реагирование
Защита
устройства
Защита
информации
Защита от
угроз
безопасности
Conditional Access
Windows Defender
ATP
Device integrity
Device control
BitLocker and
BitLocker to Go
Windows
Information
Protection
SmartScreen
Windows Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello :)
Credential Guard
Защита
учетных
данных
БЕЗОПАСНОСТЬ В WINDOWS 10

20. WINDOWS DEFENDER
ADVANCED THREAT PROTECTION
DETECT ADVANCED ATTACKS AND REMEDIATE BREACHES
Уникальная база знаний аналитики угроз
Собственные и сторонние данные
Расследование на большом
временном отрезке
Облачные технологии
обнаружения после вторжения на основе
поведения
Встроено в Windows
Не требует развертывания и дополнительной инфраструктуры.

21. 25
SIEM
SIEM /
центральный
интерфейс
Аналитика угроз от партнеров
Аналитика от «охотников на угрозы» Майкрософт
Исследование
Оповещения
Консоль операций
безопасности
Ответ
Исправление
Сбор экспертно-
аналитических данных
Постоянно действующие
поведенческие датчики
на конечных точках Аналитика
безопасности
Поведенческий словарь
индикаторов атак
Детонация файлов
и URL-адресов
Известные вредоносные
действия
Неизвестные
Пользовательский клиент Azure
«Охотники на APT-угрозы»
Windows, отдел по борьбе
с киберугрозами MCS
Набор решений
Майкрософт
для обнаружения
угроз
Решение Advanced
Threat Analytics
…

22. ИНДИКАТОРЫ КОМПРОМЕТАЦИИ
Мониторинг известных угроз
База данных аналитики угроз с известными индикаторами
компрометации (вредоносных действий и кампаний)
Индикаторы компрометации Strontium: файлы и поддельные домены

23. ИНДИКАТОРЫ АТАК
Мониторинг того, чего мы еще не знаем
Общий словарь индикаторов для поведения, средств и методов,
характерных для атак

24. Защита, Обнаружение & Реагирование
До вторжения После вторжения
Windows Defender
ATP
Breach detection
investigation &
response
Device
protection
Device Health
attestation
Device Guard
Device Control
Security policies
Information
protection
Device protection /
Drive encryption
Enterprise Data
Protection
Conditional access
Threat
resistance
SmartScreen
AppLocker
Device Guard
Windows Defender
Network/Firewall
Built-in 2FA
Account lockdown
Credential Guard
Microsoft Passport
Windows Hello :)
Identity
protection
Обнаружение
взлома
Расследование и
реагирование
Защита
устройства
Защита
информации
Защита от
угроз
безопасности
Conditional Access
Windows Defender
ATP
Device integrity
Device control
BitLocker and
BitLocker to Go
Windows
Information
Protection
SmartScreen
Windows Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello :)
Credential Guard
Защита
учетных
данных
БЕЗОПАСНОСТЬ В WINDOWS 10

25. Enterprise Mobility Suite – супернабор!
Microsoft Intune
Microsoft Azure
Active Directory
Premium
Microsoft Azure
Rights Management
Services
Управление
девайсами и
программами
Идентификация и
управление
доступом
Защита важной
информации
Обнаружение
угроз на основе
поведенческой
аналитики
Advanced Threat
Analytics
Единый способ
безопасного входа как к
локальным, так и
облачным приложениям
и самообслуживание
Управлять и защищать
корпоративные
приложения и данные
практически на любом
устройстве с технологией
MDM & MAM
Шифрование,
идентификация и
авторизация доступа к
корпоративной почте и
документам с любых
устройств
Выявление подозрительной
деятельности и новейших
угроз в реальном времени
с простой и понятной
отчетностью

26. Active Directory
Решение для всеобъемлющей
идентификации и управления доступом.
• Единая точка входа во все корпоративные
ресурсы
• Многофакторная аутентификация
Что такое Azure Active Directory?

27. Intune – управление инфраструктурой

28. Управление мобильными приложениями
Максимизация производительности мобильной работы и
защита корпоративных ресурсов в приложениях Office,
включая поддержку нескольких удостоверений
Расширение возможности существующих бизнес-
приложений с помощью средства упаковки Intune App
Безопасный просмотр контента с использованием
управляемых браузеров, просмотрщиков PDF, AV-
плейеров, программ просмотра изображений
Managed apps
Personal appsPersonal apps
Managed apps
ITUser
Corporate
data
Personal
data
Multi-identity policy

29. Управление мобильными приложениями
Personal apps
Managed apps
Copy Paste Save
Ограничение действий с копированием, вырезанием,
вставкой и сохранением в управляемых приложениях.
Save to
personal storage
Paste to
personal app
User
Email
attachment

30. RMS - шифрование файлов и данных
Защита ЛЮБЫХ файлов
Делимся с ЛЮБЫМИ персонами
Просмотр на ЛЮБЫХ девайсах
Контроль и управление прямо из
облака

31. Топология - GatewayТопология - Center
Microsoft Advanced Threat Analytics

32. Анализ1
Как работает Microsoft Advanced Threat Analytics
После инсталляции:
• Зеркалируя порты, копирует все
движения, связанные с AD
• Остается невидимым для атакующих
• Анализирует весь трафик Active
Directory
• Собирает события от SIEM (система
управления информационной
безопасностью)

33. ATA:
• Автоматически запускает обучение и
профилирование сущности
поведения
• Идентифицирует нормальное
поведение
• Учится непрерывно обновляться по
нормальной деятельности
пользователей, устройств и ресурсов
Обучение2
Что такое сущность?
Это пользователи, устройства или ресурсы
Как работает Microsoft Advanced Threat Analytics

34. Обнаружение3
Microsoft Advanced Threat
Analytics:
• Ищет ненормальное поведение и
идентифицирует подозрительную деятельность
• Только поднимает флаги, если ненормальные
деятельности контекстно объединяются
• Исследования в области безопасности мирового
класса используются для обнаружения атак и
нарушения безопасности
ATA не только сравнивает поведение
самих субъектов, но и поведение их во
время взаимодействия.
Как работает Microsoft Advanced Threat Analytics

35. Предупреждение4
ATA сообщает о всех
подозрительных
активностях в простоях,
и функционировании
ИС предприятия
ATA
идентифицирует:
Кто?
Что?
Где?
Когда?
Для каждой
подозрительной
активности АТА
содержит
рекомендации для
расследования и
ликвидации.
Как работает Microsoft Advanced Threat Analytics

36. Спасибо
за внимание!
Илья Корин
+79059573615