More Related Content
What's hot (20)
Similar to Microsoft. Владимир Шевченко. "ИТ на острие атаки: от новых механизмов защиты до устранения последствий" (20)
More from Expolink (20)
Microsoft. Владимир Шевченко. "ИТ на острие атаки: от новых механизмов защиты до устранения последствий"
- 1. КОТ ИБ Шевченко Владимир, Microsoft ТЕЛЕФОН: +7 (923) 179-54-24 EMAIL: v-vlshe@microsoft.com ИТ НА ОСТРИЕ АТАКИ От новых механизмов защиты до устранения последствий 6 АПРЕЛЯ 2017 ОМСК #CODEIB
- 2. Среднее количество дней присутствия злоумышленника во взломанной системе до его обнаружения 200+ С момента обнаружения вторжения до полного восстановления 80 дней Потери вследствие падения эффективности бизнеса и возможностей роста $3Триллиона Средняя стоимость утечки данных (15% увеличение год к году) $3.5Миллиона “НА СЕГОДНЯШНИЙ ДЕНЬ ЕСТЬ ДВА ТИПА КОРПОРАЦИЙ – ТЕ, КОГО УЖЕ ВЗЛОМА ЛИ, И ТЕ КТО ЕЩЕ ПОКА НЕ ЗНАЕТ ОБ ЭТОМ” - J A M E S C O M E Y , Д И Р Е К Т О Р Ф Б Р
- 3. АНАТОМИЯ АТАКИ Компрометация на уровне интернет-шлюзов Эксплойты на уровне ядра «Передача хэша» (Pass-the-Hash) Фишинг ШПИОНАЖ, КРАЖА ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ КРАЖА ДАННЫХ ВЫКУП СНИЖЕНИЕ ПРОИЗВОДИТЕЛЬНОСТИ НАРУШЕНИЕ РАБОТЫ БИЗНЕСА ВХОД ЗАКРЕПЛЕНИЕ РАСШИРЕНИЕ РЕЗУЛЬТАТ СЕТЬ DEVICE ПОЛЬЗОВАТЕЛЬ
- 6. КАК ЗАЩИТИТЬ СВОЙ БИЗНЕС С ПОМОЩЬЮ РЕШЕНИЙ MICROSOFT • Exchange ATP – анализ почтовых вложений и интернет-ссылок • Многофакторная аутентификация (Azure MFA или Windows Hello for Business) • Защита доменных учетных записей - Windows 10 Credential Guard • Создание белых списков приложений с помощью встроенного функционала в Windows 10 Enterprise - Device Guard и AppLocker • Windows Defender ATP – анализ поведения на клиентский машинах
- 7. Как Exchange ATP вписывается в Антивредоносный Стэк Microsoft
- 8. Newsletter / Bulk Detection Block coordinated botnet attacks Block or throttle using sender/URL reputation Content Clustering Improved clustering, e.g. URLs, … Global ML Models (Content, Reputation, Comms, User Preferences) AV engines/Clustering ATP - Detonation / Safe Links Polymorphic Malware Sender Auth & Spoof Detection Additional Phish Detection Tenant specific ML Models (Content & Comms) Analyst Rules Доступно Будущее ZAP E5 функции
- 10. To: gopi@contoso.com Check out this URL.
- 11. Безопасно Несколько фильтров + 3 антивирусных ядра службы Exchange Online Protection Получатель Небезопасно Подозрительное вложение Отправитель
- 12. Многофакторная аутентификация: Windows Hello for Business и Microsoft Azure
- 13. АППАРАТНАЯ ЗАЩИТА Закрытый ключ хранится в ТРМ УЧЕТНЫЕ ДАННЫЕ ПОЛЬЗОВАТЕЛЯ Асимметричнаяпара ключей Предоставление через инфраструктуру PKI или локальное создание в Windows 10 WINDOWS HELLO ДЛЯ БИЗНЕСА Многофакторная аутентификация пользователя с привязкой к устройству ЗНАКОМЫЕ УСТРОЙСТВА
- 14. IDP Active Directory Azure AD Google Facebook Microsoft Account 1 Пользователь 2 Windows10 3Intranet Resource 4 4Intranet Resource Новый подход
- 15. Схема работы Azure MFA 21
- 16. Как защититься от троянов- вымогателей (шифровальщиков) с помощью Windows 10
- 17. ТРАДИЦИОННАЯ СТРУКТУРА ПЛАТФОРМЫ Оборудование Ядро Службы платформы Windows Приложения
- 18. DEVICE GUARD И CREDENTIAL GUARD В СРЕ ДЕ С ЗАЩИТОЙ НА ОСНОВЕ ВИРТУА ЛИЗАЦИИ (VSM) Ядро Службы платформы Windows Приложения Ядро Системный контейнер DEVICE GUARD VirtualTPMНизкоуровневая оболочка Оборудование Операционная система Windows Hyper-VHyper-V CREDENTIAL GUARD В изолированный системный контейнер попадают наиболее важные и уязвимые компоненты: • Политики кода ядра - Device Guard • Доменные учетные данные – Credential Guard • Все хранится на виртуальном ТРМ
- 20. DEVICE GUARD Позволяет запускать только доверенные приложения на настольном ПК, т.е. они должны быть подписаны Microsoft Не доверенные приложения не будут запускаться даже под правами локального администратора Защита ядра системы и драйверов от угроз нулевого дня и уязвимостей Аппаратные требования: https://technet.microsoft.com/ru- ru/library/dn986865(v=vs.85).aspx Аппаратный контроль приложений
- 22. Windows Defender Advanced Threat Protection Выявляет, анализирует и своевременно реагирует на атаки повышенной сложности Обнаружение угроз после их вторжения с помощью анализа поведения Информирует IT отделы о подозрительном поведении на ПК Датчики встроены в Windows 10 1607 Интегрируется со сторонними антивирусными решениями
- 27. 6 Апреля 2017 ОМСК #CODEIB КОТ ИБ Шевченко Владимир, MICROSOFT ТЕЛЕФОН: +7 (923) 179-54-24 EMAIL: v-vlshe@microsoft.com