Кто вас взломал и почему? У ATP в Защитнике Windows есть ответ

Windows 10 постоянно повышает свою безопасность по сравнению с предыдущими версиями, недавно усилив расширенную защиту от угроз в Защитнике Windows (ATP). С его помощью вы сможете быстро обнаруживать и устранять любые бреши в системе безопасности, которые не предотвратила первая линия защиты.
Ожидается, что следующий крупный корпоративный выпуск Windows 10 выйдет в апреле, включая новый выпуск Windows Defender ATP. Этот выпуск будет включать в себя множество новых функций, таких как отслеживание атак со стороны продвинутых вредоносных программ, таких как эксплойты на уровне памяти и ядра.
Понимание ATP Защитника Windows
Advanced Threat Protection в Защитнике Windows — это не то же самое, что антивирусные инструменты Защитника Windows. Антивирус включает в себя помощь с загрузчиком Edge, чтобы помочь людям избежать загрузки зараженных файлов, а также предлагает защиту от спама и вредоносных программ Office 365. Вместо этого ATP больше ориентирован на пост-атаку.
Он помогает пользователям, пытаясь отследить злоумышленника непосредственно через вашу сеть. Расширенная защита от угроз в Защитнике Windows была выпущена, чтобы помочь корпоративным клиентам «обнаруживать, исследовать и реагировать на сложные и целенаправленные атаки на их сети».
Новейшее обновление основано на многих ранее существовавших функциях безопасности, чтобы специально обеспечить уровни защиты после взлома. Атаки становятся все более распространенными и изощренными с каждым днем, используя социальную инженерию, уязвимости нулевого дня и многое другое для проникновения в корпоративные сети.
Из-за этого безопасность в наши дни не может быть сосредоточена только на том, как предотвратить нарушения. Он также должен наслаивать вашу систему реагирования, чтобы у вас были лучшие функции обнаружения и восстановления после атаки.
ATP не нацелена на предотвращение атак. Основное внимание будет уделено уже предоставленному программному обеспечению для защиты от вредоносных программ. Сам ATP фокусируется на идентификации злоумышленника, что он сделал, как это произошло и что могло быть скомпрометировано в результате атаки.
Это отличает новый ATP от Microsoft от многих инструментов безопасности, и это очень важно. Как вы можете предотвратить дальнейшие атаки через ваши инструменты безопасности, если вы не можете точно увидеть, как была нарушена ваша безопасность?
Мы надеемся, что из-за неизбежности атак ATP окажется полезной функцией. По словам Microsoft, ATP в Защитнике Windows состоит из трех разных частей: поведенческих датчиков конечных точек, аналитики облачной безопасности и анализа угроз.
Датчик поведения конечной точки клиента
Это автоматически встроено в Windows 10 и регистрирует любые события безопасности, которые он считает важными, а также поведение конечных точек. Датчики конечных точек собирают и обрабатывают сигналы поведения, такие как обмен данными между процессами, реестром, файлами и сетью, от операционной системы.
После этого они используют машинное обучение для понимания сигналов, поступающих с вашего устройства, а затем передают данные телеметрии в ваш частный, изолированный облачный экземпляр ATP в Защитнике Windows.
Это жизненно важно для определения того, что произошло во время атаки и как именно это произошло, чтобы вы могли предотвратить дальнейший доступ к своим системам как от того же злоумышленника, который уже может быть в вашей системе, так и от других, которые будут проникать в нее таким же образом в будущем..
Если ATP может понять, как обычно выглядит ваш компьютер, она лучше узнает, не взломан ли он. Новейшая версия Windows 10 и ATP обновят эти датчики, чтобы распознавать и обнаруживать еще больше атак, таких как «вредоносное ПО в памяти, атаки на уровне ядра и внедрение кода между процессами».
Чтобы было ясно, датчики предположительно вырабатывают телеметрию только тогда, когда вы считаете, что подверглись атаке, и используете ATP Защитника Windows в ответ на это нарушение. Кроме того, информация считается анонимной, когда она передается за пределы Microsoft.
Если вы используете ATP в качестве резервной копии для отделения зараженных областей вашего компьютера, вы можете гораздо быстрее и проще удалить эксплойты до их дальнейшего распространения, а также предотвратить их повторение.
Кроме того, важно использовать незащищенную систему в облаке для изоляции и устранения предполагаемых нарушений, потому что злоумышленники с гораздо меньшей вероятностью увидят, что вы делаете в ответ на атаку.
Сервис аналитики облачной безопасности
Microsoft сочетает свой обширный репозиторий данных с обработкой данных с конечных точек и исторических данных, чтобы лучше обнаруживать «аномальное поведение, методы злоумышленников и сходство с известными атаками». Служба использует «комбинацию индикаторов атак (IOA), общей аналитики и правил машинного обучения, а также индикаторов компрометации (IOC), собранных в результате прошлых атак».
ATP добавляется в облачный Центр безопасности Windows, поэтому вы можете управлять безопасностью всей системы с одного портала. Вы можете помочь машине ATP стать умнее, поделившись своим собственным криминалистическим анализом, а также просмотрев информацию о безопасности от Microsoft.
Возможность получить доступ к каждому компьютеру, чтобы точно знать, какой компьютер был скомпрометирован и каким образом в ходе той или иной атаки, помогает снизить вероятность более негативных последствий нарушения безопасности.
Microsoft работает над тем, чтобы все больше и больше перемещаться в облако, включая управление устройствами. Учитывая тот факт, что многие предприятия переходят на портативные компьютеры и более удаленный персонал, многие машины больше не находятся в стабильном, определенном месте. С переходом на облачное управление устройствами можно управлять в любое время и в любом месте.
Microsoft и общественное мнение
Microsoft использует своих собственных исследователей для исследования данных, а также для поиска новых моделей поведения, чтобы соотнести полученные данные с существующими знаниями.
Помочь ATP в изучении только посредством вашего собственного криминалистического анализа недостаточно для удовлетворения сегодняшних потребностей интенсивного обнаружения и предотвращения угроз. Аналитика угроз, встроенная в ATP Защитника Windows, «создается охотниками Microsoft, группами безопасности и дополняется аналитикой угроз, предоставленной партнерами».
Благодаря этому ATP может лучше понять и идентифицировать инструменты, методы и процедуры, используемые злоумышленниками, а также генерировать предупреждения, когда эта подозрительная активность наблюдается в собранных данных телеметрии.