Microsoft делает акцент на безопасности (часть 1)
- Microsoft делает акцент на безопасности (часть 3)
- Microsoft делает акцент на безопасности (часть 4)
- Microsoft делает новый акцент на безопасности (часть 5)
- Microsoft делает акцент на безопасности (часть 6)
- Microsoft делает акцент на безопасности (часть 7)
- Microsoft делает акцент на безопасности (часть 8)
- Microsoft делает акцент на безопасности (часть 9)
Введение
Microsoft провела свою первую конференцию Ignite в первую неделю мая в Чикаго в конференц-центре McCormick Place. Когда компания объявила, что упраздняет почтенный TechEd, ежегодно проводившийся в США (наряду с родственными конференциями в Европе, Австралии, Азии и даже (в 2010 г.) на Ближнем Востоке), было очень много негативных отзывов от ИТ-специалистов. Последний Североамериканский TechEd прошел в мае прошлого года в Хьюстоне.
Конец TechEd и его замена чем-то, что было впервые официально объявлено как Unified Technology Event for Enterprises (UTEE?), произошло в июле прошлого года. Название было изменено на Ignite. Это произошло после принятого Microsoft за год до этого решения закрыть Microsoft Management Summit, закрытия TechNet в 2013 году и множества других бизнес-решений компании, которые многие расценили как шаги, направленные на то, чтобы «бросить ИТ-специалистов под автобус». в пользу сосредоточения внимания на предоставлении своих облачных сервисов.
Таким образом, многие в отрасли были прикованы к Ignite, когда он открылся, и на нем присутствовало более 20 000 человек. В понедельник генеральный директор Сатья Наделла начал с основного доклада, который длился почти три часа, после чего начались секционные заседания. На протяжении всей конференции было доступно более 1100 сессий, 115 из которых были перечислены в теме «Безопасность и управление доступом». Сессии были ориентированы на разные аудитории: влиятельных лиц и специалистов по внедрению ИТ (включая ИТ-специалистов), лиц, принимающих решения в области ИТ, корпоративных разработчиков и архитекторов. 93 из 115 сеансов, связанных с безопасностью, были нацелены на лидеров мнений и исполнителей.
Безопасность в облаке и на земле
Как и следовало ожидать, многие из этих сессий были посвящены безопасности в облаке: двадцать сессий касались защиты Office 365, двадцать семь были связаны с проблемами безопасности для Azure и Azure Active Directory, десять были связаны с безопасностью Microsoft Intune. Учитывая предположение о том, что Windows 10 является «последней версией Windows», и задержку с выпуском новой версии Windows Server, которая заставила многих спекулировать на ее надвигающейся кончине, может стать сюрпризом, что самое большое количество сеансов безопасности (сорок один) были посвящены безопасности Windows.
На этих сессиях был рассмотрен широкий спектр вопросов безопасности, от безопасности веб-браузера и социальных сетей до новых и улучшенных функций безопасности в Windows 10. BitLocker, Windows Hello, Защитник Windows, Device Guard, контейнеры и многое другое получили свои пятнадцатиминутные слава.
В этой серии статей мы предоставим краткий обзор некоторых из этих новых технологий (и усовершенствований, внесенных в некоторые уже знакомые), а затем в последующих статьях мы углубимся во многие из них. самые интересные.
Более гибкие циклы исправления
Хотя на данный момент это не было официально подтверждено, комментарии в Ignite от вице-президента по операционным системам попали в заголовки газет с указанием на то, что предсказуемый ежемесячный цикл выпуска обновлений безопасности Microsoft во вторник может претерпеть некоторые изменения.
PC World сообщил, что Терри Майерсон сказал, что в будущем вместо того, чтобы выпускать целый список исправлений во второй вторник месяца, Microsoft может выпускать обновления безопасности и другие обновления в качестве «постоянного потока инноваций». Вы можете больше узнать о моем подходе к этой идее и ее последствиях — как хороших, так и плохих — для ИТ-специалистов и организаций в блоге GFI.
Защита устройств Windows 10
Дискуссия вокруг Device Guard, нового механизма безопасности, который будет встроен в Windows 10, была не в первый раз, когда мы слышали об этой функции. Впервые об этом было объявлено на конференции RSA этого года в Сан-Франциско в апреле вице-президентом Скоттом Чарни. Несколько сессий в Ignite предоставили больше информации об этом.
Цель Device Guard — предоставить сетевым администраторам способ защитить устройства с Windows 10 от новых и неизвестных типов вредоносных программ, угроз нулевого дня и сложных постоянных угроз (APT). Он работает, блокируя все, кроме «доверенных приложений». Так что же делает приложение «доверенным»? Это приложения с цифровой подписью доверенных поставщиков программного обеспечения или Магазина Windows. А как насчет ваших приложений, разработанных собственными силами? Вы также можете подписать их и сделать их доверенными.
Многие поставщики подписались на использование Device Guard, включая HP, Acer, Lenovo и других популярных производителей устройств Windows. Однако также важно отметить, что администраторы имеют полный контроль над тем, какие поставщики следует считать доверенными. Если у вас есть приложения, которые не были подписаны первоначальным поставщиком, но которые вы считаете заслуживающими доверия, есть инструменты, которые вы можете использовать для их подписи, чтобы они могли работать. Microsoft также указала, что предприятия смогут отправлять свои приложения в Редмонд для подписи с помощью ключа, который работает только для этой организации. Device Guard не разрешает запускать эти приложения на устройствах в других организациях, поэтому у вас не будет проблемы с тем, что одна компания подписала опасное приложение и распространяется, преднамеренно или случайно, в другую организацию.
Вам может быть интересно, чем именно Device Guard отличается от других решений для защиты от вредоносных программ. Вот в чем преимущество: Device Guard использует аппаратное обеспечение и виртуализацию, чтобы изолировать процесс определения надежности приложения от остальной части операционной системы, что защищает остальную часть ОС при запуске приложения. Сам Device Guard работает в отдельном минималистичном экземпляре ОС. Это означает, что когда Device Guard включен, всегда будет работать гипервизор и будет работать эта вторая, урезанная версия Windows.
Device Guard зависит от аппаратного обеспечения, имеющего IOMMU, который представляет собой блок управления памятью ввода-вывода. Это компонент, который соединяет шину ввода-вывода с поддержкой DMA с основной памятью и сопоставляет виртуальные адреса с физическими адресами. У IOMMU есть много преимуществ, включая защиту памяти от злонамеренных попыток атак DMA. Недостатком является некоторое снижение производительности по сравнению со старыми процессорами, которые использовали прямую физическую адресацию памяти, но с учетом скорости современных процессоров это не должно быть проблемой.
Чтобы использовать Device Guard, в устройство должны быть встроены механизмы защиты IOMMU (которые есть в современных процессорах Intel и AMD, а также в некоторых процессорах ARM). Оборудование основных производителей будет помечено как поддерживающее Device Guard или готовое к Device Guard. На «готовых» устройствах уже все настроено для использования Device Guard: оборудование IOMMU, установлены драйверы и включена функция. «Подходящие» устройства будут иметь аппаратное обеспечение, но вам потребуется установить драйверы и настроить устройство для использования Device Guard.
Конечно, вы можете (и должны) использовать Device Guard в сочетании с более традиционным антивирусным программным обеспечением, поскольку есть некоторые типы угроз, от которых Device Guard не защищает, включая Java и макросы в документах. Работая вместе, Device Guard и другие технологии безопасности могут значительно снизить угрозу от различных типов вредоносного кода.
Device Guard станет важным дополнением к арсеналу безопасности Windows 10, поскольку он может помочь защитить от некоторых наиболее сложных вредоносных программ, появившихся за последние несколько лет, таких как CryptoLocker и BlackPOS. Это поможет решить проблему полиморфного вредоносного ПО, которое называется так потому, что постоянно меняется или «превращается» в разные варианты. Это, конечно, затрудняет обнаружение и устранение большинства традиционных решений для защиты от вредоносных программ. Полиморфное вредоносное ПО может маскироваться, изменяя имена файлов, переменные ключи или используя шифрование или сжатие, чтобы скрыть свою истинную природу и личность.
Device Guard перемещает усилия по защите от вредоносных программ от текущего подхода «невиновен, пока не будет доказана вина» к исполняемому коду и переходит к более наполеоновскому подходу, когда приложения считаются виновными до тех пор, пока их невиновность не будет доказана. Это уже является основой «принципа наименьших привилегий», который диктуется лучшими практиками для предоставления разрешений на доступ пользователям, но в прошлом мы давали больше преимуществ сомнениям приложениям, которые мы даем пользователям.
При использовании традиционных стратегий защиты от вредоносных программ всем приложениям доверяют до тех пор, пока наша система защиты от вредоносных программ не идентифицирует их как потенциальные угрозы. Проблема в том, что, подобно террористу, у которого ранее не было записей об арестах, новое или недавно мутировавшее вредоносное ПО считается безопасным, и мы допускаем его в наши системы. Это «черный список» — ведение списка приложений, которые, как известно, являются вредоносными программами, и их блокировка. Device Guard предлагает нам новый способ «белого списка» — ведение списка приложений, которые считаются безопасными, и блокирование всего остального.
Это, конечно, не новая концепция. AppLocker также работает по принципу белого списка, как и его предшественник, политики ограниченного использования программ (SRP). Разница в том, что SRP и AppLocker были сложными и трудными для правильной настройки. У вас были разные наборы правил, которые применялись к разным типам файлов, и разные условия правил для каждого набора правил.
Device Guard реализует концепцию белого списка совершенно другим способом, который направлен непосредственно на вредоносное ПО, а не на общий контроль приложений, поэтому этот механизм ориентирован на безопасность. Device Guard — это лишь одна из ряда функций безопасности, которые вместе предназначены для повышения безопасности Windows 10 без ущерба для удобства использования.
Резюме
Ignite определенно вызвал бурные отклики в ответ на новости о том, что вторник исправлений, возможно, подходит к концу, но он также вызвал много положительных отзывов о некоторых новых функциях безопасности Windows 10, которые появятся на горизонте, включая Device Guard. Во второй части мы рассмотрим новые функции, продукты и службы безопасности, в том числе одну из них, которой уделяется много внимания: Microsoft Advanced Threat Analytics.
- Microsoft делает акцент на безопасности (часть 3)
- Microsoft делает акцент на безопасности (часть 4)
- Microsoft делает новый акцент на безопасности (часть 5)
- Microsoft делает акцент на безопасности (часть 6)
- Microsoft делает акцент на безопасности (часть 7)
- Microsoft делает акцент на безопасности (часть 8)
- Microsoft делает акцент на безопасности (часть 9)