Microsoft делает акцент на безопасности (часть 2)

Опубликовано: 6 Апреля, 2023
Microsoft делает акцент на безопасности (часть 2)

  • Microsoft делает акцент на безопасности (часть 3)
  • Microsoft делает акцент на безопасности (часть 4)
  • Microsoft делает новый акцент на безопасности (часть 5)
  • Microsoft делает акцент на безопасности (часть 6)
  • Microsoft делает акцент на безопасности (часть 7)
  • Microsoft делает акцент на безопасности (часть 8)
  • Microsoft делает акцент на безопасности (часть 9)

Введение

В первой части этой серии статей я рассказал о том, как Microsoft провела свою первую конференцию Ignite в первую неделю мая в Чикаго, причем многие сессии были посвящены безопасности в облаке. Мы говорили об объявлении о более гибких циклах исправлений (и о возможном окончании вторника исправлений, как мы его знаем) и о введении Windows 10 Device Guard.

Зачем нам новый тип решения безопасности?

Одну из самых интересных сессий на Ignite представили Деми Альбуз, Майкл Дубинский, Бенни Лакунишок и Идан Плотник. Презентация началась с некоторых статистических данных, показывающих, что семьдесят пять процентов вторжений в сеть происходят из-за скомпрометированных учетных данных пользователей и, что еще более важно, что среднее количество дней, в течение которых злоумышленники находятся в сети жертвы, прежде чем их обнаружат, составляет более двухсот. Это восемь месяцев — долгий срок для проникновения киберпреступников в вашу сеть.

Считаете ли вы, что вы в безопасности, пока у вас есть хорошее решение для защиты от вредоносных программ? Может быть, вам следует подумать еще раз. По словам докладчиков, одна из проблем, которая затрудняет обнаружение присутствия этих злоумышленников, заключается в том, что они не используют вредоносное ПО для проникновения; они используют законные ИТ-инструменты. Как и в случае с инструментами в «реальном» (физическом) мире, любой инструмент — пистолеты, ножи, цепные пилы, автомобили, ядерная энергия и т. д. — можно использовать как для благих целей, так и для злых. Когда злоумышленники внедряют инструменты, которые обычно используются для управления вашей сетью или ее защиты, становится сложнее их вычислить.

Microsoft изучила традиционные решения для обеспечения ИТ-безопасности и обнаружила, что многие из них слишком сложны, склонны к ложным срабатываниям и/или предназначены для защиты сети только по периметру. Сложность означает, что многие будут сдерживаться и не будут их использовать вообще, а для тех, кто их использует, больше вероятность того, что они не смогут правильно настроить конфигурацию для наиболее эффективной защиты от современных угроз.

Ложные срабатывания имеют тот же эффект, что и «плачущий волк»: когда вы получаете много сообщений, которые оказываются ложными, это тратит ваше драгоценное время и через некоторое время заставляет вас рассматривать каждое сообщение как вероятно ложное и, таким образом, не заслуживающее вашего внимания. немедленное внимание. Это означает, что когда вы законное предупреждение, вы можете не реагировать должным образом.

Современные сети не работают в вакууме внутри четко определенного и легко устанавливаемого периметра. И уже небезопасно предполагать, что всему во внутренней сети можно доверять. Когда злоумышленник может получить учетные данные законного пользователя (и помните приведенную выше статистику; это источник трех четвертей сетевых вторжений), защита периметра практически бесполезна. Злоумышленник находится внутри и может действовать как любой доверенный внутренний агент.

Таким образом, именно с этой точки зрения Microsoft исходила из решения разработать новый подход «аналитики угроз» к безопасности. Это, конечно, не замена традиционным методам, а дополнение к ним.

Что такое Microsoft Advanced Threat Analytics?

Итак, как это работает? Что ж, они рассмотрели концепцию, используемую компаниями-эмитентами кредитных карт, которые отслеживают платежи по кредитным картам своих клиентов, чтобы определить «нормальные» модели расходов, а затем уведомляют держателей карт, когда обнаруживают необычную активность, для проверки. что это законное обвинение. Со мной такое случилось однажды, когда я купил дорогую камеру Nikon. Именно по этой причине компании-эмитенты кредитных карт советуют вам сообщать им, когда вы планируете путешествовать, если вы можете использовать свою карту, потому что платежи, сделанные в необычных для вас местах, могут вызвать такого рода предупреждения системы безопасности.

Microsoft Threat Analytics использует ту же концепцию для мониторинга IP-трафика. Это называется поведенческой аналитикой и в сочетании с алгоритмами, которые могут обнаруживать известные сигнатуры атак, создают мощное передовое решение для обнаружения угроз.

Большим преимуществом ATA является простота для администраторов. Вам не нужно придумывать, как создать кучу правил и политик, потому что программное обеспечение отслеживает и изучает нормальное поведение ваших пользователей и устройств. Это также снижает количество ложных срабатываний. ATA делает это, скрываясь от злоумышленников. Он постоянно обновляет свои профили для нормального поведения в вашей организации. Когда он обнаруживает подозрительное поведение, отклоняющееся от нормы, он предупреждает вас только тогда, когда эти необычные действия объединяются в контексте.

ATA может обнаруживать необычное поведение, такое как подозрительные входы в систему, удаленное выполнение кода, совместное использование паролей и боковое перемещение, а также помогает защитить от многих типов злонамеренных атак, включая передачу билета и передачу хэша, поддельный PAC и даже BruteForce. атаки.

ATA от Microsoft основан на технологии, разработанной Aorato, израильской компанией, основанной в 2011 году бывшими членами Армии обороны Израиля и купленной Microsoft в конце 2014 года. был одним из соучредителей Аорато. Программное обеспечение Aorato, которое они назвали брандмауэром приложений служб каталогов или DAF, использовало машинное обучение для ведения базы данных пользователей и устройств, которые обращались к Windows Active Directory, которая постоянно обновлялась.

Как работает Microsoft Advanced Threat Analytics?

Основываясь на предположении, что Active Directory является одной из наиболее уязвимых частей большинства корпоративных сетей, поскольку она является хранилищем для централизованной безопасности в сети Windows Server и, следовательно, естественной целью злоумышленников, DAF сосредоточился на защите Active Directory. Такая же видимость трафика конкретного приложения также является основой ATA.

Вот как это работает: Один или несколько шлюзов ATA размещаются во внутренней сети внутри брандмауэра. Каждый шлюз ATA использует зеркалирование портов для захвата трафика Active Directory нескольких контроллеров домена, а также получает события от вашего программного обеспечения для управления информацией и событиями безопасности (SIEM). Шлюзы отправляют соответствующую информацию в центр ATA.

Центр ATA получает данные от шлюзов. Он хранит эту информацию в базе данных. По мере того, как ATA узнает о нормальных моделях поведения ваших пользователей и устройств, он создает карту всех взаимодействий этих сущностей, которая называется графиком организационной безопасности. Эта карта записывает действия всех пользователей и устройств. Затем ATA ищет аномалии — необычное и подозрительное поведение. Он также ищет известные сигнатуры атак.

Эта технология способна практически мгновенно отслеживать тактику, приемы и процедуры злоумышленника, так что вы можете быстро отреагировать, а не жить со скрытным злоумышленником внутри вашей сети в течение недель или месяцев. Тем не менее, эта часть уравнения по-прежнему является реактивным подходом. ATA также использует упреждающий подход, поскольку он может выявлять распространенные риски безопасности, такие как незашифрованные пароли, а также уязвимости и слабости протоколов, которыми может воспользоваться злоумышленник, произойдет атака. Эта двойная методология означает, что ATA полезен как в качестве превентивной меры, так и на всех этапах фактической атаки.

Тестирование Microsoft Advanced Threat Analytics

Вы можете протестировать ATA, загрузив предварительную версию, которая в настоящее время доступна бесплатно на веб-сайте Microsoft.

Вам потребуется установить по крайней мере два сервера — центр ATA и хотя бы один шлюз ATA — на машинах или виртуальных машинах под управлением Windows Server 2012 R2. Центр ATA и шлюз могут быть установлены на члене домена или на сервере, принадлежащем рабочей группе, но в вашей сети должны быть контроллеры домена под управлением Windows Server 2008 или более поздней версии. Вам потребуется настроить зеркалирование портов ATA, чтобы шлюз ATA мог видеть сетевой трафик, отправляемый на контроллеры домена и от них.

Примечание:
Если вы устанавливаете шлюз ATA как виртуальную машину, контроллеры домена, которые он будет отслеживать, должны работать как виртуальные машины на одном хосте.

Зеркалирование портов можно настроить на виртуальных коммутаторах Hyper-V или VMware или на физических коммутаторах Cisco, Juniper или HP (некоторые модели). Вам потребуется обратиться к документации поставщика коммутатора для получения конкретной информации о настройке зеркалирования портов для их продуктов.

Если вы хотите, чтобы ATA получал данные от SIEM, вам необходимо настроить как серверы шлюза ATA, так и сервер SIEM/Syslog. Последний должен быть настроен для пересылки определенных событий на шлюз ATA, а шлюз должен быть настроен на прослушивание и прием этих событий. Серверы SIEM, которые в настоящее время поддерживаются в предварительной версии ATA, включают Splunk, Snare, HP Arcsight и RSA Security Analytics. Опять же, обратитесь к документации поставщика продукта для получения конкретных инструкций. Дополнительную информацию о планировании и установке можно найти на веб-сайте TechNet.

После развертывания ATA вы увидите список обнаруженных им подозрительных действий на временной шкале атаки в консоли управления ATA. Доступ к консоли управления осуществляется через веб-браузер. Это покажет вам вовлеченные объекты, время возникновения подозрительных действий, рейтинг серьезности и то, открыто ли событие, разрешено или отклонено. Вы можете отправлять уведомления другим по электронной почте, экспортировать информацию в Excel и добавлять заметки. В некоторых случаях ATA попросит вас ввести дополнительную информацию о пользователе или устройстве и предоставит рекомендации относительно ваших вариантов ответа. Вы можете фильтровать и искать действия.

Резюме

Microsoft Advanced Threat Analytics — один из самых интересных новых механизмов безопасности, который обсуждался на Ignite в этом году, и он обязательно будет улучшен, поскольку ИТ-специалисты по безопасности оценят предварительную версию и предоставят отзывы. В части 3 мы продолжим нашу серию с обсуждением того, что еще нового или появится в области безопасности от Ignite.

  • Microsoft делает акцент на безопасности (часть 3)
  • Microsoft делает акцент на безопасности (часть 4)
  • Microsoft делает новый акцент на безопасности (часть 5)
  • Microsoft делает акцент на безопасности (часть 6)
  • Microsoft делает акцент на безопасности (часть 7)
  • Microsoft делает акцент на безопасности (часть 8)
  • Microsoft делает акцент на безопасности (часть 9)