Новые механизмы безопасностиWindows 10Владислав Барковскийv-vladb@microsoft.com

#CODEIB

Вы используете множество лучших решений в области безопасности

…Но ландшафт угроз изменился

Эволюция атак

Прицельность

Усло

жне

ние

Количество и Влияние

Самоучки

BLASTER, SLAMMER

Мотив: Развлечение

2003-2004

Эволюция атак

Прицельность

Усло

жне

ние

2005-Нынешний день

Орг. преступност

ь

RANSOMWARE,

CLICK-FRAUD, IDENTITY

THEFT

Мотив: Выгода

Самоучки

BLASTER, SLAMMER

Мотив: Развлечение

2003-2004

Эволюция атак

Прицельность

Усло

жне

ние

2005-Нынешний день

Орг. преступност

ь

RANSOMWARE,

CLICK-FRAUD, IDENTITY

THEFT

Мотив: Выгода

Самоучки

BLASTER, SLAMMER

Мотив: Развлечение

2012 – и далее

Государства,

Активисты, Террористы

НАГЛО, СЛОЖНО,

ПРИЦЕЛЬНОМотив :

Кража ИС,Вред,

Выведение из строя

2003-2004

“Хакеры, атаковавшие Target, внедрились в сеть с помощью украденного пароля учетной записи, созданной для компании, обслуживающей систему кондиционирования”

Утечка информации по кредитным картам в Target привела к появлению миллионов кредитных карт на черном рынке

BRAIN KREBS (SECURITY BLOGGER)

Source: “Cards Stolen in Target Breach Flood Underground Markets,” KrebsOnSecurity.com, December 20, 2013

Target – Слабая защита учетных записей

Security from the inside out – beyond bigger walls

Обрушить экономическую

модель злоумышленник

ов

Сломать привычный

сценарий атаки

Уменьшить кол-во векторов атаки

Для защиты от угроз требуются новые подходы

Аутентификация пользователей

Пароли, токены, билеты

шшшш!Тихо!

Тяжело обслуживать легко потерять

Пароли и логины в Интернет

Пользователь

Везде один пароль

Слабое место сайт

Злоумышленник

1

Social.com

Bank.com

Network.com

LOL.com

Obscure.com

Атакует слабо защищеный сайт

12Использует пароль на более

ценных сайтах

Имя и пароль

Бизнес логины и пароли

Пользователь

Имя и пароль

1

3

5

Имя и пароль

Токен авторизации

Я доверяю токену AD

Windows пытается авторизоваться

УстройствоIDP

IDP

IDP

2

4

Сетевой ресурс

Слабое место пользовательи устройство

Злоумышленник

Решение для предприятий

Просто внедрять

Снижение затрат на обслуживание

MICROSOFT PASSPORT

Ваше устройство один из факторов аутентификации

ЗАЩИЩАЕТСЯ

АППАРАТНО

Удостоверение пользователя

Пара ассиметричных ключей

Создается PKI или локально Windows 10

Аутентификация нового поколения

IDPActive Directory

Azure ADGoogle

FacebookMicrosoft Account

1Предоставляет удостоверение

Предоставляет уникальный ключ

Пользователь2

Windows10

3IntranetResource

4

4

Токен авторизацииЯ доверяю токену IDP

И я доверяю

IntranetResource

Новый подход

PINПростой вариантНе требует доп. оборудованияЗнаком пользователюWindows HelloУлучшенная безопасностьПростота использованияНевозможно забыть и потерять

Доступ к удостоверениям

Sample design, UI not final

VSM изолирует и защищает критические Windows процессы с помощью контейнера Hyper-V даже если ядро Windows Kernel полностью скомпрометировано

Сервис LSA генерирует случайные NTLM хэши не привязанные к паролям.

Требуется процессор с расширениями (VT-X, VT-D)

Виртуализация

VIRTUAL SECURE MODE (VSM)

В отрыве от устройства и Windows хэши повторно использовать не получится

Virtual Secure Mode

Virtual Secure Mode (VSM)Ядро

Loca

l Sec

urity

Au

th S

ervi

ce

HypervisorОборудование

Windows

Ядро

ПриложенияВи

ртуа

льны

й TP

M

Hype

r-Viso

r Це

лост

ност

ь ко

да

Доверяли по умолчанию, до тех пор пока не уверены что это угроза

Методы детектирования

активности приложений не

успевают за вредоносным

кодом

Проблема

Приложения

Будущее за приложениями:СПОСОБНЫМИ ДОКАЗАТЬ ЧТО ОНИ ДОСТОЙНЫ ДОВЕРИЯ

DEVICE GUARDАппаратный

контроль приложений

Запуск только доверенных приложений, как в мобильных ОС (Windows Phone)

Device Guard защищается от повреждения и отключения контейнером VSM

Приложения могут создавать IHV, ISV, или Клиенты. Подписываются приложения с помощью сервиса ключей предоставляемого Microsoft.

Утечки данных

2HIPPA Secure Now, “A look at the cost of healthcare data breaches,” Art Gross, March 30, 2012

Случайно отправляли важную информацию не

тому человеку1

58%

…старших менеджеров признают что регулярно

загружают рабочие файлы в личную почту или облако1

87%

Средняя стоимость утечки данных по индустриям2

$240Каждая

запись

1Stroz Friedberg, “On The Pulse: Information Security In American Business,” 2013

Enterprise Data

ProtectionРазличает личные и корпоративные данные. Позволяет выборочное удаление

Защищает данные при хранении, обработке, передаче

Интегрировано в платформу. Может встраиваться в сторонние приложения

Предотвращает неавторизованный доступ сторонних приложенийЗащищает от ошибочных действий пользователя

Работает одинаково на Windows, iOS, Android

© 2015 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

#CODEIB