Upload
expolink
View
284
Download
1
Embed Size (px)
Citation preview
Новые механизмы безопасностиWindows 10Владислав Барковский[email protected]
#CODEIB
Вы используете множество лучших решений в области безопасности
…Но ландшафт угроз изменился
Эволюция атак
Прицельность
Усло
жне
ние
Количество и Влияние
Самоучки
BLASTER, SLAMMER
Мотив: Развлечение
2003-2004
Эволюция атак
Прицельность
Усло
жне
ние
2005-Нынешний день
Орг. преступност
ь
RANSOMWARE,
CLICK-FRAUD, IDENTITY
THEFT
Мотив: Выгода
Самоучки
BLASTER, SLAMMER
Мотив: Развлечение
2003-2004
Эволюция атак
Прицельность
Усло
жне
ние
2005-Нынешний день
Орг. преступност
ь
RANSOMWARE,
CLICK-FRAUD, IDENTITY
THEFT
Мотив: Выгода
Самоучки
BLASTER, SLAMMER
Мотив: Развлечение
2012 – и далее
Государства,
Активисты, Террористы
НАГЛО, СЛОЖНО,
ПРИЦЕЛЬНОМотив :
Кража ИС,Вред,
Выведение из строя
2003-2004
“Хакеры, атаковавшие Target, внедрились в сеть с помощью украденного пароля учетной записи, созданной для компании, обслуживающей систему кондиционирования”
Утечка информации по кредитным картам в Target привела к появлению миллионов кредитных карт на черном рынке
BRAIN KREBS (SECURITY BLOGGER)
Source: “Cards Stolen in Target Breach Flood Underground Markets,” KrebsOnSecurity.com, December 20, 2013
Target – Слабая защита учетных записей
Security from the inside out – beyond bigger walls
Обрушить экономическую
модель злоумышленник
ов
Сломать привычный
сценарий атаки
Уменьшить кол-во векторов атаки
Для защиты от угроз требуются новые подходы
Аутентификация пользователей
Пароли, токены, билеты
шшшш!Тихо!
Тяжело обслуживать легко потерять
Пароли и логины в Интернет
Пользователь
Везде один пароль
Слабое место сайт
Злоумышленник
1
Social.com
Bank.com
Network.com
LOL.com
Obscure.com
Атакует слабо защищеный сайт
12Использует пароль на более
ценных сайтах
Имя и пароль
Бизнес логины и пароли
Пользователь
Имя и пароль
1
3
5
Имя и пароль
Токен авторизации
Я доверяю токену AD
Windows пытается авторизоваться
УстройствоIDP
IDP
IDP
2
4
Сетевой ресурс
Слабое место пользовательи устройство
Злоумышленник
Решение для предприятий
Просто внедрять
Снижение затрат на обслуживание
MICROSOFT PASSPORT
Ваше устройство один из факторов аутентификации
ЗАЩИЩАЕТСЯ
АППАРАТНО
Удостоверение пользователя
Пара ассиметричных ключей
Создается PKI или локально Windows 10
Аутентификация нового поколения
IDPActive Directory
Azure ADGoogle
FacebookMicrosoft Account
1Предоставляет удостоверение
Предоставляет уникальный ключ
Пользователь2
Windows10
3IntranetResource
4
4
Токен авторизацииЯ доверяю токену IDP
И я доверяю
IntranetResource
Новый подход
PINПростой вариантНе требует доп. оборудованияЗнаком пользователюWindows HelloУлучшенная безопасностьПростота использованияНевозможно забыть и потерять
Доступ к удостоверениям
Sample design, UI not final
VSM изолирует и защищает критические Windows процессы с помощью контейнера Hyper-V даже если ядро Windows Kernel полностью скомпрометировано
Сервис LSA генерирует случайные NTLM хэши не привязанные к паролям.
Требуется процессор с расширениями (VT-X, VT-D)
Виртуализация
VIRTUAL SECURE MODE (VSM)
В отрыве от устройства и Windows хэши повторно использовать не получится
Virtual Secure Mode
Virtual Secure Mode (VSM)Ядро
Loca
l Sec
urity
Au
th S
ervi
ce
HypervisorОборудование
Windows
Ядро
ПриложенияВи
ртуа
льны
й TP
M
Hype
r-Viso
r Це
лост
ност
ь ко
да
Доверяли по умолчанию, до тех пор пока не уверены что это угроза
Методы детектирования
активности приложений не
успевают за вредоносным
кодом
Проблема
Приложения
Будущее за приложениями:СПОСОБНЫМИ ДОКАЗАТЬ ЧТО ОНИ ДОСТОЙНЫ ДОВЕРИЯ
DEVICE GUARDАппаратный
контроль приложений
Запуск только доверенных приложений, как в мобильных ОС (Windows Phone)
Device Guard защищается от повреждения и отключения контейнером VSM
Приложения могут создавать IHV, ISV, или Клиенты. Подписываются приложения с помощью сервиса ключей предоставляемого Microsoft.
Утечки данных
2HIPPA Secure Now, “A look at the cost of healthcare data breaches,” Art Gross, March 30, 2012
Случайно отправляли важную информацию не
тому человеку1
58%
…старших менеджеров признают что регулярно
загружают рабочие файлы в личную почту или облако1
87%
Средняя стоимость утечки данных по индустриям2
$240Каждая
запись
1Stroz Friedberg, “On The Pulse: Information Security In American Business,” 2013
Enterprise Data
ProtectionРазличает личные и корпоративные данные. Позволяет выборочное удаление
Защищает данные при хранении, обработке, передаче
Интегрировано в платформу. Может встраиваться в сторонние приложения
Предотвращает неавторизованный доступ сторонних приложенийЗащищает от ошибочных действий пользователя
Работает одинаково на Windows, iOS, Android
© 2015 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
#CODEIB