Защита от современных угроз безопасности

Для борьбы с современными угрозами требуется новый подход. В архитектуру Windows 10 внесены изменения, которые обеспечивают комплексную безопасность системы и идут гораздо дальше защиты периметра.

Если проанализировать, в каком именно направлении развиваются угрозы безопасности в последнее время, можно увидеть некоторые вызывающие беспокойство тенденции. Предприятия, привыкшие к атакам со стороны отдельных злоумышленников и небольших групп, которые занимались этим с целью мелкого мошенничества или приобретения скандальной известности, столкнулись с хорошо финансируемыми криминальными группировками, преследующими единственную цель — прибыль. Впоследствии эти криминальные группировки были поглощены тайными организациями со скрытыми мотивами, которые довольно легко добивались желаемого.

Суровая действительность такова, что злоумышленники приобрели преимущество, и если организация стала их целью, они вне всяких сомнений смогут получить доступ к сети, единственный вопрос заключается в том, как быстро они смогут это сделать и сколько времени вам потребуется, чтобы это выяснить. Часто несколько месяцев уходит только на обнаружение проблем, а на их устранение — гораздо больше.

Защита устройства

В Windows 7 Microsoft приняла серьезные меры для защиты своих клиентов, однако практика показывает, что в некоторых случаях им удалось лишь усложнить задачу злоумышленникам. Чтобы гарантированно решить те проблемы безопасности, с которыми нам приходится сталкиваться, Windows необходимы новые аппаратные технологии, которые были разработаны лишь недавно. Благодаря распространению этих технологий появилась возможность внести существенные изменения в архитектуру платформы Windows 10.

Целостность устройств

Для борьбы с вредоносными программами и взломом требуется возможность обеспечивать целостность оборудования, а также процесса загрузки операционной системы. До выпуска Windows 8 это было сопряжено со значительными сложностями. Вредоносное ПО или пакет программ rootkit могли заразить устройство еще до запуска каких-либо средств защиты и отключить их. Устройства, прошедшие сертификацию для Windows 8 или более поздней версии, имеют новый аппаратный компонент — безопасную загрузку UEFI, который помогает обеспечить целостность системного встроенного ПО и операционной системы с момента включения питания и до его отключения.

Криптографическая обработка

Учитывая реальный риск попыток взлома, требуется такое оборудование, которое гарантировало бы максимальный уровень защиты наиболее конфиденциальных сведений, таких как ключи шифрования и удостоверения пользователей. Windows использует для создания таких данных основанную на стандартах технологию в доверенном платформенном модуле (TPM). Операции выполняются в аппаратной среде, изолированной от операционной системы. Windows 10 также может использовать доверенный платформенный модуль, чтобы убедиться, что средства защиты и обеспечения целостности устройств в UEFI, надежной загрузке и других компонентах работают правильно и не были незаконно изменены. Благодаря этому доверенный платформенный модуль Windows 10 удобно применять при удаленном подтверждении работоспособности и в сценариях удаленного доступа. Данная технология находит все большее распространение как в потребительских, так и в коммерческих устройствах и уже является мировым стандартом, который может применяться в таких странах, как Китай и Россия, где ранее могли действовать определенные ограничения.

Виртуализация

Аппаратные средства обеспечения безопасности и изоляции занимают ключевое место в стратегии безопасности платформы. В Windows 10 используется технологии виртуализации, которые ранее применялись лишь в сценариях для серверов Windows. Использование их в клиентской среде позволяет добиться непревзойденного уровня защиты. С помощью преимуществ безопасности на базе виртуализации, реализованной на технологии Hypervisor, Windows может перенести наиболее уязвимые процессы Windows в среду безопасного выполнения в целях предотвращения их незаконного изменения, а также в том случае, когда ядро Windows полностью скомпрометировано. В Windows 10 безопасность на основе виртуализации лежит в корне работы таких компонентов, как Device Guard и Credential Guard, которые отлично противодействуют вредоносному ПО, средствам взлома и брешам.

Биометрические датчики

Биометрия доступна на платформе и устройствах Windows уже довольно давно, однако до выпуска Windows 10 она относилась скорее к факторам удобства. Такой подход к вводу имени пользователя и пароля просто позволял сделать процедуру входа более индивидуализированной, однако весь потенциал биометрии в отношении проверки подлинности так и не был реализован. Но все изменилось с выходом Windows 10 и появлением Microsoft Passport и Windows Hello. Эти технологии корпоративного уровня предоставляют обширные возможности для многофакторной проверки подлинности, которые аналогичны смарт-картам, но при этом отличаются большей гибкостью благодаря использованию преимуществ методик распознавания отпечатков пальца, лиц и радужной оболочки глаза.

Примером могут служить устройства Windows с биометрическими датчиками для распознавания отпечатков пальца и лиц, такими как Intel®. RealSense Всеми преимуществами Microsoft Passport и Windows Hello можно пользоваться уже сейчас. Канал продаж поставщиков вычислительной техники заполнен новыми потребительскими и бизнес-устройствами, которые способствуют распространению биометрии в Windows.

Защита удостоверений

Если говорить о брешах в сети, основными составляющими успеха злоумышленника являются кража учетных данных пользователей и вредоносные программы, которые часто применяются в комбинации друг с другом. Если не позаботиться об обеих областях, то можно стать легкоуязвимыми для злоумышленника.

Если говорить о защите удостоверений, прежде всего следует отказаться от однофакторной проверки подлинности учетных данных пользователей, например паролей, в пользу многофакторных решений. Во-вторых, производные учетные данные, используемые для единого входа, необходимо защитить с помощью аппаратных решений, которые отсутствовали на рынке до выхода Windows 10.

Windows 10 предлагает удобные решения для защиты удостоверений, простые в развертывании и управлении. Значимые решения по обеспечению безопасности редко обладают такими функциями, однако благодаря Microsoft Passport, Windows Hello и Credential Guard вам не придется чем-либо жертвовать.

Microsoft Passport

Не секрет, что однофакторная проверка подлинности уже давно не справляется с возложенной на нее задачей, а пароли неприемлемы, так как сейчас их легко можно получить с помощью фишинга, подобрать и украсть. В 2014 году одна преступная организация заявила о получении доступа к 1,2 миллиарда украденных сочетаний имен пользователей и паролей. Подумав об этом, приняв во внимание, сколько людей по всему миру находятся в сети.

Решением данной проблемы является многофакторная проверка подлинности, например смарт-карта, однако часто она оказывается слишком дорогой в развертывании, слишком неудобной в использовании и плохо совместимой с современными устройствами, которыми все мы хотим пользоваться (например, ультрамобильными и легкими телефонами). Другая сложность заключается в зависимости от инфраструктуры открытых ключей (PKI), которая ведет к существенному усложнению комплексного решения.

В Windows 10 для устранения основных проблем современных многофакторных решений контроля удостоверений использовано Microsoft Passport, который обладает всеми преимуществами смарт-карт и не имеет характерных для них недостатков. Например, с помощью Microsoft Passport можно использовать уже имеющееся устройство, такое как ПК или Windows Phone, в качестве одного из двух факторов. Потребность в дополнительных средствах, таких как токены, карты и устройства чтения, отсутствует. Microsoft Passport можно использовать как совместно с PKI, так и отдельно от нее, что делает это решение оптимальным для потребителей, организаций малого и среднего размера и даже для предприятий, которые хотят снизить требования к инфраструктуре для удостоверений пользователей.

Windows Hello

Microsoft Passport — это ваше новое решение для двухфакторной проверки подлинности, однако используемые им учетные данные представляют лишь одну из двух составляющих проверки. В качестве второго фактора может выступать PIN-код, а на современных устройствах с биометрическими датчиками можно использовать отпечаток пальца, лицо и даже радужную оболочку глаза. Этот основанный на биометрии процесс взаимодействия мы называем Windows Hello.

Windows Hello предоставляет более индивидуализированный способ входа на устройства Windows 10, в приложения и веб-службы. Пользователи могут получить доступ ко всем необходимым данным, просто взглянув на датчик или коснувшись его. В отличие от многих созданных ранее биометрических решений, Windows Hello обеспечивает безопасность корпоративного уровня и предоставляет средства противодействия спуфингу, чтобы защитить биометрические и конфиденциальные данные пользователей. Существующие устройства со сканерами отпечатков пальцев поддерживают Windows Hello, а новые устройства, в которых применена технология распознавания лиц и радужной оболочки (например, ИК-камера), уже поступили в продажу. Все готово для того, чтобы Windows Hello и биометрическая проверка подлинности стали общедоступными на устройствах Windows.

Credential Guard

Перевод пользователей на решение многофакторной проверки подлинности, такое как Microsoft Passport, является важным первым шагом на пути к защите их удостоверений. Не менее важен и следующий шаг — защита производных учетных данных пользователей, используемых для единого входа. Злоумышленники могут легко украсть эту конфиденциальную информацию и использовать ее для представления другим пользователем, даже не зная его имя и пароль и не имея доступа к его средству многофакторной проверки (например, смарт-карте или PIN-коду). Злоумышленнику нужно лишь получить административный доступ к устройству, например с помощью уязвимости или вредоносного ПО, чтобы осуществить процедуру, которая часто называется передачей хэша, или "pass the hash".

До Windows 10 было выпущено несколько компонентов, нацеленных на предотвращение таких атак, однако все они не позволили кардинально изменить ситуацию. В Windows 10 этого удалось добиться с помощью Credential Guard, который использует функции безопасности на базе виртуализации (VBS), чтобы изолировать производные учетные данные пользователей от операционной системы Windows. Благодаря этому даже в случае полной компрометации операционной системы конфиденциальная информация вместе со средой VBS остаются в безопасности.

Защита информации

Если говорить о безопасности, основной ее составляющей является защита информации. Однако при отсутствии комплексного подхода можно обойти даже хорошее решение. Это означает, что при разработке стратегии информационной безопасности вам следует учитывать аспекты защиты удостоверений и противодействия угрозам. Windows 10 содержит эффективные средства для каждой из этих областей. А если говорить о защите информации, теперь Windows 10 предлагает возможности, за которыми раньше приходилось обращаться к сторонним разработчикам.

Разработка и совершенствование функций защиты информации в Windows ведутся уже довольно давно, а благодаря их совмещению со службами управления правами из Office 365 клиенты получают обширный спектр возможностей. Но, конечно же, просто “обширного” в текущих условиях может оказаться недостаточно, поэтому в Windows 10 добавили новые функции информационной безопасности, обеспечивающие именно такую комплексную защиту, которая нужна вам в мире облачных технологий, BYOD и других современных тенденций.

Наши рекомендации