Безмалый В.Ф.
Microsoft Security Trusted Advisor
Вирусы-шифровальщики стали настоящим бичем нашего времени. Увы, стоит признать, что мы живем в эпоху бурного развития данного типа угроз. Посмотрим статистику 2016 года от Kaspersky Lab:
- Возникло 62 новых семейства программ-вымогателей.
- Количество новых модификаций вымогателей выросло в 11 раз – с 2900 в период с января по март до 32 091 в июле–сентябре.
- С января по конец сентября число атак на компании увеличилось в три раза: если в январе атаки проводились в среднем каждые две минуты, то в сентябре – уже каждые 40 секунд.
- Интенсивность атак на пользователей удвоилась: атаки проводились в среднем раз в 20 секунд в начале периода и раз в 10 секунд в его конце.
- Каждая пятая компания малого или среднего бизнеса, заплатившая выкуп, так и не получила доступ к своим данным.
Как видите, ситуация совсем неутешительна. Что делать? Естественно, первое что приходит на ум – делать резервные копии, в корпоративных сетях не хранить никакие данные на рабочих станциях. Ведь делать резервные копии серверов куда проще, тем более делать их регулярно, несколько раз в сутки. Чем мы рискуем в таком случае? Тем что пользователи, увы, будут в любом случае хранить данные на своем ПК. Особенно VIP-пользователи, считающие что правила написаны не для них. Ну, возразите вы своему руководителю? Чем закончится? Как правило, поиском работы для ИТ.
И все же если пользовательский ПК зашифрован, вы потеряете, как максимум, информацию за период от предшествующего резервного копирования до текущего времени. Но что делать, если и это не выход?
Для этого вам необходимо понять, как происходит заражение?
Атака может происходить по нескольким векторам. Как правило, самый распространенный путь заражения – электронная почта. Сегодня преступники активно используют методы социальной инженерии, эффективность которых, увы, со временем не падает. Преступник может позвонить сотруднику вашей компании и после беседы направить письмо с вложением, содержащим вредоносную ссылку. Сотрудник, безусловно, откроет этот файл, ведь он только что говорил с отправителем по телефону. Это, естественно, один из примеров. К сожалению, от таких атак не застрахован никто. Снизить вероятность подобной атаки можно лишь регулярным обучением пользователей.
Источником атаки может служить фишинговый сайт, на который пользователь зашел по мошеннической ссылке, случайно нажатая кем-то ссылка или почтовое вложение. Все чаще заражение происходит через мобильные устройства сотрудников, с которых они получают доступ к корпоративным ресурсам. А ведь антивирус больше не панацея. Известны сотни программ, которые обнаруживались уже после заражения.
Более того, часто администраторы либо не устанавливают обновления безопасности, либо делают это значительно позже необходимого.
Что посоветовать?
В данной статье мы рассмотрим несколько технологий от Microsoft.
Windows Defender Advanced Threat Protection
Ключевые особенности данного сервиса:
- Отказоустойчивый, полноценный датчик уровня ядра, который подвержен меньшим рискам, чем установленное «поверх» стороннее средство.
- Высокая производительность, гарантированная Майкрософт (решениепрошло строгое тестирование Windows и отвечает требованиям к производительности).
- Может работать одновременно с любым сторонним антивирусом и файерволом, проблем совместимости приложений нет, так как данная служба работает на базе сервиса Microsoft Azure и доступ к консоли WD ATP педоставляется через портал securitycenter.windows.com. Компонент ATP разработан Майкрософт как часть Windows 10 (модель «Windows как услуга», WaaS), при обновлении ОС не возникает ошибок типа«синий экран» (так как для активации расширенных средств обнаружения не требуется реконструирование ядра Windows, достаточно скачать с портала скрипт и распространить его с помощью групповых политик).
- Возможность проведения расследования:
- Ретроспективный анализ ВСЕХ событий на ВСЕХ конечных точках за период до 6 месяцев и глобальный поиск.
- Удобный доступ к функциям детонации (глубокого анализа).
- Аналитика угроз из ведущих источников (Майкрософт, iSIGHT) встроена врешение.
- Поведенческий анализ:
- Обнаружение на основе анализа поведения позволяет выявлять неизвестные угрозы и даже угрозы нулевого дня.
- Масштабы отслеживания — создание базовой модели нормального поведения для каждой машины на основе данных, полученных с более 1 млрд устройств подуправлением Windows.
- Глубина анализа.
- Решение на базе облака
- Не нужны локальные компоненты, неограниченные возможности масштабирования.
- Логика обнаружения не доступна для изучения злоумышленником за счет использования облачных сервисов.
- Контроль конечных точек, даже когда они не подключены ккорпоративному домену.
- Высокий уровень соответствия требованиям и конфиденциальности данных, основанный на строгих отраслевых стандартах.
Для работы Windows Defender ATP использует:
- Датчики поведенческого анализа, встроенные в Windows Эти датчики собирают поведенческие сигналы от компонентов операционной системы.
- Облачная аналитика. Используя такие технологии Machine Learning в Azure, информация собирается с Win10, Office, EMS, проводится анализ и рекомендуется то или иное поведение.
- Анализ угроз. В результате анализа Windows Defender ATP идентифицирует инструменты атакующего, методы и процедуры и генерирует предупреждения, если обнаруживается угроза.
На следующей схеме показаны сервисные компоненты Windows Defender ATP:
Windows Defender ATP работает как с существующими технологиями безопасности Windows на конечных точках, такими как: Windows Defender, AppLocker и Device Guard, так и со сторонними решениями по обеспечению безопасности и антивирусными продуктами.
Device Guard
Device Guard или, чаще встречается термин «белый список ПО», — метод защиты основанный на том, что запускается только разрешенное ПО. Данный метод нуждается в большой предварительной работе.
Перед внедрением данного метода вы должны составить список программного обеспечения (с учетом версий) применяемого в вашей организации. Причем не просто составить список, а составить список, отсортировав его по компьютерам и пользователям. А затем проверить совместимость ПК на возможность настройки на них DG
Увы, но стоит признать, что в большинстве организаций подобный учет попросту отсутствует и никогда не проводился. Подобная инвентаризация занимает много времени и сил.
Кроме того, следует учесть, что сами пользователи не знают какое именно ПО им нужно.
Что такое Device Guard
Device Guard — сочетание корпоративных функций безопасности оборудования и программного обеспечения, которые можно настроить для блокировки устройства, чтобы на нем запускались только доверенные приложения. Если приложение не является доверенным, оно не будет работать ни при каких условиях. Это также означает, что даже если злоумышленник получит контроль над ядром Windows, он с гораздо меньшей вероятностью сможет запустить вредоносный код после перезапуска компьютера вследствие метода принятия решений о том, что и когда может запускаться.
В Windows 10 Корпоративная Device Guard задействует новые меры безопасности на основе виртуализации для изоляции службы целостности кода от самого ядра Microsoft Windows, что позволяет службе использовать сигнатуры, определенные корпоративной политикой для определения надежных объектов. По существу, служба целостности кода работает вместе с ядром в контейнере Windows, защищенном гипервизором.
Как работает Device Guard
Device Guard позволяет операционной системе Windows 10 Корпоративная запускать только код, подписанный доверенными источниками, в соответствии с вашей политикой целостности кода ядра при помощи определенных конфигураций оборудования и безопасности, включая:
- целостность кода пользовательского режима (UMCI);
- новые правила целостности кода ядра, в том числе новые ограничения подписей, установленные лабораториями WHQL;
- безопасную загрузку с ограничениями базы данных (db/dbx);
- безопасность на основе виртуализации для защиты системной памяти, а также приложений и драйверов на основе ядра от возможного взлома;
- дополнительно:доверенный платформенный модуль (TPM) 1.2 или 2.0.
Следует учесть, что так как устройство запускается с использованием безопасной загрузки UEFI, потому программы типа boot-kit и root-kit не смогут запускаться.
После безопасного запуска операционная система Windows 10 Enterprise может запустить службы безопасности на основе Hyper-V. Эти службы обеспечивают защиту ядра системы, не позволяя вредоносному коду запускаться на ранних этапах загрузки или в режиме ядра после запуска.
Требуемое оборудование и программное обеспечение
Перед загрузкой и использованием Device Guard необходимо выполнить следующие требования
| Требование | Описание |
| Windows 10 Enterprise | Компьютер должен работать под управлением ОС Windows 10 Enterprise. |
| Микропрограммное обеспечение UEFI версии 2.3.1 или старше и поддержка безопасной загрузки | Чтобы убедиться, что микропрограммное обеспечение использует UEFI 2.3.1 или более поздней версии и безопасную загрузку, можно выполнить проверку на соответствие требованиям Программы совместимости оборудования для Windows, воспользовавшись следующей ссылкой: System.Fundamentals.Firmware.CS.UE FISecureBoot.ConnectedStandby . |
| Расширения виртуализации |
Для поддержки механизма обеспечения безопасности на основе виртуализации необходимы следующие расширения виртуализации:
|
| Блокировка встроенного ПО. | Необходимо заблокировать настройку встроенного ПО, чтобы не допустить запуска других операционных систем и внесения изменений в параметры UEFI. Кроме того, необходимо заблокировать все остальные методы загрузки, кроме загрузки с жесткого диска. |
| 64-разрядная (64) архитектура | Функции, которые механизм обеспечения безопасности на основе виртуализации использует в низкоуровневой оболочке Windows, могут работать только в 64-разрядных архитектурах. |
| Модуль IOMMU (модуль управления памятью для операций ввода-вывода) VT-d или AMD-Vi | В Windows 10 модуль IOMMU повышает устойчивость системы к атакам на память. ? |
| Процесс безопасного обновления встроенного ПО | Чтобы убедиться, что встроенное ПО поддерживает процесс безопасного обновления, его можно проверить на соответствие требованиям программы совместимости оборудования для Windows, воспользовавшись: System.Fundamentals.Firmware.UEFISecureBoot . |
Действия перед использованием Device Guard в вашей организации
Прежде чем начать использовать Device Guard, необходимо настроить среду и политики.
Подпись приложений
Режим Device Guard поддерживает и приложения UWP, и классические приложения для Windows. Доверие между Device Guard и вашими приложениями устанавливается, когда ваши приложения подписываются с помощью подписи, которую вы определяете, как надежную. Однако подходят не все подписи.
Внимание! Начиная с Windows 10 1703 все приложения, развернутые через SCCM являются доверенными
Подпись ставится следующим образом.
- С помощью процедуры публикации в Магазине Windows.Все приложения в Магазине Microsoft Store автоматически подписываются с помощью специальных подписей, предоставляемых нашим или вашим собственным центром сертификации (ЦС).
- Использование собственного цифрового сертификата или инфраструктуры открытых ключей (PKI).Поставщики услуг Интернета и организации могут сами подписывать свои классические приложения для Windows, добавляя себя в список доверенных источников.
- С помощью заверителя подписи, отличного от Microsoft.Поставщики услуг Интернета и организации могут использовать доверенного заверителя подписи, отличного от Microsoft, чтобы подписывать собственные классические приложения для Windows.
- С помощью веб-службы, предоставляемой Microsoft (выйдет позже в этом году).Поставщики услуг Интернета и организации смогут использовать более надежную, предоставляемую корпорацией Microsoft, веб-службу для подписания своих классических приложений для Windows.
Заключение
Применяя данные технологии, вы сможете снизить вероятность заражения. Вместе с тем хотелось бы отметить, что только комплексный подход обеспечит вам защиту от вредоносного ПО. Надеюсь, что приведенное описание подходов к защите от шифровальщиков подтолкнет вас к более глубокому изучению технологий.
