Endpoint Protection?

Microsofts antimalware heter Defender och är inbyggt i både server och klientversionen av Windows. Se till att ha den senaste versionen för att få mest funktionalitet. Det finns bland annat kraftfulla skydd mot Ransomware  och annan skadlig kod både som förhindrar attacker och skyddar känslig information.

System attackeras dock idag utan att ens nyttja någon skadlig kod, istället används legitima verktyg för att komma åt sårbarheter eller manipulera användaren för att på sätt komma åt enheten/identiteten eller informationen. Det gör också att ett traditionellt antivirus inte heller har någon möjlighet att detektera attacken. Ett signaturbaserat antivirus har sedan länge varit relativt maktlöst mot mer sofistikerade attacker och dess skadliga kod.

En annan utmaning är att utreda hur en eventuell virusattack eller ett intrång har startat för att på så sätt identifiera brister i mjukvara och användarutiner. Vissa kritiska enheter behöver återställas så snart som möjligt och försvårar på så sätt även en utredning.

Så gott som alla antivirusleverantörer samlar in anonym data för att bli bättre på att identifiera skadlig kod, skillnaden med Microsoft är att de även får in anonym information från över en miljard Windows-enheter, där bland annat SmartScreen-filtret indexerat 2.5 biljoner URLer och dagligen scannar över en miljon suspekta filer.

Tack vare big data och machine learning finns det idag tekniker för att detektera onormalheter och identifiera mönster som kan vara tecken på en attack. Genom att identifiera ett normalt beteende, allt ifrån tidpunkt för inloggningar och mot vilka system, till vilka programvaror som används, identifierar Microsofts intelligenta analystjänst onormalheter. Vi har redan den här typen av beteendebaserat identifiering i Advanced Threat Analytics (ATA) men vi har även ett liknande skydd i Windows 10.

Tjänsten heter Windows Defender Advanced Threat Protection (ATP) är nu inbyggd i Windows 10. Även Windows Server från server 2012 R2 är supporterat att ansluta till Defender ATP.

Tjänsten består av fyra olika delar för att detektera attacker och spåra intrång

  • Beteendebaserad sensor som loggar relevanta event och beteenden på klienten.
  • Molnbaserat ”big data”-tjänst som analyserar event och händelser baserat på tidigare erfarenhet och dynamiskt uppdaterad information om kända attacker. Det här kan vara allt ifrån kända filer, URLer, IP-adresser, var och när något skrivs till registret med mera.
  • Ett säkerhetsteam från bland annat Microsoft som 24/7 utreder och detekterar nya beteenden och mönster i de fall som den mänskliga faktorn behöver komplettera skyddet.

Resultaten presenteras sedan i en ATP-portal. Den här portalen redovisar och larmar om kritiska händelser på dina enheter.

Resultaten presenteras sedan i en ATP-portal. Den här portalen redovisar och larmar om kritiska händelser på dina enheter.

 

image

Defender ATP är inaktiverat som standard och vid aktivering konfigureras klienten antingen via MDM, GPO eller manuellt. Relevant data överförs krypterat till organisationens tenant och ger möjlighet att identifiera händelser som sker på en eller flera av verksamhetens enheter, så som virusutbrott eller intrång.

Finns det mer detaljer om en typ av attack som är känd sedan tidigare redovisas även en full rapport på den unika attacken.
Portalen kan även användas under en utredning (forensics) för att ta reda på vad som hänt med en typ av enhet som blivit exempelvis infekterad eller nyttjad under ett intrång.

image

Behöver en specifik fil eller program utredas djupare kan vi dels se hur känd den här filen är och om den förekommer på andra datorer inom vår organisation eller övriga enheter runt om i världen. Man kan även göra en utredning i en helt isolerad miljö för en fil för att få detaljer där det redovisas i detalj vilken påverkan filen har på ett system, var den skriver hur den kommunicerar med mera.

Den här möjligheten har flera säkerhetsavdelningar efterfrågat sedan länge och med tanke på rådande hotbild är det den här typen av skydd som behövs.

image   image
Två exempel med en känd fil (eicar AV-testfil) och okänd fil

Annonser

En kommentar till Endpoint Protection?

  1. Anders skriver:

    Hej Micke

    Jo, FEP kan hantera Rootkits men teknikerna bakom är ingenting som Microsoft, eller någon annan A/V leverantör på marknaden för den delen i heller, bloggar om på detaljnivå. De flesta rootkits idag är faktiskt väldigt beroende av operativsystemet så därmed finns flera olika tekniker i FEP som både kan identifiera och även rensa bort vissa typer av rootkits. Just att rensa skadlig kod som hakar sig på en djup nivå kan dock ibland vara väldigt komplex och då är det en off-line åtgärd som krävs. En sådan scanner finns att ladda ner (för närvarande en beta release) här http://connect.microsoft.com/systemsweeper

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut /  Ändra )

Google+-foto

Du kommenterar med ditt Google+-konto. Logga ut /  Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut /  Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut /  Ändra )

w

Ansluter till %s