Jan Pilař MCP MCTS MCSA. Technický konzultant - Modern Desktop

Podobné dokumenty
Moderní IT - jak na Windows a zabezpečení PC. Petr Klement, divize Windows, Microsoft

Jan Pilař Microsoft MCP MCTS MCSA

Jan Pilař VISION DAY Technologický specialista- Modern Desktop

Zabezpečení koncových zařízení vašich uživatelů. Jan Pilař Windows TSP

DIGITÁLNÍ TRANSFORMACE SE STÁVÁ OTÁZKOU PRO CEO

Windows 10 & nové prvky zabezpečení proti novým hrozbám v IT

Petr Vlk KPCS CZ. WUG Days října 2016

ANECT, SOCA a CISCO Cognitive Threat Analytics Breach Detection v praxi

Komentáře CISO týkající se ochrany dat

Placeholder PR Quotes

Rozdělení odpovědnosti za zabezpečení sdíleného cloud prostředí

Zabezpečení infrastruktury

Firemní strategie pro správu mobilních zařízení, bezpečný přístup a ochranu informací. Praha 15. dubna 2015

Defense-in-Depth. Strategie hloubkové ochrany - účinný přístup k ochraně koncových bodů dle kybernetického zákona

Bitdefender GravityZone

300B user authentications each month 1B Windows devices updated. 200B s analyzed for spam and malware. 18B web pages scanned by Bing each month

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

Zajištění bezpečnosti privilegovaných účtů

Zuzana Sobotková, DAQUAS Petr Vlk, KPCS CZ

ANECT, SOCA a bezpečnost aplikací

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

Petr Vlk KPCS CZ. WUG Days října 2016

GUIDELINES FOR CONNECTION TO FTP SERVER TO TRANSFER PRINTING DATA

edice Windows 10 je pro vás nejvhodnější? Firemní prostředí Kancelářské a uživatelské prostředí Správa a nasazení Home Pro Enterprise Education

System Center Operations Manager

Zabezpečení organizace v pohybu

Sběr logů jako predikce bezpečnostních hrozeb v Operations Management Suite

Enterprise Content Management IBM Corporation

Enabling Intelligent Buildings via Smart Sensor Network & Smart Lighting

Intune a možnosti správy koncových zařízení online

Petr Vlk KPCS CZ. WUG Days října 2016

IBM Connections pro firmy s Lotus Notes/Domino. Petr Kunc

Microsoft System Center Configuration Manager Jan Lukele

Kdo jsme Čím se zabýváme Nabídka služeb pro veřejnou správu Ověřeno v praxi u tisíce uživatelů v podnikatelské a bankovní sféře Plně využitelné u

IBM Security. Trusteer Apex. Michal Martínek IBM Corporation IBM Corporation

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Produktové portfolio

ANECT & SOCA. Informační a kybernetická bezpečnost. Víte, co Vám hrozí? Ivan Svoboda Business Development Manager, ANECT

CA Integrated Threat Management. - Michal Opatřil - Consultant - michal.opatril@ca.com

ANECT & SOCA ANECT Security Day

SAP a SUSE - dokonalá symbióza s open source. Martin Zikmund Technical Account Manager

Petr Vlk Project Manager KPCS CZ

Kybernetická rizika velkoměst

Introduction to Navision 4.00 Jaromír Skorkovský, MS., PhD.

Jiří Kadavý Technický specialista pro školství Microsoft Česká republika

Coupon Kaspersky Password Manager free software for windows 7 ]

CZ.1.07/1.5.00/

Brno. 30. května 2014

Obsah&/&Content& Všeobecné)podmínky)(v)češtině)) Terms)and)Conditions)(in)english)) )

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

Daniela Lišková Solution Specialist Windows Client.

Microsoft Lync WEB meeting


TRAPS PRVNÍ SKUTEČNĚ FUNGUJÍCÍ OCHRANA PRO DESKTOPY A SERVERY

Hybridní licencování Microsoft. Martin Albrecht & Jana Chrenová

2000s E-business. 2010s Smarter Planet. Client/Server Internet Big Data & Analytics. Global resources and process excellence

NOVÉ BEZPEČNOSTNÍ HROZBY A JAK SE JIM SPRÁVNĚ BRÁNIT

Licencování a přehled Cloud Suites

Dalibor Kačmář

Správa klientů pomocí Windows Intune

Tomáš Kantůrek. IT Evangelist, Microsoft

Veeam Availability Suite 9.5

Bezpečnostní monitoring v praxi. Watson solution market

AZURE Spolehlivost na prvním místě. Radim Vaněk, Microsoft SSP AZURE & Datacenters

Coupon Kaspersky Small Office Security pc software latest ]

Optimalizace infrastruktury cesta ke kontrole IT. Pavel Salava Specialist Team Unit Lead Microsoft, s.r.o

ICT bezpečnost a její praktická implementace v moderním prostředí

Advanced Endpoint Protection

Nová éra diskových polí IBM Enterprise diskové pole s nízkým TCO! Simon Podepřel, Storage Sales

SenseLab. z / from CeMaS. Otevřené sledování senzorů, ovládání zařízení, nahrávání a přehrávání ve Vaší laboratoři

Mobilní malware na platformě Android Přednáška 2. Ing. Milan Oulehla

Windows 2008 R2 - úvod. Lumír Návrat

ICZ - Sekce Bezpečnost

5 kroků, jak zvýšit bezpečnost uživatelů i dat ve vaší škole

Lukáš Zima Account Technology Speacialist Microsoft - Česká republika

Microsoft Office 365. SharePoint Online novinky a administrace

Potřebujete mít vaše IS ve shodě s legislativou? Bc. Stanislava Birnerová

Základní bezpečnost. Ing. Radomír Orkáč VŠB-TUO, CIT , Ostrava.

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Free Kaspersky Password Manager website to download software for pc ]

Správa a sledování SOA systémů v Oracle SOA Suite

WL-5480USB. Quick Setup Guide

Next-Generation Firewalls a reference

O jedné metodě migrace velkých objemů dat aneb cesta ke snižování nákladů

Windows 10 - jste připraveni? Opravdu?!

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

Efektivní provoz koncových stanic

Kybernetické útoky a podvody Inteligentní detekce a obrana

Řízení privilegovaný účtů

Převezměte kontrolu nad bezpečností sítě s ProCurve

Bc. David Gešvindr MSP MCSA MCTS MCITP MCPD

Kybernetické hrozby - existuje komplexní řešení?

Microsoft 365. Petr Vlk

BEZPEČNOSTNÍ HROZBY 2015

Demilitarizovaná zóna (DMZ)

Správa stanic a uživatelského desktopu

POWERSHELL. Desired State Configuration (DSC) Lukáš Brázda MCT, MCSA, MCSE

Detekce anomálií v síťovém provozu, systémy prevence průniku. Jan Vaněk, IT Security & Business Continuity Services

Úroveň 1: Shromažďování indikátorů, použití Port Mirroring nebo sondy pro zachytávání síťového provozu.

User manual SŘHV Online WEB interface for CUSTOMERS June 2017 version 14 VÍTKOVICE STEEL, a.s. vitkovicesteel.com

Transkript:

Jan Pilař MCP MCTS MCSA Technický konzultant - Modern Desktop Jan.pilar@microsoft.com

Proč je bezpečnost a detekce takové téma? Protože zabezpečení koncové stanice je často stále jen pomocí antiviru Protože ověření identity uživatele je často stále pouze pomocí hesla Protože přišly chytré telefony a data opouštějí společnost a cestují přirozeně Protože uživatelé si hledají cesty jak sdílet data, avšak ty jsou zcela mimo kontrolu IT Protože útočníci používají moderní techniky a ne ty, proti který se bráníte Protože nechcete zažít něco následujícího

Proč je bezpečnost a detekce takové téma? Protože mnohem důležitější je detekce abnormálních aktivit a možnost rychlé reakce A k čemu je detekce bez reakce? 93% napadení proběhne v řádech minut (zdroj: Fidelis) 83% napadení trvá týdny než jsou detekovány a napraveny (zdroj: Fidelis)

4

Time, Intelligence, Detection & Response, Automatization Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, Time, Intelligence, Detection & Response, Automatization, 8

9

10

Zdroj: https://www.respekt.cz/denni-menu/saro-at-si-john-zmeni-heslo-rekonstrukce-jak-rusti-hackeri-vyhrali-trumpovi-volby

Zdroj: http://zpravy.idnes.cz/hackeri-ministerstvo-zahranici-lubomir-zaoralek-fb9-/domaci.aspx?c=a170131_115519_domaci_fer

NEBOJTE SE NELHAT SI

NEBOJTE SE ZMĚNIT PROCES

NEBOJTE SE CLOUDU

NEBOJTE SE UŽIVATELŮ

NEBOJTE SE BÁT SE

Bezpečnostní funkce Windows 7 Ochrana zařízení Obrana proti Ochrana identit Ochrana útokům informací Detekce narušení a ochrana Preventivní ochrana Reaktivní ochrana

Windows 10 Professional Bezpečnostní funkce Ochrana zařízení Obrana proti Ochrana identit Ochrana útokům informací Detekce narušení a ochrana Preventivní ochrana Reaktivní ochrana

Windows 10 Enterprise E3 Bezpečnostní funkce Ochrana zařízení Obrana proti Ochrana identit Ochrana útokům informací Detekce narušení a ochrana Preventivní ochrana Reaktivní ochrana

Windows 10 Enterprise E5 Bezpečnostní funkce Ochrana zařízení Obrana proti Ochrana identit Ochrana útokům informací Detekce narušení a ochrana Preventivní ochrana Reaktivní ochrana

Den PC Windows Defender AV Prevence proti malware (EPP) Bezpečný start PC Bezpečná práce s PC Bezpečná práce s informacemi Leads Vypnuté nebo startující PC Ověření uživatele Opportunities a spouštění programů Přístup k souborům Agreement a informacím Windows Create Bitlocker Qualify & Trusted 0% Leads Boot MBAM 10% Lead Windows Hello for Develop WD System Present Guard WD Antivirus + Business 20% & WD Prove Value Strategy & 40% Applocker Value Exploit 60% Guard Credential Guard Windows Negotiate Information Drive 80% WD Protection Terms PostApplication Guard Consumption Windows Defender ATP detekce a řešení trvalých a sofistikovaných hrozeb (EDR)

Windows Trusted Boot

Threat Overview Windows 10 Device Protection Device Health & Conditional Access Device Management Threat Mitigation How does it work Windows 10 Changes Considerations

Threat Overview Windows 10 Device Protection Device Health & Conditional Access Device Management Threat Mitigation How does it work Early Launch Anti-Malware (ELAM)

Security Baseline

Threat Overview Windows 10 Device Protection Device Health & Conditional Access Device Management Overview Scenarios Windows 10 Investments Security Compliance Manager Major Changes in 1607

Windows Bitlocker

Threat Overview Windows 10 Device Protection Device Health & Conditional Access Device Management Overview Recommendations

Threat Overview Windows 10 Device Protection Device Health & Conditional Access Device Management XTS-AES encryption algorithm New Group Policy for configuring preboot recovery Encrypt and recover your device with Azure Active Directory

Threat Overview Windows 10 Device Protection Device Health & Conditional Access Device Management Capability BitLocker + Active Directory Environment MBAM + BitLocker Environment Key Escrow X X Key Recovery X X Policy Application X X Advanced Compliance Reporting Key Recovery Auditing TPM Enablement/Deployment Self Service Key Recovery X X X X

Local Administrator Password Solution

Threat Overview Windows 10 Device Protection Device Health & Conditional Access Device Management Threat Threat Actor steals same administrative local account and password combination, and conducts lateral movement across the servers and workstations on premises. Local Administrator Password Solution (LAPS) provides a streamlined approach to: Mitigation Provide different random password on each machine. Centrally store secrets in existing infrastructure - Active Directory (AD). Control access through AD ACL permissions. Transmit encrypted passwords from client to AD (using Kerberos encryption, AES cypher by default). Security Configuration Option Random password that automatically regularly changes on managed machines. Effective mitigation of Pass-the-hash attack. Password is protected during the transport through Kerberos encryption. Password is protected in AD by AD ACL, so granular security model can be easily implemented. Name of local account to manage How often to change Length and complexity

Device Guard & Applocker Oblast: Ochrana zařízení 40

Proč vás to má zajímat Žádná opravdová antimalware strategie se neobejde bez nástroje na omezení spouštění software Protože chcete zajistit, aby se v rámci organizace nespouštěly programy, které nejsou licencovány Protože chcete zajistit, že se budou spouštět pouze takové verze program, které jsou otestované a schválené IT

Windows Defender Exploit Guard

Demo: Control Execution Blocking fileless based attacks with Windows Defender Exploit Guard

Recovery

Rob Lefferts Rob Lefferts

Rob Lefferts Rob Lefferts

Rob Lefferts Rob Lefferts Are you sure you want to restore your OneDrive? Restoring your OneDrive to 8/12/2017 3:49:02 PM will revert 2300 changes. Restore Cancel

Rob Lefferts Rob Lefferts

Rob Lefferts Rob Lefferts

Rob Lefferts Rob Lefferts

Rob Lefferts Rob Lefferts Restoring your OneDrive Restore completed. View the report.

Rob Lefferts Rob Lefferts View previous restores These are all the instances where you have rolled back your OneDrive to a previous state. Note that all files created before that point will now be in the Recycle Bin. 8/12/2017 3:49:01 PM 2300 changes reverted View the full report

Windows Defender Smart Screen

Threat Overview Windows 10 Device Protection Device Health & Conditional Access Device Management Threat Microsoft SmartScreen Phishing and malware filtering technology for Internet Explorer 11 and Microsoft Edge in Windows 10. Mitigation URL Reputation Checks Application Reputation Protection Phishing Attacks Social Engineered Malware Deceptive Advertisements Support Scams Drive-by Attacks

Threat Overview Windows 10 Device Protection Device Health & Conditional Access Device Management http://demo.smartscreen.msft.net/

68 Windows Defender Application Guard Oblast: Ochrana prohlížeče

SINGLE BREACH E XPOSES ALL ASSETS DUBROVNIK, CROATIA 2016 DigitalGlobe, 2016 HERE

C R I T I C A L A S S E T S S E PA R AT E D A N D P R OT E C T E D CARCASSONNE, FRANCE 2016 HERE

Bezpečnost Microsoft Edge Application Guard for Microsoft Edge Blokuje přístup do paměti Blokuje přístup k místním diskům Blokuje přístup k instalovaným programům Blokuje přístup k ostatním endpointům na síti organizace a dalším potenciálně zajímavým zdrojům pro útočníka Edge v mikrovirtualizaci nemá přístup k žádným uloženým pověřením na počítači

HARDWARE ISOLATION OF MICROSOFT EDGE WITH WINDOWS DEFENDER APPLICATION GUARD Microsoft Edge Apps Windows Platform Services Windows Platform Services Critical System Processes Kernel Windows Defender Application Guard Kernel Operating System Kernel Windows Defender System Guard Device Hardware Hypervisor

Demo: Threat Isolation Blocking malware and hacking threats with hardware based isolation

Windows + Azure Information Protection

Proč vás to má zajímat Na mobilu používáme fotky a přistupujeme k emailu, že? A na počítači? Tam taky A kupříkladu ty fotky jsou soukromé a naopak email pracovní Uživatelé jsou již zvyklí sdílet data, mnohdy není připravená organizace a data končí na veřejných uložištích 87% senior manažerů přiznává, že běžně nahrávají pracovní soubory do osobních emailových účtů nebo soukromých cloud účtů (Dropbox, uschovna.cz ) 58% omylem poslalo citlivé informace špatné osobě

Firemní aplikace a data (spravované) Skype pro firmy E-mail Facebook OneDrive for Business Kontakty WhatsApp Soukromé aplikace a data (nespravované) LOB aplikace Kalendář OneDrive PDF čtečka Fotky Angry Birds Ostatní Ostatní Ostatní Výměna dat je pod kontrolou

Windows Defender Antivirus

Windows Defender Advanced Threat Protection

Combined Microsoft Stack: Combined Microsoft Stack: Maximize detection coverage throughout the attack stages Maximize detection coverage throughout the attack stages User receives an email Open an attachment Click on a URL Exploitation of the end point Installation C&C channel Persistency Privilege escalation Reconnaissance Lateral movement Access to shared resources Office 365 ATP Email protection Windows ATP End Point protection ATA User protection http:// User browses to a website User runs a program

Windows Defender Advanced Threat Protection Detekce pokročilých útoků a speciálních průniků Integrováno ve Windows 10 Žádný další deployment a infrastruktura. Průběžně aktualizované, nižší náklady. Zkoumá chování, detekce podporovaná cloudem Korelovaná upozornění na známé i neznámé soupeře Real-time a historická data. Bohatá časová osa pro zkoumání Jednoduše pochopitelný rozsah průniku. Data napříč koncovými zařízeními. Hluboká souborová a URL analýza. Unikátní threat intelligence znalostní báze Optika na hrozby poskytovaná díky vlastním informacím i od třetích stran Odpověď přímo na Windows stacku Bohatý SOC set nástrojů od zásahu proti konkrétní stanici tak blacklisting napříč zařízeními i soubory

High Level Architecture Always-on endpoint behavioral sensors Forensic collection SecOps console Exploration Alerts Response Security analytics Behavioral IOAs Dictionary Known adversaries unknown Files and URLs detonation Customers' Windows Defender ATP tenant Threat Intelligence from partnerships Threat Intelligence by Microsoft hunters SIEM / central UX SIEM Windows APT Hunters, MCS Cyber

Tenants Architecture WDATP Global Processing IOA / IOC updates Microsoft Security Graph 3 rd Party TI WDATP GEO1 UX Telemetry Processing APT Detection Command and Control Samples Gathering Detonation Redundant GEO Scale Unit Cyber Events Command & Control Organization N Organization N Organization N v Organization N Obfuscated Cibber Data processing from cross org detection Central Scale Unit WDATP GEO2 UX Telemetry Processing APT Detection Command and Control Samples Gathering Detonation Cyber Events Command & Control Organization N Organization N Organization N v Organization N Redundant GEO Scale Unit

Key Components

ATP Windows 10 Sensors Defender ATP requires Windows 10 Anniversary Edition (RS1/1607+) Defender ATP respond requires Windows 10 Creators Update (RS2/1703+) Windows 10 clients use built-in sensors to report events: Sensors are run as a Protected Process (isolates nontrusted processes from each other and from sensitive operating system components) Communication is Secure Sockets Layer (SSL)-encrypted and protected from tampering (cert pinning) On average, Win10 sensors report an average of 2MB per day (per PC)

Cloud Analytics Cloud analytics is composed of: Activity patterns of processes (both user and system) Known suspicious behavior of applications (for example, Word.exe drops an executable) Client sensor data analyzed against Microsoft s Intelligent Security Graph fed by hunters, consumer and enterprise services, and > 1 billion Windows endpoints, to identify malicious behaviors and attacks (IOCs and IOAs)

Indicators Of Compromise (IOCs) Monitoring What (who) we know Threat Intelligence database of known adversary and campaign IOCs 15 COVER 81 SERVICE 96 TOTAL V-Team CHLORINE STRONTIUM Up and Running CARBON GOLD HELIUM ZINC LEAD KRYPTON TECHNETIUM BORON DUBNIUM SCANDIUM YTTRIUM PLATINUM IODINE

INDICATIONS OF ATTACK (IOAS) Monitoring What (whom) we don t recognize yet Generic IOA Dictionary of attack-stage behaviors, tools, and techniques

Defender ATP & Antivirus ATP portal provides integration with Defender anti-virus (AV) No conflicts with 3 rd party AVs Defender AV should not be totally disabled Passive state when 3 rd party AV is used ATP can turn-on Defender AV temporarily to perform response actions

Integration with Other Systems FireEye isight threat intelligence integration Security Information and Event Management (SIEM) integration with Security Operations Software (SOC) tools (For example, ArcSight, Splunk) Email based alert notification Office 365 ATP and Advanced Threat Analytics (ATA) integration

CO JE NOVÉHO NYNÍ V FALL CREATORS UPDATE Reakce Izolování napadené stanice Sběr forensních dat Zastavení & vyčištění běžících procesů / souborů Blokování spustitelného souboru (vyžaduje WD-AV) Spuštění AV testu na dálku Zabránění spouštění aplikací mimo MS Automatické šetření a reakce! (v privátním preview) Rozšířená detekce Vylepšení senzoru útoky na pamět a kernel a reponse Vlastní TI krmivo popis/anatomie útoku 3 rd party TI krmivo FireEye isight Threat Intelligence Integrace napříč Microsoft security stackem Zobrazuje Windows Defender Antivirus a Device Guard události v Windows Security Center Office365 ATP integrace Azure ATP integrace (v privátním preview) Vylepšení vyšetřování změny dle ohlasu uživatelů Uživatelský pohled Výrazně lepší graf a strom popisující útok Virus-total integrace

ROADMAP PLATFORM Zřízení služby WD ATP

Intelligent security: Anti-ransomware Windows Defender System Guard Integrované funkce Windows 10 Windows Defender Application Guard Windows Defender Exploit Guard Windows Defender Application Control Windows Defender Antivirus Windows Defender Credential Guard Windows Defender Advanced Threat Protection (ATP)

102

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář