Logelemzést kombinál vírusirtóval az új Microsoft-megoldás
Új, kliensoldali védekezésre kihegyezett előfizetős biztonsági szolgáltatást jelentett be a Microsoft. A Windows 10-re épülő megoldás mélységi védelmet nyújt, amit felhős malware-elemzés és naplófájl-analitika tesz teljessé.
Új előfizetős biztonsági szolgáltatást jelentett be a Microsoft. A Windows Defender Advanced Threat Protection (WDATP) kimondottan vállalatoknak szól, a rendszer lényegét pedig a mögé tett komplex felhős analitikai platform adja. A gyakorlatban a szolgáltatás a hagyományos antivírus funkciókat egy logelemző motorral fejeli meg, amely képes a komplex támadásokat is időben észlelni és riasztani - legalábbis a vállalat szerint.
Az új megoldás a Windows Defender márkát használja, de a hagyományos vírusvédelemhez képest számos új képességet kínál az előfizetőknek. A legfontosabb különbség, hogy a WDATP nem csak passzív védelem, tehát nem kizárólag preventíven akarja megakadályozni a sikeres behatolást, hanem aktív, mélységi védelemként a sikeres behatolást követően igyekszik minél hamarabb észlelni és riasztani, mielőtt a támadó komoly erőforrásokhoz szerezne hozzáférést.
Felhőben a kraft
A WDATP tehát szolgáltatás formájában vezető igénybe, amelyet kimondottan vállalati ügyfeleknek szán a Microsoft és kizárólag Windows 10-en érhető el. A cég blogbejegyzése szerint a WDATP "kombinálja a Windows 10-be épített kliensoldali technológiát és az ütős felhős szolgáltatást, így segít észlelni azokat a fenyegetéseket, amelyek átjutottak a többi védelmi vonalon". A rendszer nem csak riasztást nyújt természetesen, hanem a feltételezett behatolás részleteiről is értesíti az üzemeltetői csapatot, így az elhárítás gyors és hatékony lehet.
A cég saját adatai szerint egy biztonsági incidens átlagosan mintegy 200 napig marad észrevétlenül, majd további 80 napig tart a takarítás, vagyis a támadás tulajdonképpeni elhárítása. Ez azt jelenti, hogy sikeres támadás esetén (átlagosan) több, mint 9 hónapig szabadon garázdálkodhatnak a támadók. A fenti adatok fényében bizony lehet piaca a WDATP-nek, kérdés, hogy a szolgáltatás üzenetét hogyan fogadja majd a megcélozott ügyfélkör.
Hogyan működik?
A Microsoft szerint a WDATP hozzáadott értékét a mögé állított komplex felhős infrastruktúra adja. A rendszer a passzív védelemben is szerepet játszik, a milliárdnyi windowsos PC-ről összegyűjtött anonim biztonsági információhalmaz, a Bing által folyamatosan indexelt billiónyi URL és a felhős sandboxolt környezetben vizsgált napi egymillió állomány vizsgálata nyomán hatékonyabb a malware-védelem.
De az igazi újdonság a logelemző megoldás. A rendszer folyamatosan naplózza a kliensek állapotát és aktivitását, amelyből bizonyos időszakon belül meg tudja határozni egy viselkedési mintát. Amennyiben a gép ettől igen látványosan eltér - például a prezentációra használt laptop hirtelen komplex PowerShell-szkripteket kezd futtatni és nagy mennyiségben tölt le állományokat a központi SharePoint szerverről, a szolgáltatás automatikusan riasztani tudja az üzemeltetőket. Ha valahonnan ismerős ez a megközelítés, az nem véletlen, a magyar Balabit által fejlesztett Blindspotter pont erre a logikára épül - nem véletlenül, hiszen a cég fő kompetenciája pont a logelemzés.
A kliensek állapotára és aktivitására vonatkozó naplófájlokat fél évre visszamenőleg vizsgálhatóvá teszi a WDATP, olyan részletekkel, mint a futó folyamatok (processek), megnyitott állományok és URL-ek, indított hálózati kapcsolatok. A nyers naplófájlokkal szerencsére nem az üzemeltetőnek kell bűvészkednie, a rendszer beépített eszközöket kínál az elemzéshez, amellyel egyes kliensek, vagy akár a teljes vállalati hálózat is egyszerre vizsgálható, így könnyebben rekonstruálható a támadás.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A Microsoft szerint a WDATP nagyszerűen illeszkedik a cég két másik biztonsági megoldása, az Office 365 Advanced Threat Protection és a Microsoft Advanced Threat Analytics mellé. Ezt a két IT-biztonsági rendszert is hasonló támadások ellen fejleszti a Microsoft, és a WDATP-vel együtt ezek is az új generációs célzott behatolási kísérletek ellen szállnak harcba, de különböző frontokon. Míg a WDATP kimondottan a kliensoldali védelmet célozza, az ATA a céges hálózat és a kiszolgálók védelméért felel, míg az O365 ATP az emailen érkező támadások elhárítására szolgál.
A bejelentés szerint a Microsoft már egy ideje használja a WDATP-t a saját rendszerén, nemrég pedig néhány nagyobb partner is elkezdte tesztelni a megoldást. A rendszer várhatóan a Windows 10 következő "Redstone" előzetesével válik szélesebb körben is tesztelhetővé az év folyamán. A kereskedelmi rajtról (és az árakról) a cég egyelőre nem nyilatkozik, de várhatóan egy éven belül esedékes lehet.