SlideShare ist ein Scribd-Unternehmen logo
1 von 138
Alexander Benoit
Alexander.Benoit@sepago.de
http://it-pirate.com/
Fabio Gondorf
Fabio.Gondorf@sepago.de
www.trustintech.eu
www.sepago.de
Windows Defender
App-V
Azure Information Protection
Advanced Threat Analytics
Multi-Faktor
Access
Bitlocker
Active Directory Best Practices
2016:
Phishing-Angriff auf Clinton-
Kampagne
Ergebnis:
50,000 E-Mails landen auf
Wikileaks…
…was den Ausgang der Wahl
möglicherweise beeinflusst hat
2016:
Phishing-Angriff auf Clinton-
Kampagne
Ergebnis:
50,000 E-Mails landen auf
Wikileaks…
…was den Ausgang der Wahl
möglicherweise beeinflusst hat
John Podesta (DNC)
Chairman bei der Clinton-
Kampagne
Er war maßgeblich für den
DNC-Leak verantwortlich
Phishing scheinbar durch
Tippfehler verursacht
E-Mail selbst gehostet
Keine Sicherheit / MFA
Keine Verschlüsselung
Malicious Attachment Execution
Browser or Doc Exploit Execution
Stolen Credential Use
Internet Service Compromise
Kernel-mode Malware
Kernel Exploits
Pass-the-Hash
Malicious Attachment Delivery
Browser or Doc Exploit Delivery
Phishing Attacks
ATTACK
ESPIONAGE, LOSS OF IPDATA THEFT RANSOMLOST PRODUCTIVITYBUSINESS DISRUPTION
ENTER
ESTABLISH
EXPAND
ENDGAME
NETWORK
DEVICE
USER
Users know exactly when devices are set up for work
SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennung:
Untersuchung und
Reaktion
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
DER WINDOWS 10-SICHERHEITSSTACK
On-Premises
Cloud
Windows 10
Enterprise
Device
Windows 10 Defense Stack & Supporting Technologies
Windows Hello for Business
Windows
Information
Protection
Windows
Defender
Credential
Guard
Advanced Threat Analytics Microsoft Bitlocker
Administration &
Management
Windows Defender
Advanced Threat Protection
Device
Guard
KMCI
Bitlocker
AppLocker
Health
Attestation
User
Account
Control
Active Directory
Active Directory
Federation Services
Device
Guard
UMCI
Azure Active Directory
Device Identity Data Application
EFS
Windows Server 2012
AD RMS FCI
Azure RMS / Azure
Information Protection
SmartScreen
Conditional
Access
Security Baseline
POST-BREACHPRE-BREACH
Breach detection
investigation &
response
Device
protection
Identity
protection
Information
protection
Threat
resistance
Bedrohungsschutz
über die Zeit
Angreifer nutzen die Zeit
zwischen den Releases aus
P R O D U K T -
V E R F Ü G B A R K E I T
B E D R O H U N G S -
R A F I N E S S E
Z E I T
FAÄHIGKEITEN
Änderungen mit
Windows und Software
as a Services
Angriffsszenarien werden
durch permanente Innovation
zerstört
Schutzlücke
Vulnerabilities are increasing while evidence of actual exploits is decreasing due to mitigation investments
UMFASSENDER SCHUTZ VOR BEDROHUNGEN
Extern
Intern
SmartScreen Windows-Firewall
Device GuardWindows Defender
Office ATP
Microsoft Edge mit
Application Guard
Biometrische Sensoren
Virtualisierung
Kryptographische
Verarbeitung
Integrität der Geräte
SCHUTZ VON GERÄTEN
ROOTS OF TRUST-SICHERHEIT
(Upgraded from Windows 7 or 32-bit Windows 8)
POST-BREACHPRE-BREACH
Breach detection
investigation &
response
Device
protection
Identity
protection
Information
protection
Threat
resistance
(Fresh Install or upgraded from 64-bit Windows 8)
POST-BREACHPRE-BREACH
Breach detection
investigation &
response
Device
protection
Identity
protection
Information
protection
Threat
resistance
Trusted Platform Module (TPM)
Threat
Windows 10
Investments
Mitigation
Windows 10
Changes
UEFI Secure Boot
Threat
Windows 10
Changes
Mitigation
Considerations
How does it
work
Kernel Mode Code Integrity in Device Guard
UEFI Secure Boot KMCIPlatform Secure Boot UMCI AppLocker
Threat
Mitigation
Note
ROM/Fuses Bootloaders Native UEFI
Windows
OS Loader
Windows
Kernel, Boot
Drivers,
System Files
ELAM, AV
Driver, and
3rd Party
Drivers
User mode code (apps,
etc.)
0
2
4
6
8
10
12
14
16
2008 2009 2010 2011 2012 2013 2014 2015 2016
2 1
6
5
14
55
6
12
Sicherheitsinnovationen:
Den bösen Buben das Leben schwerer machen
No mitigations
• DEP
• /GS
• SafeSEH
• Heap hardening v1
• ASLR v1
• SEHOP
• Heap hardening v2
• ASLR v2
• Kernel SMEP &
DEP
• Heap hardening v3
• CFG
• HVCI
• EMET
Exploitation was not
inhibited
• Data can’t be
executed as code
• Protection for stack
buffers, exception
chains, and heap
metadata
• Memory layout is
randomized
• Improved
protection for
exception chains
and heap metadata
• Improved memory
layout
randomization
• Improved
protection for heap
metadata & buffers
• Only valid
functions can be
called indirectly
• Kernel Mode
secured
• EMET functionality
getting integrated
© 2016 DigitalGlobe, © 2016 HERE
DUBROVNIK, KROATIEN
EIN EINZIGER EINBRUCH KOMPROMITTIERT ALLE
KOMPONENTEN
© 2016 HERE
CARCASSONNE,
FRANKREICH
WICHTIGE KOMPONENTEN SIND GETRENNT UND
GESCHÜTZT
TRADITIONELLER PLATTFORM-STACK
Gerätehardware
Kernel
Windows Platform Services
Apps
VIRTUALISIERUNGSBASIERTE SICHERHEIT
WINDOWS 10
Kernel
Windows Platform
Services
Apps
Kernel
SystemContainer
TrustletNr.1
TrustletNr.2
TrustletNr.3
Hypervisor
Gerätehardware
Windows-Betriebssystem
Hyper-VHyper-V
VIRTUALISIERUNGSBASIERTE SICHERHEIT
PREVIEW 2016 RTM 2017
Hypervisor
Gerätehardware
Kernel
Apps
Windows Platform
Services
Kernel
Windows Platform
Services
Microsoft Edge
Kernel
SystemContainer
Wichtige Systemprozesse
AppContainer Windows-Betriebssystem
Hyper-V Hyper-V
Hypervisor
VIRTUALISIERUNGSBASIERTE SICHERHEIT NACH 2017
Gerätehardware
Windows Platform
Services
Windows Platform
Services
SystemContainer
KernelKernel Kernel
Wichtige Systemprozesse
Apps
AppContainer Windows-Betriebssystem
Hyper-V Hyper-V
Virtualization Based Security
Overview
Feature Configuration Options
Kernel
Windows Platform
Services
Apps
Kernel
SystemContainer
Trustlet#1
Trustlet#3
Hypervisor
Device
Hardware
Isolated
LSA
DER WINDOWS 10-SICHERHEITSSTACK
SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Windows Defender
ATP
Einbruchserkennun
g: Untersuchung
und Reaktion
Schutz von
Geräten
Integritätsnachweis
Device Guard
Gerätesteuerung
Sicherheitsrichtlinien
Schutz von
Informationen
Geräteschutz/Laufw
erksverschlüsselung
Windows
Information
Protection
Bedingter Zugriff
Absicherung
gegen
Bedrohungen
SmartScreen
AppLocker
Device Guard
Windows Defender
Netzwerk/Firewall
Integrierte
zweistufige
Authentifizierung
Kontosperrung
Überwachung von
Anmeldeinfor
Schutz der
Identitäten
Einbruchserkennung:
Untersuchung und
Reaktion
Schutz von
Geräten
Schutz von
Informationen
Absicherung
gegen
Bedrohungen
Bedingter Zugriff
Windows Defender
ATP
Integrität der Geräte
Gerätesteuerung
BitLocker und
BitLocker to Go
Windows
Information
Protection
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Threat
Microsoft SmartScreen
Phishing and malware filtering technology for Internet
Explorer 11 and Microsoft Edge in Windows 10.
 URL Reputation Checks
 Application Reputation Protection
 Phishing Attacks
 Social Engineered Malware
 Deceptive Advertisements
 Support Scams
 Drive-by Attacks
Mitigation
http://demo.smartscreen.msft.net/
• The Windows Defender SmartScreen provides an early warning system to notify users of suspicious
websites that could be engaging in phishing attacks or distributing malware through a socially
engineered attack.
• Windows Defender SmartScreen is one of the multiple layers of defense in the anti-phishing and
malware protection strategies
Check
downloaded
files Windows Defender
Cloud Protection
Click!
Attacker
Generate new
malware file
Send file
metadata
Evaluate
metadata
Verdict: Malware – Block!
Malware Block!
Including Machine Learning,
proximity, lookup heuristics
Command & Control
User
Block at first
sight
support in
Microsoft
Edge
Number of exploited
web browser CVEs
Number of days with known
zero day exploit in the wild
Number of Vulnerabilities
(CVEs) by web browser
MICROSOFT EDGE: ENTWICKLUNG EINES
SICHEREREN BROWSERS
Die grundlegend verbesserte Sicherheit sorgt für eine vertrauenswürdigere Nutzung des Internets unter Windows 10
SCHUTZ DER BENUTZER
(SmartScreen)
(Microsoft Passport und Windows Hello)
(Cert. Reputation, EdgeHTML, W3C Content Security Policy,
HTTP Strict Transport Security)
SCHUTZ DES BROWSERS
www
Neues
(Universelle Windows-Plattform)
(Windows Address Space Layout Randomization auf 64-Bit-Systemen)
(MemGC)
(Control Flow Guard)
MICROSOFT EDGE SICHERHEITSVERBESSERUNGEN
 Microsoft Edge und Flash
haben keinen Vollzugriff auf
win32k.sys—API-Aufrufe
werden gefiltert
 Nur 40 % der Schnittstellen
stehen Flash und Edge zur
Verfügung – dies verringert
die Angriffsfläche
Win32k.sys
Flash Host-Prozess
Edge Content-Prozess
Vorher – Vollzugriff auf Win32.sys
Microsoft Edge Windows Kernel
Blockierte Win32k.sys-Schnittstellen
Zulässige Win32k.sys-Schnittstellen
Flash Host-Prozess
Edge Content-Prozess
Heute – 60 % weniger Schnittstellen verfügbar
Microsoft Edge Windows Kernel
 Der Flash-Player hat jetzt
seinen eigenen AppContainer
 Der Flash-Player wurde für
einen besseren Speicherschutz
gehärtet
HARDWARE ISOLIERUNG MIT
WINDOWS DEFENDER APPLICATION GUARD
 Verschiebt Browsersitzungen
in eine isolierte, virtualisierte
Umgebung
 Sorgt für einen erheblich
besseren Schutz und härtet
den beliebtesten Zugang von
Angreifern
 Veröffentlicht in Windows 10
Fall Creators Update (1709)
Hypervisor
Gerätehardware
Kernel
Windows Platform
Services
Apps
Kernel
Windows
Platform Services
Microsoft Edge
SystemContainer
Kernel
Wichtige
Systemprozesse
AppContainer Windows-Betriebssystem
Hyper-V Hyper-V
Today’s Challenge
APPS
DEVICE GUARD
Windows-Desktops können für die
ausschließliche Ausführung von
vertrauenswürdigen Apps abgesichert werden
(vergleichbar mit mobilen Betriebssystemen
wie Windows Phone)
Unterstützt alle Apps inkl. Universal- Desktop-
Apps (Win32).
Nicht vertrauenswürdige Apps und
ausführbare Dateien wie Malware können
nicht gestartet werden
Die Apps müssen vom Microsoft-
Signierungsdienst signiert werden. Keine
weiteren Modifikationen erforderlich.
Hardwarebasierte App-Kontrolle
erstellen Audit Mode
Golden Client
Golden Policy
Default Client
Root CA
Finale Policy
bestehend
aus Golden
Policy + Audit
Policy
Windows Store for Business
Code Integrity Policy
Kernel Mode Code Integrity in Device Guard
UEFI Secure Boot KMCIPlatform Secure Boot UMCI AppLocker
Threat
Mitigation
Note
ROM/Fuses Bootloaders Native UEFI
Windows
OS Loader
Windows
Kernel, Boot
Drivers,
System Files
ELAM, AV
Driver, and
3rd Party
Drivers
User mode code (apps,
etc.)
Overview
Application
Signing Options
 Download default Device Guard configurable CI policy.
 Catalog signing with enterprise-specific, unique keys.
 Available to OEMs, IHV, ISVs, and Enterprises.
Code Integrity
Policy
Requirements
SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennung:
Untersuchung und
Reaktion
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Windows Hello
Credential Guard
Schutz der
Identitäten
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
DER WINDOWS 10-SICHERHEITSSTACK
MODERNE SICHERHEITSHERAUSFORDERUNGEN:
PASS THE HASH-ANGRIFFE
Pass the Hash-Angriffe haben sich von einer
theoretischen zu einer ganz konkreten Bedrohung
entwickelt
Sie ermöglichen einem Angreifer über gängige
Hacking-Tools wie MimiKatz,
Benutzeranmeldeinformationen zu entwenden
Danach kann ein Angreifer häufig weitere
abgeleitete Anmeldeinformationen entwenden und
sich im Netzwerk bewegen
Der Angreifer kann sich häufig auch bei einer
Entdeckung im Netzwerk halten, indem er von
einer Identität zur nächsten wechselt
Credential Guard
• Credential Guard isolates secrets that previous versions of Windows stored in the Local Security
Authority (LSA) by using virtualization-based security.
• The LSA process in the operating system talks to the isolated LSA by using remote procedure calls.
• Data stored by using VBS is not accessible to the rest of the operating system.
• This prevents Pass-the-Hash and Pass-the-Ticket attacks
DER WINDOWS 10-SICHERHEITSSTACK
SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Windows Defender
ATP
Einbruchserkennun
g: Untersuchung
und Reaktion
Schutz von
Geräten
Integritätsnachweis
Device Guard
Gerätesteuerung
Sicherheitsrichtlinien
Schutz von
Informationen
Geräteschutz/Laufw
erksverschlüsselung
Windows
Information
Protection
Bedingter Zugriff
Absicherung
gegen
Bedrohungen
SmartScreen
AppLocker
Device Guard
Windows Defender
Netzwerk/Firewall
Integrierte
zweistufige
Authentifizierung
Kontosperrung
Überwachung von
Anmeldeinfor
Schutz der
Identitäten
Einbruchserkennung:
Untersuchung und
Reaktion
Schutz von
Geräten
Schutz von
Informationen
Absicherung
gegen
Bedrohungen
Bedingter Zugriff
Windows Defender
ATP
Integrität der Geräte
Gerätesteuerung
BitLocker und
BitLocker to Go
Windows
Information
Protection
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
“K$23m=?14)Xz3Ö
ist ein gutes
Passwort…”




Benutzer
Die von uns
verwendeten
Websites
stellen eine
Schwachstelle
dar
Angreifer
1
Social
.com
Bank
.com
Netzwerk
.com
LOL
.com
Obscure
.com
1
2
INTERNET – BENUTZERNAME UND KENNWORT
2-Faktor
Authentifizierung
Mit Windows Hello
1. Gerät
Etwas, was der User hat
(ggf. Mit TPM)
2. “Geste”
2a. PIN
Etwas, was der User weiß
2b. Biometrische Anmeldung
Etwas, was der User ist
2-Faktor
Authentifizierung
Mit Windows Hello
Dienste
Hello ermöglicht Authentifizierung bei:
- Microsoft-Konto
- Active Directory-Konto
- Microsoft Azure Active Directory
(Azure AD)-Konto
- Fast ID (FIDO) v2.0
FIDO ALLIANCE
Example board
level members
2-Faktor
Authentifizierung
Mit Windows Hello
Biometrie
Hello unterstützt die biometrische
Anmeldung via:
• Fingerabdruck
• IRIS Scan
• 3D-Gesichtserkennung
• benötigt spezielle
Infrarotkamera
• z.B. Intel RealSense
Identitätsanbieter
Active Directory
Azure AD
Google
Facebook
Microsoft-Konto
1
Benutzer
2
Windows10
3Intranet-
Ressource
4
4Intranet-
Ressource
WINDOWS HELLO – SCHLÜSSELBASIERTE
AUTHENTIFIZIERUNG
Wie
funktioniert
Windows
Hello?
Gründe für
Windows Hello
Gerätelokale Authentifizierung
• Vorgang findet lokal statt
• Authentifizierungsinformationen liegen nur lokal
vor
• PIN und/oder biometrische Informationen
werden nicht übermittelt und verlassen das Gerät
nicht
Gründe für
Windows Hello
Gerätegebundene
Authentifizierung
• Die Anmeldung ist nur für das Gerät gültig, auf
dem Hello eingerichtet wurde
Benutzergebundene
Authentifizierung
• Die Anmeldung ist nur für den Benutzer gültig,
für den Hello eingerichtet wurde
Credentials können nicht
weiterverwendet werden!
Gründe für
Windows Hello
Anmeldung mit PIN
• Auch eine PIN ist sicherer als ein
Passwort!
Denn sie ist
• Gerätespezifisch
• Gerätelokal
• Wird nicht übermittelt
• PIN kann beliebig komplex sein
• Auch Passwörter als PIN möglich
Gründe für
Windows Hello
Biometrische Anmeldung
• Hoher Komfort für Anwender
•Schnelle Anmeldung, ohne
darüber nachzudenken
•Hohe Sicherheit
• Genaue biometrische Verfahren
• Niedrige FAR / FRR
SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennun
g: Untersuchung
und Reaktion
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennung:
Untersuchung und
Reaktion
DER WINDOWS 10-SICHERHEITSSTACK
2HIPPA Secure Now, “A look at the cost of healthcare data breaches,” Art Gross, 30. März 2012
… haben schon einmal versehentlich
sensible Informationen an einen falschen
Empfängergeschickt.1
58%
… der Führungskräfte speichern
regelmäßig berufliche Dateien in einem
privaten E-Mail-oder Cloud-Konto.1
87%
… Durchschnittskosten pro Datensatz
bei einem Datenverlust.2
240USD
PRO
DATENSATZ
1Stroz Friedberg, “On The Pulse: Information Security In American Business,” 2013
DATENVERLUSTE
SCHUTZ VON
GERÄTEN
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
SCHUTZ VON
GERÄTEN
BitLocker-
Erweiterungen in
Windows 8.1
InstantGo
Adaption durch
Drittanbieter
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
BitLocker WindowsInformationProtection
AzureRights Management
ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ
Office365
Moderne Geräte sind möglicherweise bereits
standardmäßig über die BitLocker-Technologie
verschlüsselt
TPM wird immer häufiger eingesetzt
TPM ist seit Ende 2015 auf allen neuen Windows-
Geräten vorhanden
Einfachere Bereitstellung und eine hohe
Sicherheit, Zuverlässigkeit und Leistung
Einzelanmeldung für moderne Geräte und für
konfigurierbare Windows 7-Hardware
An Unternehmen ausgerichtete Verwaltung
(MBAM) und Compliance (FIPS)
VERSCHLÜSSELUNG VON GERÄTEN
BitLocker
• Full drive encryption solution provided natively with Windows 10 Professional and Enterprise
• Used to protect the operating system drive, secondary data drives and removable devices
• System Center Configuration Manager, MDT and Intune can be used to deploy BitLocker
Overview
Overview
Recommendations
XTS-AES encryption
algorithm
New Group Policy
for configuring pre-
boot recovery
Encrypt and recover
your device with
Azure Active
Directory
- Bei Änderungen an der Hard- und Software
muss BitLocker u.U. neu aktiviert werden, da der
TPM-Chip verschiedene Systemwerte beim Start
prüft
BITLOCKER
Einschränkungen
- Kein Schutz vor „Online“-Angriffen:
Wenn das System gestartet wurde, ist die Bootfestplatte
entschlüsselt.
- Nur ausschalten des Systems hilft hier
Ggf. Standby deaktivieren (GPO)
SCHUTZ VON
GERÄTEN
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
SCHUTZ VON
GERÄTEN
Schutz des Systems
und der Daten im
Fall von verlorenen
oder gestohlenen
Geräten
Eindämmung
Trennung der
Daten
TRENNUNG
VON DATEN
Verhindern des
Zugriffs durch nicht
autorisierte Apps
SCHUTZ VOR
LEAKS
ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ
LÖSUNGEN
ZUM SCHUTZ VOR DATENVERLUSTEN
Mobile Plattformen
Einsatz von Containern
Schlechtere Benutzererfahrung
Einfache Bereitstellung
Geringe Kosten
Desktop-Plattform
Beschränkte
Plattformintegration
Bessere Benutzererfahrung
Schwierige Bereitstellung
Höhere Kosten
WINDOWS INFORMATION PROTECTION
Verhindert den Zugriff auf
Unternehmensdaten durch nicht
autorisierte Apps und Leaks durch
Benutzer über Copy&Paste.
Nahtlose Integration in die
Plattform. Kein Wechseln oder
Starten von Apps erforderlich.
Integrierter Schutz vor ungewollten Daten-Leaks
Bereitstellung mit Windows 10
Anniversary Update
Schützt lokal und auf mobilen
Datenträgern gespeicherte Daten.
Eine Umgebung auf allen
Windows 10-Geräten mit Schutz
gegen Copy&Paste.
Persönliche Daten und
Unternehmensdaten werden
identifiziert und können gelöscht
werden.
WINDOWS INFORMATION PROTECTION
LEBENSZYKLUS
SCHUTZ VON
GERÄTEN
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
Eindämmung
TRENNUNG BYOD-
DATEN
TRENNUNG
VON DATEN
Verhindern des
Zugriffs durch nicht
autorisierte Apps
SCHUTZ VOR
LEAKS
Schutz der Daten
bei der Weitergabe
an andere oder
außerhalb der
Geräte und
Kontrolle der
Organisation
SCHUTZ BEI
WEITERGABE
ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ
SCHUTZ BEI WEITERGABE
Schutz aller Dateitypen an jedem Ort –
unterwegs, Cloud, E-Mail, BYOD etc.
Unterstützung gängiger Geräte und Systeme –
Windows, OSX, iOS, Android
Unterstützung von B2B und B2B per Azure
Active Directory
Unterstützung von lokalen Szenarien und
Cloud-basierten Szenarien (z. B. Office 365)
Nahtlose und einfachere Bereitstellung und
Unterstützung von FIPS 140-2-Richtlinien
und Compliance-Vorgaben
Rechteverwaltungsdienste
Erhebliche Verbesserungen
gegenüber Windows 7
Persistenter und nicht
entfernbarer Schutz für
die Daten
SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennun
g: Untersuchung
und Reaktion
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennung:
Untersuchung und
Reaktion
DER WINDOWS 10-SICHERHEITSSTACK
ANGRIFFE PASSIEREN SCHNELL UND
SIND SCHWER AUFZUHALTEN
Wenn ein Angreifer eine
E-Mail an 100 Mitarbeiter
Ihres Unternehmens sendet,
…
… wird diese von 23
Mitarbeitern geöffnet, …
… 11 Mitarbeiter von den 23
öffnen den Anhang …
… und sechs Mitarbeiter
machen dies innerhalb
der ersten Stunde.
WINDOWS DEFENDER
ADVANCED THREAT PROTECTION
ERKENNEN VON ERWEITERTEN ANGRIFFEN UND
BESEITIGEN VON EINBRÜCHEN
Einzigartige Informationsdatenbank mit
Bedrohungsinformationen
Einzigartige Ressourcen ermöglichen detaillierte Profile der Akteure
Bedrohungsdaten von Microsoft und Drittanbietern.
Umfangreicher Untersuchungszeitraum
Umfang des Einbruchs leicht zu überblicken. Verschieben von
Daten auf Endpunkten. Tief greifende Datei- und URL-Analyse.
Verhaltensbasierte und Cloud-gestützte Einbruchserkennung
Aussagekräftige und korrelierte Alarme für bekannte und unbekannte Bedrohungen.
Echtzeitdaten und Verlaufsdaten.
In Windows integriert
Keine zusätzliche Bereitstellung und Infrastruktur. Immer auf dem neuesten
Stand bei geringen Kosten.
SIEM
SIEM/
Central-UX
Bedrohungsanalyse aus
Partnerschaften
Bedrohungsanalyse durch
Microsoft-Experten
Erkundung
Alarme
SecOps-Konsole
Reaktion
Forensische Sammlung
Permanent aktive Ver-
haltenssensoren auf
Endpunkten
Sicherheitsanalyse
Verhalten aus IOAs-Verzeichnis
Bewertung von Dateien
und URLs
Bekannte Bedrohungen
unbekannt
Windows Defender ATP-Mandant des Kunden
Windows APT Hunters,
MCS Cyber
Sichere
Geräte
Schutz von
Informationen
Sichere
Identitäten
Absicherung vor
Bedrohungen
AKTIVER SCHUTZ VOR BEDROHUNGENHARDWAREBASIERTES VERTRAUENVERHINDERUNG VON DATENVERLUSTZWEISTUFIGE AUTHENTIFIZIERUNG FÜR JEDEN
Microsoft Advanced
Threat Analytics
The frequency and sophistication of
cybersecurity attacks are getting worse.
The median # of days that
attackers reside within a
victim’s network before
detection
146
Sobering statistics
$500BThe total potential cost of
cybercrime to the global
economy
of all network intrusions
are due to compromised
user credentials
>63% $3.8MThe average cost of a data
breach to a company
Every customer, regardless of industry vertical,
is either under attack or already breached.
Banking and
financial
services
Energy and
telco
Manufacturing EducationGovernment
and public
sector
RetailHealth and
social services
Designed to protect
the perimeter
Complexity Prone to false
positives
When user credentials are stolen
and attackers are in the network,
your current defenses provide
limited protection.
Initial setup, fine-tuning,
and creating rules and
thresholds/baselines
can take a long time.
You receive too many reports
in a day with several false
positives that require valuable
time you don’t have.
Monitors behaviors of users and other
entities by using multiple data sources
Profiles behavior and detects anomalies
by using machine learning algorithms
Evaluates the activity of users and other
entities to detect advanced attacks
User and Entity
Behavior Analytics
UEBA
Enterprises successfully
use UEBA to detect
malicious and abusive
behavior that otherwise
went unnoticed by
existing security
monitoring systems,
such as SIEM and DLP.
Microsoft Advanced Threat Analytics
brings the behavioral analytics concept
to IT and the organization’s users.
Behavioral
Analytics
Detection of advanced
attacks and security risks
Advanced Threat
Detection
An on-premises platform to identify advanced security attacks and insider threats before
they cause damage
Detect threats
fast with
Behavioral
Analytics
Adapt as fast
as your
enemies
Focus on what
is important
fast using the
simple attack
timeline
Reduce the
fatigue of false
positives
Prioritize and
plan for next
steps
Analyze1 After installation:
• Simple non-intrusive port mirroring, or
deployed directly onto domain controllers
• Remains invisible to the attackers
• Analyzes all Active Directory network traffic
• Collects relevant events from SIEM and
information from Active Directory (titles,
groups membership, and more)
ATA:
• Automatically starts learning and profiling
entity behavior
• Identifies normal behavior for entities
• Learns continuously to update the activities
of the users, devices, and resources
Learn2
What is entity?
Entity represents users, devices, or resources
Detect3 Microsoft Advanced Threat Analytics:
• Looks for abnormal behavior and identifies
suspicious activities
• Only raises red flags if abnormal activities are
contextually aggregated
• Leverages world-class security research to detect
security risks and attacks in near real-time based on
attackers Tactics, Techniques, and Procedures (TTPs)
ATA not only compares the entity’s behavior
to its own, but also to the behavior of
entities in its interaction path.
Alert4
ATA reports all suspicious
activities on a simple,
functional, actionable
attack timeline
ATA identifies
Who?
What?
When?
How?
For each suspicious
activity, ATA provides
recommendations for
the investigation and
remediation
New and Improved Detections
New Welcome Experience
New Gateway Update Page
Improved configuration experience
User Experience Improvements
SAMR Reconnaissance Detection
Pass-the-Ticket Improvement
Pass-the-Hash Improvement
Abnormal Behavior Enhancements
Unusual Protocol Implementation Improvement
Infrastructure Enhancements
Role Based Access Control
Center & Gateway support for Windows Server 2016
Lightweight Gateway support for Windows Server Core
Abnormal resource access
Account enumeration
Net Session enumeration
DNS enumeration
SAM-R Enumeration
Abnormal working hours
Brute force using NTLM, Kerberos, or LDAP
Sensitive accounts exposed in plain text authentication
Service accounts exposed in plain text authentication
Honey Token account suspicious activities
Unusual protocol implementation
Malicious Data Protection Private Information (DPAPI) Request
Abnormal authentication requests
Abnormal resource access
Pass-the-Ticket
Pass-the-Hash
Overpass-the-Hash
MS14-068 exploit (Forged PAC)
MS11-013 exploit (Silver PAC)
Skeleton key malware
Golden ticket
Remote execution
Malicious replication requests
Reconnaissance
Compromised
Credential
Lateral
Movement
Privilege
Escalation
Domain
Dominance
 Updates and upgrades
automatically with the latest and
greatest attack and anomaly
detection capabilities that our
research team adds
Auto updates Integration to SIEM Seamless deployment
 Analyzes events from SIEM to
enrich the attack timeline
 Works seamlessly with SIEM
 Provides options to forward
security alerts to your SIEM or to
send emails to specific people
 Software offering that runs on
hardware or virtual
 Utilizes port mirroring to allow
seamless deployment alongside AD,
or installed directly on domain
controllers
 Does not affect existing topology
INTERNET
ATA GATEWAY 1
VPN
DMZ
Web
Port mirroring
Syslog forwarding
SIEM
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
ATA
Lightweight
Gateway
:// DNS
Captures and analyzes DC network
traffic via port mirroring
Listens to multiple DCs from a
single Gateway
Receives events from SIEM
Retrieves data about entities from
the domain
Performs resolution of network entities
Transfers relevant data to the ATA Center
ATA GATEWAY 2
ATA GATEWAY 1
Port mirroring
Syslog forwarding
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
Port mirroring
SIEM
:// DNS
Installed locally on light or branch-site
Domain Controllers
Analyzes all the traffic for a specific DC
Provides dynamic resource limitation
Retrieves data about entities from
the domain
Performs resolution of network entities
Transfers relevant data to the ATA Center
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
ATA
Lightweight
Gateway
ATA
Lightweight
Gateway
SIEM
:// DNS
Manages ATA Gateway configuration
settings
Receives data from ATA Gateways and
stores in the database
Detects suspicious activity and abnormal
behavior (machine learning)
Provides Web Management Interface
Supports multiple Gateways
ATA GATEWAY 1
Port-mirroring
Syslog forwarding
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
ATA
Lightweight
Gateway
SIEM
:// DNS
DC1
10.10.1.1
DC2
10.10.1.2
DC3
10.10.1.3
SIEM
ATA CENTER
Port mirror group 1
Event forwarding to
gateway 1
ATA GATEWAY 1
DC4
10.10.1.4
DC6
10.10.1.6
Mgmt adapter – 10.10.1.111
Computer Certificate –
gateway1.contoso.com
IIS – 10.10.1.101
Web Server Certificate –
webata.contoso.com
ATA Center – 10.10.1.102
Computer Certificate –
center.contoso.com
DNS
ATA Lightweight
Gateway
ATA Lightweight
Gateway
://
Q&A
alias@microsoft.com

Weitere ähnliche Inhalte

Andere mochten auch

DerbyCon 7.0 Legacy: Regular Expressions (Regex) Overview
DerbyCon 7.0 Legacy: Regular Expressions (Regex) OverviewDerbyCon 7.0 Legacy: Regular Expressions (Regex) Overview
DerbyCon 7.0 Legacy: Regular Expressions (Regex) OverviewThreatReel Podcast
 
OISF: Regular Expressions (Regex) Overview
OISF: Regular Expressions (Regex) OverviewOISF: Regular Expressions (Regex) Overview
OISF: Regular Expressions (Regex) OverviewThreatReel Podcast
 
DNS High-Availability Tools - Open-Source Load Balancing Solutions
DNS High-Availability Tools - Open-Source Load Balancing SolutionsDNS High-Availability Tools - Open-Source Load Balancing Solutions
DNS High-Availability Tools - Open-Source Load Balancing SolutionsMen and Mice
 
Social Networks And Phishing
Social Networks And PhishingSocial Networks And Phishing
Social Networks And Phishingecarrow
 
Cisco Connect Toronto 2017 - Anatomy-of-attack
Cisco Connect Toronto 2017 - Anatomy-of-attackCisco Connect Toronto 2017 - Anatomy-of-attack
Cisco Connect Toronto 2017 - Anatomy-of-attackCisco Canada
 
Cyber crime & security
Cyber crime & securityCyber crime & security
Cyber crime & securityAvani Patel
 
Comodo Multi Domain SSL Certificate: Key Features by CheapSSLsecurity
Comodo Multi Domain SSL Certificate: Key Features by CheapSSLsecurityComodo Multi Domain SSL Certificate: Key Features by CheapSSLsecurity
Comodo Multi Domain SSL Certificate: Key Features by CheapSSLsecurityCheapSSLsecurity
 
Symantec (ISTR) Internet Security Threat Report Volume 22
Symantec (ISTR) Internet Security Threat Report Volume 22Symantec (ISTR) Internet Security Threat Report Volume 22
Symantec (ISTR) Internet Security Threat Report Volume 22CheapSSLsecurity
 
Cisco Connect Toronto 2017 - Accelerating Incident Response in Organizations...
Cisco Connect Toronto  2017 - Accelerating Incident Response in Organizations...Cisco Connect Toronto  2017 - Accelerating Incident Response in Organizations...
Cisco Connect Toronto 2017 - Accelerating Incident Response in Organizations...Cisco Canada
 
Role of DNS in Botnet Command and Control
Role of DNS in Botnet Command and ControlRole of DNS in Botnet Command and Control
Role of DNS in Botnet Command and ControlOpenDNS
 
(ISC)2 Cincinnati Tri-State Chapter: Phishing Forensics - Is it just suspicio...
(ISC)2 Cincinnati Tri-State Chapter: Phishing Forensics - Is it just suspicio...(ISC)2 Cincinnati Tri-State Chapter: Phishing Forensics - Is it just suspicio...
(ISC)2 Cincinnati Tri-State Chapter: Phishing Forensics - Is it just suspicio...ThreatReel Podcast
 
Cisco umbrella overview
Cisco umbrella overviewCisco umbrella overview
Cisco umbrella overviewCisco Canada
 
Cisco Connect Toronto 2017 - NFV/SDN Platform for Orchestrating Cloud and vBr...
Cisco Connect Toronto 2017 - NFV/SDN Platform for Orchestrating Cloud and vBr...Cisco Connect Toronto 2017 - NFV/SDN Platform for Orchestrating Cloud and vBr...
Cisco Connect Toronto 2017 - NFV/SDN Platform for Orchestrating Cloud and vBr...Cisco Canada
 
Namespaces for Local Networks
Namespaces for Local NetworksNamespaces for Local Networks
Namespaces for Local NetworksMen and Mice
 

Andere mochten auch (17)

DerbyCon 7.0 Legacy: Regular Expressions (Regex) Overview
DerbyCon 7.0 Legacy: Regular Expressions (Regex) OverviewDerbyCon 7.0 Legacy: Regular Expressions (Regex) Overview
DerbyCon 7.0 Legacy: Regular Expressions (Regex) Overview
 
OISF: Regular Expressions (Regex) Overview
OISF: Regular Expressions (Regex) OverviewOISF: Regular Expressions (Regex) Overview
OISF: Regular Expressions (Regex) Overview
 
DNS High-Availability Tools - Open-Source Load Balancing Solutions
DNS High-Availability Tools - Open-Source Load Balancing SolutionsDNS High-Availability Tools - Open-Source Load Balancing Solutions
DNS High-Availability Tools - Open-Source Load Balancing Solutions
 
Tcp udp
Tcp udpTcp udp
Tcp udp
 
Cyber Security # Lec 2
Cyber Security # Lec 2Cyber Security # Lec 2
Cyber Security # Lec 2
 
Social Networks And Phishing
Social Networks And PhishingSocial Networks And Phishing
Social Networks And Phishing
 
Cisco Connect Toronto 2017 - Anatomy-of-attack
Cisco Connect Toronto 2017 - Anatomy-of-attackCisco Connect Toronto 2017 - Anatomy-of-attack
Cisco Connect Toronto 2017 - Anatomy-of-attack
 
Cyber crime & security
Cyber crime & securityCyber crime & security
Cyber crime & security
 
Comodo Multi Domain SSL Certificate: Key Features by CheapSSLsecurity
Comodo Multi Domain SSL Certificate: Key Features by CheapSSLsecurityComodo Multi Domain SSL Certificate: Key Features by CheapSSLsecurity
Comodo Multi Domain SSL Certificate: Key Features by CheapSSLsecurity
 
Symantec (ISTR) Internet Security Threat Report Volume 22
Symantec (ISTR) Internet Security Threat Report Volume 22Symantec (ISTR) Internet Security Threat Report Volume 22
Symantec (ISTR) Internet Security Threat Report Volume 22
 
Cisco Connect Toronto 2017 - Accelerating Incident Response in Organizations...
Cisco Connect Toronto  2017 - Accelerating Incident Response in Organizations...Cisco Connect Toronto  2017 - Accelerating Incident Response in Organizations...
Cisco Connect Toronto 2017 - Accelerating Incident Response in Organizations...
 
Role of DNS in Botnet Command and Control
Role of DNS in Botnet Command and ControlRole of DNS in Botnet Command and Control
Role of DNS in Botnet Command and Control
 
(ISC)2 Cincinnati Tri-State Chapter: Phishing Forensics - Is it just suspicio...
(ISC)2 Cincinnati Tri-State Chapter: Phishing Forensics - Is it just suspicio...(ISC)2 Cincinnati Tri-State Chapter: Phishing Forensics - Is it just suspicio...
(ISC)2 Cincinnati Tri-State Chapter: Phishing Forensics - Is it just suspicio...
 
Cisco umbrella overview
Cisco umbrella overviewCisco umbrella overview
Cisco umbrella overview
 
Cisco Connect Toronto 2017 - NFV/SDN Platform for Orchestrating Cloud and vBr...
Cisco Connect Toronto 2017 - NFV/SDN Platform for Orchestrating Cloud and vBr...Cisco Connect Toronto 2017 - NFV/SDN Platform for Orchestrating Cloud and vBr...
Cisco Connect Toronto 2017 - NFV/SDN Platform for Orchestrating Cloud and vBr...
 
Namespaces for Local Networks
Namespaces for Local NetworksNamespaces for Local Networks
Namespaces for Local Networks
 
Dns ppt
Dns pptDns ppt
Dns ppt
 

Ähnlich wie Microsoft Cyber Security IT-Camp

Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurzAllessandra Negri
 
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenMag.Natascha Ljubic
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Securitykuehlhaus AG
 
Digitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenDigitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenMag.Natascha Ljubic
 
Offensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkOffensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkQAware GmbH
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointBernd Hoyer
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile securityPeter Teufl
 
Windows 7 - Preview & Roadmap
Windows 7 - Preview & RoadmapWindows 7 - Preview & Roadmap
Windows 7 - Preview & RoadmapGeorg Binder
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityFraunhofer AISEC
 
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_pptAndreas Pelka
 
IT-Security Praxistipps für Anfänger
IT-Security Praxistipps für AnfängerIT-Security Praxistipps für Anfänger
IT-Security Praxistipps für AnfängerBitman
 
Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?WM-Pool Pressedienst
 

Ähnlich wie Microsoft Cyber Security IT-Camp (20)

ESET Multi-Device Security
ESET Multi-Device SecurityESET Multi-Device Security
ESET Multi-Device Security
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurz
 
ESET - Drei Säulen der mobilen Sicherheit
ESET - Drei Säulen der mobilen SicherheitESET - Drei Säulen der mobilen Sicherheit
ESET - Drei Säulen der mobilen Sicherheit
 
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
 
ESET - Antivirus vs. Malware
ESET - Antivirus vs. MalwareESET - Antivirus vs. Malware
ESET - Antivirus vs. Malware
 
Jeopardy
JeopardyJeopardy
Jeopardy
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
Digitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenDigitale Fallstricke für Handelsagenten
Digitale Fallstricke für Handelsagenten
 
ESET - Cyber Security Pro
ESET - Cyber Security ProESET - Cyber Security Pro
ESET - Cyber Security Pro
 
Offensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkOffensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit Framework
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpoint
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
 
BYOD vs. Sicherheit
BYOD vs. SicherheitBYOD vs. Sicherheit
BYOD vs. Sicherheit
 
Windows 7 - Preview & Roadmap
Windows 7 - Preview & RoadmapWindows 7 - Preview & Roadmap
Windows 7 - Preview & Roadmap
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
 
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
 
ESET - Cyber Security
ESET - Cyber SecurityESET - Cyber Security
ESET - Cyber Security
 
IT-Security Praxistipps für Anfänger
IT-Security Praxistipps für AnfängerIT-Security Praxistipps für Anfänger
IT-Security Praxistipps für Anfänger
 
Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?
 

Mehr von Alexander Benoit

ExpertsLiveEurope The New Era Of Endpoint Security
ExpertsLiveEurope The New Era Of Endpoint SecurityExpertsLiveEurope The New Era Of Endpoint Security
ExpertsLiveEurope The New Era Of Endpoint SecurityAlexander Benoit
 
Windows 10 and the cloud: Why the future needs hybrid solutions
Windows 10 and the cloud: Why the future needs hybrid solutionsWindows 10 and the cloud: Why the future needs hybrid solutions
Windows 10 and the cloud: Why the future needs hybrid solutionsAlexander Benoit
 
Best practices to secure Windows10 with already included features
Best practices to secure Windows10 with already included featuresBest practices to secure Windows10 with already included features
Best practices to secure Windows10 with already included featuresAlexander Benoit
 
Experts Live Europe 2017 - Windows 10 Servicing - the do’s and don'ts
Experts Live Europe 2017 -  Windows 10 Servicing - the do’s and don'tsExperts Live Europe 2017 -  Windows 10 Servicing - the do’s and don'ts
Experts Live Europe 2017 - Windows 10 Servicing - the do’s and don'tsAlexander Benoit
 
Experts Live Europe 2017 - Windows 10 and the cloud - why the future needs hy...
Experts Live Europe 2017 - Windows 10 and the cloud - why the future needs hy...Experts Live Europe 2017 - Windows 10 and the cloud - why the future needs hy...
Experts Live Europe 2017 - Windows 10 and the cloud - why the future needs hy...Alexander Benoit
 
Experts Live Europe 2017 - Best Practices to secure Windows 10 with already i...
Experts Live Europe 2017 - Best Practices to secure Windows 10 with already i...Experts Live Europe 2017 - Best Practices to secure Windows 10 with already i...
Experts Live Europe 2017 - Best Practices to secure Windows 10 with already i...Alexander Benoit
 

Mehr von Alexander Benoit (6)

ExpertsLiveEurope The New Era Of Endpoint Security
ExpertsLiveEurope The New Era Of Endpoint SecurityExpertsLiveEurope The New Era Of Endpoint Security
ExpertsLiveEurope The New Era Of Endpoint Security
 
Windows 10 and the cloud: Why the future needs hybrid solutions
Windows 10 and the cloud: Why the future needs hybrid solutionsWindows 10 and the cloud: Why the future needs hybrid solutions
Windows 10 and the cloud: Why the future needs hybrid solutions
 
Best practices to secure Windows10 with already included features
Best practices to secure Windows10 with already included featuresBest practices to secure Windows10 with already included features
Best practices to secure Windows10 with already included features
 
Experts Live Europe 2017 - Windows 10 Servicing - the do’s and don'ts
Experts Live Europe 2017 -  Windows 10 Servicing - the do’s and don'tsExperts Live Europe 2017 -  Windows 10 Servicing - the do’s and don'ts
Experts Live Europe 2017 - Windows 10 Servicing - the do’s and don'ts
 
Experts Live Europe 2017 - Windows 10 and the cloud - why the future needs hy...
Experts Live Europe 2017 - Windows 10 and the cloud - why the future needs hy...Experts Live Europe 2017 - Windows 10 and the cloud - why the future needs hy...
Experts Live Europe 2017 - Windows 10 and the cloud - why the future needs hy...
 
Experts Live Europe 2017 - Best Practices to secure Windows 10 with already i...
Experts Live Europe 2017 - Best Practices to secure Windows 10 with already i...Experts Live Europe 2017 - Best Practices to secure Windows 10 with already i...
Experts Live Europe 2017 - Best Practices to secure Windows 10 with already i...
 

Microsoft Cyber Security IT-Camp

  • 1.
  • 4.
  • 5.
  • 6.
  • 7. Windows Defender App-V Azure Information Protection Advanced Threat Analytics Multi-Faktor Access Bitlocker Active Directory Best Practices
  • 8.
  • 9.
  • 10.
  • 11.
  • 12. 2016: Phishing-Angriff auf Clinton- Kampagne Ergebnis: 50,000 E-Mails landen auf Wikileaks… …was den Ausgang der Wahl möglicherweise beeinflusst hat
  • 13. 2016: Phishing-Angriff auf Clinton- Kampagne Ergebnis: 50,000 E-Mails landen auf Wikileaks… …was den Ausgang der Wahl möglicherweise beeinflusst hat John Podesta (DNC) Chairman bei der Clinton- Kampagne Er war maßgeblich für den DNC-Leak verantwortlich Phishing scheinbar durch Tippfehler verursacht E-Mail selbst gehostet Keine Sicherheit / MFA Keine Verschlüsselung
  • 14.
  • 15.
  • 16. Malicious Attachment Execution Browser or Doc Exploit Execution Stolen Credential Use Internet Service Compromise Kernel-mode Malware Kernel Exploits Pass-the-Hash Malicious Attachment Delivery Browser or Doc Exploit Delivery Phishing Attacks ATTACK ESPIONAGE, LOSS OF IPDATA THEFT RANSOMLOST PRODUCTIVITYBUSINESS DISRUPTION ENTER ESTABLISH EXPAND ENDGAME NETWORK DEVICE USER
  • 17.
  • 18.
  • 19.
  • 20. Users know exactly when devices are set up for work
  • 21. SCHÜTZEN, ERKENNEN UND REAGIEREN PRE-BREACH POST-BREACH Bedingter Zugriff Windows Defender ATP Einbruchserkennung: Untersuchung und Reaktion Schutz von Geräten Integrität der Geräte Gerätesteuerung Schutz von Informationen BitLocker und BitLocker to Go Windows Information Protection Absicherung gegen Bedrohungen SmartScreen Windows-Firewall Microsoft Edge Device Guard Windows Defender Windows Hello Credential Guard Schutz der Identitäten Schutz von Geräten Integrität der Geräte Gerätesteuerung Absicherung gegen Bedrohungen SmartScreen Windows-Firewall Microsoft Edge Device Guard Windows Defender DER WINDOWS 10-SICHERHEITSSTACK
  • 22. On-Premises Cloud Windows 10 Enterprise Device Windows 10 Defense Stack & Supporting Technologies Windows Hello for Business Windows Information Protection Windows Defender Credential Guard Advanced Threat Analytics Microsoft Bitlocker Administration & Management Windows Defender Advanced Threat Protection Device Guard KMCI Bitlocker AppLocker Health Attestation User Account Control Active Directory Active Directory Federation Services Device Guard UMCI Azure Active Directory Device Identity Data Application EFS Windows Server 2012 AD RMS FCI Azure RMS / Azure Information Protection SmartScreen Conditional Access Security Baseline
  • 24. Bedrohungsschutz über die Zeit Angreifer nutzen die Zeit zwischen den Releases aus P R O D U K T - V E R F Ü G B A R K E I T B E D R O H U N G S - R A F I N E S S E Z E I T FAÄHIGKEITEN Änderungen mit Windows und Software as a Services Angriffsszenarien werden durch permanente Innovation zerstört Schutzlücke
  • 25. Vulnerabilities are increasing while evidence of actual exploits is decreasing due to mitigation investments
  • 26. UMFASSENDER SCHUTZ VOR BEDROHUNGEN Extern Intern SmartScreen Windows-Firewall Device GuardWindows Defender Office ATP Microsoft Edge mit Application Guard
  • 27. Biometrische Sensoren Virtualisierung Kryptographische Verarbeitung Integrität der Geräte SCHUTZ VON GERÄTEN ROOTS OF TRUST-SICHERHEIT
  • 28. (Upgraded from Windows 7 or 32-bit Windows 8) POST-BREACHPRE-BREACH Breach detection investigation & response Device protection Identity protection Information protection Threat resistance
  • 29. (Fresh Install or upgraded from 64-bit Windows 8) POST-BREACHPRE-BREACH Breach detection investigation & response Device protection Identity protection Information protection Threat resistance
  • 30. Trusted Platform Module (TPM) Threat Windows 10 Investments Mitigation Windows 10 Changes
  • 31. UEFI Secure Boot Threat Windows 10 Changes Mitigation Considerations How does it work
  • 32. Kernel Mode Code Integrity in Device Guard UEFI Secure Boot KMCIPlatform Secure Boot UMCI AppLocker Threat Mitigation Note ROM/Fuses Bootloaders Native UEFI Windows OS Loader Windows Kernel, Boot Drivers, System Files ELAM, AV Driver, and 3rd Party Drivers User mode code (apps, etc.)
  • 33. 0 2 4 6 8 10 12 14 16 2008 2009 2010 2011 2012 2013 2014 2015 2016 2 1 6 5 14 55 6 12
  • 34. Sicherheitsinnovationen: Den bösen Buben das Leben schwerer machen No mitigations • DEP • /GS • SafeSEH • Heap hardening v1 • ASLR v1 • SEHOP • Heap hardening v2 • ASLR v2 • Kernel SMEP & DEP • Heap hardening v3 • CFG • HVCI • EMET Exploitation was not inhibited • Data can’t be executed as code • Protection for stack buffers, exception chains, and heap metadata • Memory layout is randomized • Improved protection for exception chains and heap metadata • Improved memory layout randomization • Improved protection for heap metadata & buffers • Only valid functions can be called indirectly • Kernel Mode secured • EMET functionality getting integrated
  • 35. © 2016 DigitalGlobe, © 2016 HERE DUBROVNIK, KROATIEN EIN EINZIGER EINBRUCH KOMPROMITTIERT ALLE KOMPONENTEN
  • 36. © 2016 HERE CARCASSONNE, FRANKREICH WICHTIGE KOMPONENTEN SIND GETRENNT UND GESCHÜTZT
  • 38. VIRTUALISIERUNGSBASIERTE SICHERHEIT WINDOWS 10 Kernel Windows Platform Services Apps Kernel SystemContainer TrustletNr.1 TrustletNr.2 TrustletNr.3 Hypervisor Gerätehardware Windows-Betriebssystem Hyper-VHyper-V
  • 39. VIRTUALISIERUNGSBASIERTE SICHERHEIT PREVIEW 2016 RTM 2017 Hypervisor Gerätehardware Kernel Apps Windows Platform Services Kernel Windows Platform Services Microsoft Edge Kernel SystemContainer Wichtige Systemprozesse AppContainer Windows-Betriebssystem Hyper-V Hyper-V
  • 40. Hypervisor VIRTUALISIERUNGSBASIERTE SICHERHEIT NACH 2017 Gerätehardware Windows Platform Services Windows Platform Services SystemContainer KernelKernel Kernel Wichtige Systemprozesse Apps AppContainer Windows-Betriebssystem Hyper-V Hyper-V
  • 41. Virtualization Based Security Overview Feature Configuration Options Kernel Windows Platform Services Apps Kernel SystemContainer Trustlet#1 Trustlet#3 Hypervisor Device Hardware Isolated LSA
  • 42. DER WINDOWS 10-SICHERHEITSSTACK SCHÜTZEN, ERKENNEN UND REAGIEREN PRE-BREACH POST-BREACH Windows Defender ATP Einbruchserkennun g: Untersuchung und Reaktion Schutz von Geräten Integritätsnachweis Device Guard Gerätesteuerung Sicherheitsrichtlinien Schutz von Informationen Geräteschutz/Laufw erksverschlüsselung Windows Information Protection Bedingter Zugriff Absicherung gegen Bedrohungen SmartScreen AppLocker Device Guard Windows Defender Netzwerk/Firewall Integrierte zweistufige Authentifizierung Kontosperrung Überwachung von Anmeldeinfor Schutz der Identitäten Einbruchserkennung: Untersuchung und Reaktion Schutz von Geräten Schutz von Informationen Absicherung gegen Bedrohungen Bedingter Zugriff Windows Defender ATP Integrität der Geräte Gerätesteuerung BitLocker und BitLocker to Go Windows Information Protection SmartScreen Windows-Firewall Microsoft Edge Device Guard Windows Defender Windows Hello Credential Guard Schutz der Identitäten
  • 43.
  • 44. Threat Microsoft SmartScreen Phishing and malware filtering technology for Internet Explorer 11 and Microsoft Edge in Windows 10.  URL Reputation Checks  Application Reputation Protection  Phishing Attacks  Social Engineered Malware  Deceptive Advertisements  Support Scams  Drive-by Attacks Mitigation
  • 45.
  • 47. • The Windows Defender SmartScreen provides an early warning system to notify users of suspicious websites that could be engaging in phishing attacks or distributing malware through a socially engineered attack. • Windows Defender SmartScreen is one of the multiple layers of defense in the anti-phishing and malware protection strategies Check downloaded files Windows Defender Cloud Protection Click! Attacker Generate new malware file Send file metadata Evaluate metadata Verdict: Malware – Block! Malware Block! Including Machine Learning, proximity, lookup heuristics Command & Control User
  • 48. Block at first sight support in Microsoft Edge
  • 49. Number of exploited web browser CVEs Number of days with known zero day exploit in the wild Number of Vulnerabilities (CVEs) by web browser
  • 50. MICROSOFT EDGE: ENTWICKLUNG EINES SICHEREREN BROWSERS Die grundlegend verbesserte Sicherheit sorgt für eine vertrauenswürdigere Nutzung des Internets unter Windows 10 SCHUTZ DER BENUTZER (SmartScreen) (Microsoft Passport und Windows Hello) (Cert. Reputation, EdgeHTML, W3C Content Security Policy, HTTP Strict Transport Security) SCHUTZ DES BROWSERS www Neues (Universelle Windows-Plattform) (Windows Address Space Layout Randomization auf 64-Bit-Systemen) (MemGC) (Control Flow Guard)
  • 51. MICROSOFT EDGE SICHERHEITSVERBESSERUNGEN  Microsoft Edge und Flash haben keinen Vollzugriff auf win32k.sys—API-Aufrufe werden gefiltert  Nur 40 % der Schnittstellen stehen Flash und Edge zur Verfügung – dies verringert die Angriffsfläche Win32k.sys Flash Host-Prozess Edge Content-Prozess Vorher – Vollzugriff auf Win32.sys Microsoft Edge Windows Kernel Blockierte Win32k.sys-Schnittstellen Zulässige Win32k.sys-Schnittstellen Flash Host-Prozess Edge Content-Prozess Heute – 60 % weniger Schnittstellen verfügbar Microsoft Edge Windows Kernel  Der Flash-Player hat jetzt seinen eigenen AppContainer  Der Flash-Player wurde für einen besseren Speicherschutz gehärtet
  • 52.
  • 53. HARDWARE ISOLIERUNG MIT WINDOWS DEFENDER APPLICATION GUARD  Verschiebt Browsersitzungen in eine isolierte, virtualisierte Umgebung  Sorgt für einen erheblich besseren Schutz und härtet den beliebtesten Zugang von Angreifern  Veröffentlicht in Windows 10 Fall Creators Update (1709) Hypervisor Gerätehardware Kernel Windows Platform Services Apps Kernel Windows Platform Services Microsoft Edge SystemContainer Kernel Wichtige Systemprozesse AppContainer Windows-Betriebssystem Hyper-V Hyper-V
  • 54.
  • 56. DEVICE GUARD Windows-Desktops können für die ausschließliche Ausführung von vertrauenswürdigen Apps abgesichert werden (vergleichbar mit mobilen Betriebssystemen wie Windows Phone) Unterstützt alle Apps inkl. Universal- Desktop- Apps (Win32). Nicht vertrauenswürdige Apps und ausführbare Dateien wie Malware können nicht gestartet werden Die Apps müssen vom Microsoft- Signierungsdienst signiert werden. Keine weiteren Modifikationen erforderlich. Hardwarebasierte App-Kontrolle
  • 57.
  • 58.
  • 59.
  • 60. erstellen Audit Mode Golden Client Golden Policy Default Client Root CA Finale Policy bestehend aus Golden Policy + Audit Policy Windows Store for Business Code Integrity Policy
  • 61.
  • 62.
  • 63.
  • 64.
  • 65.
  • 66.
  • 67. Kernel Mode Code Integrity in Device Guard UEFI Secure Boot KMCIPlatform Secure Boot UMCI AppLocker Threat Mitigation Note ROM/Fuses Bootloaders Native UEFI Windows OS Loader Windows Kernel, Boot Drivers, System Files ELAM, AV Driver, and 3rd Party Drivers User mode code (apps, etc.)
  • 68. Overview Application Signing Options  Download default Device Guard configurable CI policy.  Catalog signing with enterprise-specific, unique keys.  Available to OEMs, IHV, ISVs, and Enterprises. Code Integrity Policy Requirements
  • 69.
  • 70. SCHÜTZEN, ERKENNEN UND REAGIEREN PRE-BREACH POST-BREACH Bedingter Zugriff Windows Defender ATP Einbruchserkennung: Untersuchung und Reaktion Schutz von Geräten Integrität der Geräte Gerätesteuerung Schutz von Informationen BitLocker und BitLocker to Go Windows Information Protection Absicherung gegen Bedrohungen SmartScreen Windows-Firewall Microsoft Edge Device Guard Windows Defender Windows Hello Credential Guard Schutz der Identitäten Windows Hello Credential Guard Schutz der Identitäten Schutz von Informationen BitLocker und BitLocker to Go Windows Information Protection DER WINDOWS 10-SICHERHEITSSTACK
  • 71. MODERNE SICHERHEITSHERAUSFORDERUNGEN: PASS THE HASH-ANGRIFFE Pass the Hash-Angriffe haben sich von einer theoretischen zu einer ganz konkreten Bedrohung entwickelt Sie ermöglichen einem Angreifer über gängige Hacking-Tools wie MimiKatz, Benutzeranmeldeinformationen zu entwenden Danach kann ein Angreifer häufig weitere abgeleitete Anmeldeinformationen entwenden und sich im Netzwerk bewegen Der Angreifer kann sich häufig auch bei einer Entdeckung im Netzwerk halten, indem er von einer Identität zur nächsten wechselt
  • 72. Credential Guard • Credential Guard isolates secrets that previous versions of Windows stored in the Local Security Authority (LSA) by using virtualization-based security. • The LSA process in the operating system talks to the isolated LSA by using remote procedure calls. • Data stored by using VBS is not accessible to the rest of the operating system. • This prevents Pass-the-Hash and Pass-the-Ticket attacks
  • 73. DER WINDOWS 10-SICHERHEITSSTACK SCHÜTZEN, ERKENNEN UND REAGIEREN PRE-BREACH POST-BREACH Windows Defender ATP Einbruchserkennun g: Untersuchung und Reaktion Schutz von Geräten Integritätsnachweis Device Guard Gerätesteuerung Sicherheitsrichtlinien Schutz von Informationen Geräteschutz/Laufw erksverschlüsselung Windows Information Protection Bedingter Zugriff Absicherung gegen Bedrohungen SmartScreen AppLocker Device Guard Windows Defender Netzwerk/Firewall Integrierte zweistufige Authentifizierung Kontosperrung Überwachung von Anmeldeinfor Schutz der Identitäten Einbruchserkennung: Untersuchung und Reaktion Schutz von Geräten Schutz von Informationen Absicherung gegen Bedrohungen Bedingter Zugriff Windows Defender ATP Integrität der Geräte Gerätesteuerung BitLocker und BitLocker to Go Windows Information Protection SmartScreen Windows-Firewall Microsoft Edge Device Guard Windows Defender Windows Hello Credential Guard Schutz der Identitäten
  • 74.
  • 76. Benutzer Die von uns verwendeten Websites stellen eine Schwachstelle dar Angreifer 1 Social .com Bank .com Netzwerk .com LOL .com Obscure .com 1 2 INTERNET – BENUTZERNAME UND KENNWORT
  • 77.
  • 78. 2-Faktor Authentifizierung Mit Windows Hello 1. Gerät Etwas, was der User hat (ggf. Mit TPM) 2. “Geste” 2a. PIN Etwas, was der User weiß 2b. Biometrische Anmeldung Etwas, was der User ist
  • 79. 2-Faktor Authentifizierung Mit Windows Hello Dienste Hello ermöglicht Authentifizierung bei: - Microsoft-Konto - Active Directory-Konto - Microsoft Azure Active Directory (Azure AD)-Konto - Fast ID (FIDO) v2.0
  • 81. 2-Faktor Authentifizierung Mit Windows Hello Biometrie Hello unterstützt die biometrische Anmeldung via: • Fingerabdruck • IRIS Scan • 3D-Gesichtserkennung • benötigt spezielle Infrarotkamera • z.B. Intel RealSense
  • 83. Gründe für Windows Hello Gerätelokale Authentifizierung • Vorgang findet lokal statt • Authentifizierungsinformationen liegen nur lokal vor • PIN und/oder biometrische Informationen werden nicht übermittelt und verlassen das Gerät nicht
  • 84. Gründe für Windows Hello Gerätegebundene Authentifizierung • Die Anmeldung ist nur für das Gerät gültig, auf dem Hello eingerichtet wurde Benutzergebundene Authentifizierung • Die Anmeldung ist nur für den Benutzer gültig, für den Hello eingerichtet wurde Credentials können nicht weiterverwendet werden!
  • 85. Gründe für Windows Hello Anmeldung mit PIN • Auch eine PIN ist sicherer als ein Passwort! Denn sie ist • Gerätespezifisch • Gerätelokal • Wird nicht übermittelt • PIN kann beliebig komplex sein • Auch Passwörter als PIN möglich
  • 86. Gründe für Windows Hello Biometrische Anmeldung • Hoher Komfort für Anwender •Schnelle Anmeldung, ohne darüber nachzudenken •Hohe Sicherheit • Genaue biometrische Verfahren • Niedrige FAR / FRR
  • 87. SCHÜTZEN, ERKENNEN UND REAGIEREN PRE-BREACH POST-BREACH Bedingter Zugriff Windows Defender ATP Einbruchserkennun g: Untersuchung und Reaktion Schutz von Geräten Integrität der Geräte Gerätesteuerung Schutz von Informationen BitLocker und BitLocker to Go Windows Information Protection Absicherung gegen Bedrohungen SmartScreen Windows-Firewall Microsoft Edge Device Guard Windows Defender Windows Hello Credential Guard Schutz der Identitäten Schutz von Informationen BitLocker und BitLocker to Go Windows Information Protection Bedingter Zugriff Windows Defender ATP Einbruchserkennung: Untersuchung und Reaktion DER WINDOWS 10-SICHERHEITSSTACK
  • 88. 2HIPPA Secure Now, “A look at the cost of healthcare data breaches,” Art Gross, 30. März 2012 … haben schon einmal versehentlich sensible Informationen an einen falschen Empfängergeschickt.1 58% … der Führungskräfte speichern regelmäßig berufliche Dateien in einem privaten E-Mail-oder Cloud-Konto.1 87% … Durchschnittskosten pro Datensatz bei einem Datenverlust.2 240USD PRO DATENSATZ 1Stroz Friedberg, “On The Pulse: Information Security In American Business,” 2013 DATENVERLUSTE
  • 89. SCHUTZ VON GERÄTEN TRENNUNG VON DATEN SCHUTZ VOR LEAKS SCHUTZ BEI WEITERGABE SCHUTZ VON GERÄTEN BitLocker- Erweiterungen in Windows 8.1 InstantGo Adaption durch Drittanbieter TRENNUNG VON DATEN SCHUTZ VOR LEAKS SCHUTZ BEI WEITERGABE BitLocker WindowsInformationProtection AzureRights Management ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ Office365
  • 90. Moderne Geräte sind möglicherweise bereits standardmäßig über die BitLocker-Technologie verschlüsselt TPM wird immer häufiger eingesetzt TPM ist seit Ende 2015 auf allen neuen Windows- Geräten vorhanden Einfachere Bereitstellung und eine hohe Sicherheit, Zuverlässigkeit und Leistung Einzelanmeldung für moderne Geräte und für konfigurierbare Windows 7-Hardware An Unternehmen ausgerichtete Verwaltung (MBAM) und Compliance (FIPS) VERSCHLÜSSELUNG VON GERÄTEN BitLocker
  • 91. • Full drive encryption solution provided natively with Windows 10 Professional and Enterprise • Used to protect the operating system drive, secondary data drives and removable devices • System Center Configuration Manager, MDT and Intune can be used to deploy BitLocker Overview
  • 93. XTS-AES encryption algorithm New Group Policy for configuring pre- boot recovery Encrypt and recover your device with Azure Active Directory
  • 94. - Bei Änderungen an der Hard- und Software muss BitLocker u.U. neu aktiviert werden, da der TPM-Chip verschiedene Systemwerte beim Start prüft BITLOCKER Einschränkungen - Kein Schutz vor „Online“-Angriffen: Wenn das System gestartet wurde, ist die Bootfestplatte entschlüsselt. - Nur ausschalten des Systems hilft hier Ggf. Standby deaktivieren (GPO)
  • 95. SCHUTZ VON GERÄTEN TRENNUNG VON DATEN SCHUTZ VOR LEAKS SCHUTZ BEI WEITERGABE SCHUTZ VON GERÄTEN Schutz des Systems und der Daten im Fall von verlorenen oder gestohlenen Geräten Eindämmung Trennung der Daten TRENNUNG VON DATEN Verhindern des Zugriffs durch nicht autorisierte Apps SCHUTZ VOR LEAKS ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ
  • 96. LÖSUNGEN ZUM SCHUTZ VOR DATENVERLUSTEN Mobile Plattformen Einsatz von Containern Schlechtere Benutzererfahrung Einfache Bereitstellung Geringe Kosten Desktop-Plattform Beschränkte Plattformintegration Bessere Benutzererfahrung Schwierige Bereitstellung Höhere Kosten
  • 97. WINDOWS INFORMATION PROTECTION Verhindert den Zugriff auf Unternehmensdaten durch nicht autorisierte Apps und Leaks durch Benutzer über Copy&Paste. Nahtlose Integration in die Plattform. Kein Wechseln oder Starten von Apps erforderlich. Integrierter Schutz vor ungewollten Daten-Leaks Bereitstellung mit Windows 10 Anniversary Update Schützt lokal und auf mobilen Datenträgern gespeicherte Daten. Eine Umgebung auf allen Windows 10-Geräten mit Schutz gegen Copy&Paste. Persönliche Daten und Unternehmensdaten werden identifiziert und können gelöscht werden.
  • 99. SCHUTZ VON GERÄTEN TRENNUNG VON DATEN SCHUTZ VOR LEAKS SCHUTZ BEI WEITERGABE Eindämmung TRENNUNG BYOD- DATEN TRENNUNG VON DATEN Verhindern des Zugriffs durch nicht autorisierte Apps SCHUTZ VOR LEAKS Schutz der Daten bei der Weitergabe an andere oder außerhalb der Geräte und Kontrolle der Organisation SCHUTZ BEI WEITERGABE ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ
  • 100. SCHUTZ BEI WEITERGABE Schutz aller Dateitypen an jedem Ort – unterwegs, Cloud, E-Mail, BYOD etc. Unterstützung gängiger Geräte und Systeme – Windows, OSX, iOS, Android Unterstützung von B2B und B2B per Azure Active Directory Unterstützung von lokalen Szenarien und Cloud-basierten Szenarien (z. B. Office 365) Nahtlose und einfachere Bereitstellung und Unterstützung von FIPS 140-2-Richtlinien und Compliance-Vorgaben Rechteverwaltungsdienste Erhebliche Verbesserungen gegenüber Windows 7 Persistenter und nicht entfernbarer Schutz für die Daten
  • 101. SCHÜTZEN, ERKENNEN UND REAGIEREN PRE-BREACH POST-BREACH Bedingter Zugriff Windows Defender ATP Einbruchserkennun g: Untersuchung und Reaktion Schutz von Geräten Integrität der Geräte Gerätesteuerung Schutz von Informationen BitLocker und BitLocker to Go Windows Information Protection Absicherung gegen Bedrohungen SmartScreen Windows-Firewall Microsoft Edge Device Guard Windows Defender Windows Hello Credential Guard Schutz der Identitäten Schutz von Informationen BitLocker und BitLocker to Go Windows Information Protection Bedingter Zugriff Windows Defender ATP Einbruchserkennung: Untersuchung und Reaktion DER WINDOWS 10-SICHERHEITSSTACK
  • 102. ANGRIFFE PASSIEREN SCHNELL UND SIND SCHWER AUFZUHALTEN Wenn ein Angreifer eine E-Mail an 100 Mitarbeiter Ihres Unternehmens sendet, … … wird diese von 23 Mitarbeitern geöffnet, … … 11 Mitarbeiter von den 23 öffnen den Anhang … … und sechs Mitarbeiter machen dies innerhalb der ersten Stunde.
  • 103. WINDOWS DEFENDER ADVANCED THREAT PROTECTION ERKENNEN VON ERWEITERTEN ANGRIFFEN UND BESEITIGEN VON EINBRÜCHEN Einzigartige Informationsdatenbank mit Bedrohungsinformationen Einzigartige Ressourcen ermöglichen detaillierte Profile der Akteure Bedrohungsdaten von Microsoft und Drittanbietern. Umfangreicher Untersuchungszeitraum Umfang des Einbruchs leicht zu überblicken. Verschieben von Daten auf Endpunkten. Tief greifende Datei- und URL-Analyse. Verhaltensbasierte und Cloud-gestützte Einbruchserkennung Aussagekräftige und korrelierte Alarme für bekannte und unbekannte Bedrohungen. Echtzeitdaten und Verlaufsdaten. In Windows integriert Keine zusätzliche Bereitstellung und Infrastruktur. Immer auf dem neuesten Stand bei geringen Kosten.
  • 104. SIEM SIEM/ Central-UX Bedrohungsanalyse aus Partnerschaften Bedrohungsanalyse durch Microsoft-Experten Erkundung Alarme SecOps-Konsole Reaktion Forensische Sammlung Permanent aktive Ver- haltenssensoren auf Endpunkten Sicherheitsanalyse Verhalten aus IOAs-Verzeichnis Bewertung von Dateien und URLs Bekannte Bedrohungen unbekannt Windows Defender ATP-Mandant des Kunden Windows APT Hunters, MCS Cyber
  • 105.
  • 106.
  • 107.
  • 108.
  • 109.
  • 110.
  • 111.
  • 112. Sichere Geräte Schutz von Informationen Sichere Identitäten Absicherung vor Bedrohungen AKTIVER SCHUTZ VOR BEDROHUNGENHARDWAREBASIERTES VERTRAUENVERHINDERUNG VON DATENVERLUSTZWEISTUFIGE AUTHENTIFIZIERUNG FÜR JEDEN
  • 113.
  • 115. The frequency and sophistication of cybersecurity attacks are getting worse. The median # of days that attackers reside within a victim’s network before detection 146 Sobering statistics $500BThe total potential cost of cybercrime to the global economy of all network intrusions are due to compromised user credentials >63% $3.8MThe average cost of a data breach to a company
  • 116. Every customer, regardless of industry vertical, is either under attack or already breached. Banking and financial services Energy and telco Manufacturing EducationGovernment and public sector RetailHealth and social services
  • 117.
  • 118.
  • 119.
  • 120. Designed to protect the perimeter Complexity Prone to false positives When user credentials are stolen and attackers are in the network, your current defenses provide limited protection. Initial setup, fine-tuning, and creating rules and thresholds/baselines can take a long time. You receive too many reports in a day with several false positives that require valuable time you don’t have.
  • 121.
  • 122. Monitors behaviors of users and other entities by using multiple data sources Profiles behavior and detects anomalies by using machine learning algorithms Evaluates the activity of users and other entities to detect advanced attacks User and Entity Behavior Analytics UEBA Enterprises successfully use UEBA to detect malicious and abusive behavior that otherwise went unnoticed by existing security monitoring systems, such as SIEM and DLP.
  • 123. Microsoft Advanced Threat Analytics brings the behavioral analytics concept to IT and the organization’s users. Behavioral Analytics Detection of advanced attacks and security risks Advanced Threat Detection An on-premises platform to identify advanced security attacks and insider threats before they cause damage
  • 124. Detect threats fast with Behavioral Analytics Adapt as fast as your enemies Focus on what is important fast using the simple attack timeline Reduce the fatigue of false positives Prioritize and plan for next steps
  • 125. Analyze1 After installation: • Simple non-intrusive port mirroring, or deployed directly onto domain controllers • Remains invisible to the attackers • Analyzes all Active Directory network traffic • Collects relevant events from SIEM and information from Active Directory (titles, groups membership, and more)
  • 126. ATA: • Automatically starts learning and profiling entity behavior • Identifies normal behavior for entities • Learns continuously to update the activities of the users, devices, and resources Learn2 What is entity? Entity represents users, devices, or resources
  • 127. Detect3 Microsoft Advanced Threat Analytics: • Looks for abnormal behavior and identifies suspicious activities • Only raises red flags if abnormal activities are contextually aggregated • Leverages world-class security research to detect security risks and attacks in near real-time based on attackers Tactics, Techniques, and Procedures (TTPs) ATA not only compares the entity’s behavior to its own, but also to the behavior of entities in its interaction path.
  • 128. Alert4 ATA reports all suspicious activities on a simple, functional, actionable attack timeline ATA identifies Who? What? When? How? For each suspicious activity, ATA provides recommendations for the investigation and remediation
  • 129. New and Improved Detections New Welcome Experience New Gateway Update Page Improved configuration experience User Experience Improvements SAMR Reconnaissance Detection Pass-the-Ticket Improvement Pass-the-Hash Improvement Abnormal Behavior Enhancements Unusual Protocol Implementation Improvement Infrastructure Enhancements Role Based Access Control Center & Gateway support for Windows Server 2016 Lightweight Gateway support for Windows Server Core
  • 130. Abnormal resource access Account enumeration Net Session enumeration DNS enumeration SAM-R Enumeration Abnormal working hours Brute force using NTLM, Kerberos, or LDAP Sensitive accounts exposed in plain text authentication Service accounts exposed in plain text authentication Honey Token account suspicious activities Unusual protocol implementation Malicious Data Protection Private Information (DPAPI) Request Abnormal authentication requests Abnormal resource access Pass-the-Ticket Pass-the-Hash Overpass-the-Hash MS14-068 exploit (Forged PAC) MS11-013 exploit (Silver PAC) Skeleton key malware Golden ticket Remote execution Malicious replication requests Reconnaissance Compromised Credential Lateral Movement Privilege Escalation Domain Dominance
  • 131.  Updates and upgrades automatically with the latest and greatest attack and anomaly detection capabilities that our research team adds Auto updates Integration to SIEM Seamless deployment  Analyzes events from SIEM to enrich the attack timeline  Works seamlessly with SIEM  Provides options to forward security alerts to your SIEM or to send emails to specific people  Software offering that runs on hardware or virtual  Utilizes port mirroring to allow seamless deployment alongside AD, or installed directly on domain controllers  Does not affect existing topology
  • 132. INTERNET ATA GATEWAY 1 VPN DMZ Web Port mirroring Syslog forwarding SIEM Fileserver DC1 DC2 DC3 DC4 ATA CENTER DB Fileserver ATA Lightweight Gateway :// DNS
  • 133. Captures and analyzes DC network traffic via port mirroring Listens to multiple DCs from a single Gateway Receives events from SIEM Retrieves data about entities from the domain Performs resolution of network entities Transfers relevant data to the ATA Center ATA GATEWAY 2 ATA GATEWAY 1 Port mirroring Syslog forwarding Fileserver DC1 DC2 DC3 DC4 ATA CENTER DB Fileserver Port mirroring SIEM :// DNS
  • 134. Installed locally on light or branch-site Domain Controllers Analyzes all the traffic for a specific DC Provides dynamic resource limitation Retrieves data about entities from the domain Performs resolution of network entities Transfers relevant data to the ATA Center Fileserver DC1 DC2 DC3 DC4 ATA CENTER DB Fileserver ATA Lightweight Gateway ATA Lightweight Gateway SIEM :// DNS
  • 135. Manages ATA Gateway configuration settings Receives data from ATA Gateways and stores in the database Detects suspicious activity and abnormal behavior (machine learning) Provides Web Management Interface Supports multiple Gateways ATA GATEWAY 1 Port-mirroring Syslog forwarding Fileserver DC1 DC2 DC3 DC4 ATA CENTER DB Fileserver ATA Lightweight Gateway SIEM :// DNS
  • 136. DC1 10.10.1.1 DC2 10.10.1.2 DC3 10.10.1.3 SIEM ATA CENTER Port mirror group 1 Event forwarding to gateway 1 ATA GATEWAY 1 DC4 10.10.1.4 DC6 10.10.1.6 Mgmt adapter – 10.10.1.111 Computer Certificate – gateway1.contoso.com IIS – 10.10.1.101 Web Server Certificate – webata.contoso.com ATA Center – 10.10.1.102 Computer Certificate – center.contoso.com DNS ATA Lightweight Gateway ATA Lightweight Gateway ://
  • 137. Q&A