Logelemzést kombinál vírusirtóval az új Microsoft-megoldás

Új előfizetős biztonsági szolgáltatást jelentett be a Microsoft. A Windows Defender Advanced Threat Protection (WDATP) kimondottan vállalatoknak szól, a rendszer lényegét pedig a mögé tett komplex felhős analitikai platform adja. A gyakorlatban a szolgáltatás a hagyományos antivírus funkciókat egy logelemző motorral fejeli meg, amely képes a komplex támadásokat is időben észlelni és riasztani - legalábbis a vállalat szerint.

Az új megoldás a Windows Defender márkát használja, de a hagyományos vírusvédelemhez képest számos új képességet kínál az előfizetőknek. A legfontosabb különbség, hogy a WDATP nem csak passzív védelem, tehát nem kizárólag preventíven akarja megakadályozni a sikeres behatolást, hanem aktív, mélységi védelemként a sikeres behatolást követően igyekszik minél hamarabb észlelni és riasztani, mielőtt a támadó komoly erőforrásokhoz szerezne hozzáférést.

Felhőben a kraft

A WDATP tehát szolgáltatás formájában vezető igénybe, amelyet kimondottan vállalati ügyfeleknek szán a Microsoft és kizárólag Windows 10-en érhető el. A cég blogbejegyzése szerint a WDATP "kombinálja a Windows 10-be épített kliensoldali technológiát és az ütős felhős szolgáltatást, így segít észlelni azokat a fenyegetéseket, amelyek átjutottak a többi védelmi vonalon". A rendszer nem csak riasztást nyújt természetesen, hanem a feltételezett behatolás részleteiről is értesíti az üzemeltetői csapatot, így az elhárítás gyors és hatékony lehet.

A cég saját adatai szerint egy biztonsági incidens átlagosan mintegy 200 napig marad észrevétlenül, majd további 80 napig tart a takarítás, vagyis a támadás tulajdonképpeni elhárítása. Ez azt jelenti, hogy sikeres támadás esetén (átlagosan) több, mint 9 hónapig szabadon garázdálkodhatnak a támadók. A fenti adatok fényében bizony lehet piaca a WDATP-nek, kérdés, hogy a szolgáltatás üzenetét hogyan fogadja majd a megcélozott ügyfélkör.

Hogyan működik?

A Microsoft szerint a WDATP hozzáadott értékét a mögé állított komplex felhős infrastruktúra adja. A rendszer a passzív védelemben is szerepet játszik, a milliárdnyi windowsos PC-ről összegyűjtött anonim biztonsági információhalmaz, a Bing által folyamatosan indexelt billiónyi URL és a felhős sandboxolt környezetben vizsgált napi egymillió állomány vizsgálata nyomán hatékonyabb a malware-védelem.

De az igazi újdonság a logelemző megoldás. A rendszer folyamatosan naplózza a kliensek állapotát és aktivitását, amelyből bizonyos időszakon belül meg tudja határozni egy viselkedési mintát. Amennyiben a gép ettől igen látványosan eltér - például a prezentációra használt laptop hirtelen komplex PowerShell-szkripteket kezd futtatni és nagy mennyiségben tölt le állományokat a központi SharePoint szerverről, a szolgáltatás automatikusan riasztani tudja az üzemeltetőket. Ha valahonnan ismerős ez a megközelítés, az nem véletlen, a magyar Balabit által fejlesztett Blindspotter pont erre a logikára épül - nem véletlenül, hiszen a cég fő kompetenciája pont a logelemzés.

A kliensek állapotára és aktivitására vonatkozó naplófájlokat fél évre visszamenőleg vizsgálhatóvá teszi a WDATP, olyan részletekkel, mint a futó folyamatok (processek), megnyitott állományok és URL-ek, indított hálózati kapcsolatok. A nyers naplófájlokkal szerencsére nem az üzemeltetőnek kell bűvészkednie, a rendszer beépített eszközöket kínál az elemzéshez, amellyel egyes kliensek, vagy akár a teljes vállalati hálózat is egyszerre vizsgálható, így könnyebben rekonstruálható a támadás.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

A Microsoft szerint a WDATP nagyszerűen illeszkedik a cég két másik biztonsági megoldása, az Office 365 Advanced Threat Protection és a Microsoft Advanced Threat Analytics mellé. Ezt a két IT-biztonsági rendszert is hasonló támadások ellen fejleszti a Microsoft, és a WDATP-vel együtt ezek is az új generációs célzott behatolási kísérletek ellen szállnak harcba, de különböző frontokon. Míg a WDATP kimondottan a kliensoldali védelmet célozza, az ATA a céges hálózat és a kiszolgálók védelméért felel, míg az O365 ATP az emailen érkező támadások elhárítására szolgál.

A bejelentés szerint a Microsoft már egy ideje használja a WDATP-t a saját rendszerén, nemrég pedig néhány nagyobb partner is elkezdte tesztelni a megoldást. A rendszer várhatóan a Windows 10 következő "Redstone" előzetesével válik szélesebb körben is tesztelhetővé az év folyamán. A kereskedelmi rajtról (és az árakról) a cég egyelőre nem nyilatkozik, de várhatóan egy éven belül esedékes lehet.