שירות Windows Defender ATP

הסייבר הפך כבר מזמן להיות חלק אינטגרלי בחיי היומיום של אנשי אבטחת מידע בגלל מספר סיבות בינהם השינוי שחל בשנים האחרונות ובעיקר בתקופה האחרונה.
בתקופה האחרונה אנו עדים למתקפות שונות בהם התוקפים נהיים יותר חכמים, המתקפות נהיו יותר קשות והנזק שנגרם הוא בהתאם.
כיום אנו משקיעים משאבים רבים באבטחת מידע בארגון ולא בהכרח הארגון מוגן כמו שאנו רוצים ועדיין חסרים לנו משאבים נוספים ולכן ארגונים משקיעים את המיטב בכדי להיות מוכנים למתקפה שתגיע וכן היא תגיע… המטרה שלנו היא אחת, למזער נזקים.

image

כאמור יותר ויותר ארגונים משקיעים תקציבים רבים, זמן ומשאבים רבים של הארגון רק בכדי לא להיות חלק ממתקפות של טרויאנים, אקספלוייטים, פגיעות של זירו DAY, פצצות לוגיות ומתוזמנות, רשתות בוטנט, פישינג ועוד.
בתוך כל הבלאגן הזה ישנם משתמשי קצה שכל עניינם הוא להשתמש במכשירים השונים מול משאבי הארגון ובלי “כאבי ראש” של אבטחת מידע ומצד המשתמשים כמה שיותר פשוט ככה יותר טוב.
ארגונים שעובדים לפי מדיניות צריכים לוודא את פעולות והתנהגות המשתמשים ולכן בעולם שבו אנו צריכים לדעת מה קורה בכל רגע נתון עם תחנות קצה ומשתמשים בארגון אנו לא יכולים להשאיר את המשתמשים חשופים מול כל מיני התקפות וללא השגחה, כיום ישנם כלים שעושים הגנה על תחנות קצה בארגון מפני איומים ומתוך ממשק אחד.
שירות Windows Defender Advanced Threat Protection נועד לבצע הגנה, ניטור, זיהוי ותגובה לאיומים מול תחנות הקצה.

image

רקע

Windows Defender ATP הוא שירות סייבר שמבוסס על שירות ענן ועובד מול תחנות קצה מבוססות Windows 10 גרסה 14332 ומעלה.
המטרה שלו היא לבצע: זיהוי, מחקר, ומענה לאיומים רגילים ואיומים מתקדמים לתחנות קצה וכל זאת מתוך ממשק אחד שמתריע ומספק דוחות מתקדמים על הנעשה בתחנות הקצה.

זיהוי

מספק מידע לגבי מתקפות שקיימות בתחנות קצה פירוט על זמן התרחשות המתקפה, מהיכן תקפו, מה נפגע ועוד.
WDATP מושתת על מנגנון זיהוי חכם של מתקפות שמשלב בתוכו שירותי רשת: כגון: חיישנים, מידע אנאליטי של סייבר, מידע לגבי איומים ומול Security graph.
יכולות security graph מספקות מידע עצום על בי Big Data שנותן מידע לגבי אנומליות ברשת על פני מאות מילוני תחנות קצה, טריוליוני קישורים שנעשה להם אינדקסים וקבצים חשודים שמתווספים בכל יום.

תגובה

לאחר זיהוי השירות מבצע מחקר ובדיקה על הרשת הארגונית במטרה למצוא סוגי מתקפות שונים ולבדוק האם נעשו פעולות שונות ע”י האקרים מול אותם תחנות קצה שנסרקות.
בכדי ללמוד מה קורה בתחנות הקצה ואת צורת ההתנהגות של התחנות קצה WDATP מבצע בדיקה עד חצי שנה אחורה וע”י כך ממקסם את יכולות הזיהוי וההתראה בזמן אמת.
הכלים שעובדים עם WDATP מחליפים את הצורך בחיפוש אחר לוגים, תהליכים, ובדיקת הרשת הארגונית בכל פעם מחדש.

פתרון מתקדם

WDATP מבוסס על Windows 10 ולכן אינו מצריך התקנות, מתעדכן באופן אוטומטי ואינו מצריך עלויות נוספות.
בנוסף לכך מבוסס על שירות ענן וע”י כך משלים לפתרון Office 365.

ארכיטקטורה

הארכיטקטורה של WDATP מחולקים למספר רכיבי ענן ורכיבי קצה:

  • חיישנים

    ברמת Windows 10 ישנם חיישנים שתפקידם הוא לבצע איסוף של המידע ולעבד סיגנאלים מתוך מערכת ההפעלה כדוגמת: תהליכים, קבצים, תקשורת ברשת, ערכי Reg ועוד.
    החיישנים שעמם עובד WDATP הם בין היתר: MSRT, Defender וכלים נוספים.
    לאחר איסוף המידע נשלח המידע אל שירות הענן שם הוא מסווג בהתאם לסיכונים הקיימים.

  • ניתוח המידע

    המידע שמגיע אל שירות הענן עובר כמה תהליכים לבדיקה של המידע, סיווג המידע לפי סיכון, שיוך המידע לאיומים (במידה ונמצא סיכון) ונכנס אל מאגר עצום של איומים וסיכונים. לאחר מכן המידע עובר תהליך נוסף שבו מוצעים תגובות ואפשרויות לסידור הבעיות.
    הטכנולוגיות שעמם עובדים ברגע הם machine-learning, big data, data analytics ולכן מדובר על מאגר עצום שהולך ומתרחב כל העת.

  • איומים ומודיעין

    המידע שנאגר בענן נאסף ע”י כמה פרמטרים:

  • מערכות הפעלה עם Windows 10
  • שיתופי פעולה עם ספקיות בתחום א”מ
  • צוותים שמבצעים בדיקות לגבי איומים חדשי

    ע”י כך מאגר המידע והמודיעין של WDATP הוא נרחב מאד וכלל מידע לגבי איומים קיימים ואיומים שמתחדשים כל העת.

  • ממשקים

    הממשקים שעימו אנו עובדים הוא הממשק הראשי של WDATP שנקרא Windows Defender Security ומאפשר לראות את רכיבי הקצה המנוטרים, איומים וסיכונים, דרכי ביצוע בזמן בעיה ועוד.
    Windows Defender ATP service components

    לסיכום

    WDATP מספק לנו שירות ענן חדש שתפקידו העיקרי הוא לנטר את התחנות ולזהות איומים וסיכונים בזמן אמת עם דרכי ביצוע.
    בכדי לעבוד עם WDATP אנו נדרשים לעבוד עם Windows 10 בילד 14332 ומעלה.
    שירות הענן עובד עם מאגר מידע עצום ולכן יכול להתריע על איומים ישנים וחדשים.

  • להשאיר תגובה

    הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

    הלוגו של WordPress.com

    אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

    תמונת Twitter

    אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

    תמונת Facebook

    אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

    תמונת גוגל פלוס

    אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

    מתחבר ל-%s