Windows 10なら「マルウェアに感染しても大丈夫」ってホント? という記事を見つけました。
こんにちは。日本マイクロソフトでWindows 10の技術営業を担当している山本築です。今回は、8月2日にリリースした「Anniversary Update」で追加された新機能「Windows Defender ATP(Advanced Thread Protection)」をご紹介します。
今や多くの企業にとって、標的型攻撃をはじめとするサイバー攻撃は、経営を揺るがしかねない脅威となっています。もし自分の会社が攻撃に遭ってしまったらどうすればいいのか――と対策を進める企業は多いのではないでしょうか。
これまでWindowsでは、端末への攻撃を未然に防ぐ機能をそろえてきましたが、Windows Defender ATPは“端末が攻撃され、マルウェアに感染した後”に重点を置いているのが特徴だと言えます。
マルウェア感染後に重点を置いた「Windows Defender ATP」
通常の標的型攻撃は、なりすましメールに添付したexeファイルを起動させ、デバイスをマルウェアに感染させます。そして、どのポートが開いているのかを探してバックドアを仕込み、C&Cサーバとアクセスを確立させて横展開――といったフローで行われます。
こうした攻撃をいち早く検知するため、Windows Defender ATPでは、プロセッサやレジストリ、ファイル、ネットワークといったクライアントの動作ログを収集し、平時と異なる挙動があるかどうかを監視します。さらに、クライアントの動作ログを、ユーザーが契約したAzureの専用テナントにアップすることで、第三者機関や同社のセキュリティチームが収集した脅威情報データベースと照合できます。
Azure上には、10億台を超えるWindowsデバイスや2兆5000億のインデックスされたURL、6億件のオンライン評価、そして、毎日発生する100万件の不審なファイルなどから得られる情報が蓄積されています。この膨大な情報を分析することで、異常な挙動がすぐに識別できるというわけです。
照合の結果、異常だと判定されればアラートが出て、管理者が専用テナントにアクセスして分析結果を確認する――といった仕組みで、インシデントの早期発見を導きます。SIEM(Security Information and Event Management)などを導入していれば、情報をエクスポートして一元管理することも可能です。
これらの機能は、Anniversary Updateを適用した「Windows 10 Pro」または「Windows 10 Enterprise」に標準搭載しているため、追加インストールなしで使用できます(ただし、ライセンスの契約が別途必要です)。
それでは、ユーザーはどのようにインシデントを確認するのか、実際の管理画面で説明していきましょう。
Windows Defender ATPでインシデントの原因を調査する
Windows Defender ATPで検知したアラートは、ダッシュボード画面の左上に表示されます。危険度に応じて、赤(High)、オレンジ(Medium)、黄色(Low)の3色で色分けされており、赤色は既にマルウェアに感染していることを示しています。
各アラートの直前のイベントを追っていくと、どのようにハッカーが端末を操作し、マルウェア感染につなげたかが確認できます。階層化してイベントをたどることもでき、最終的に不正なC&Cサーバとアクセスしたというようなイベントまで追跡できるのです。
「Windows Defender ATP」を使えるライセンス
今回紹介したWindows Defender ATPを使用するには、2016年10月に新しく追加された「Windows 10 Enterprise E5」というライセンスを購入する必要があります。
これまでのWindows Enterpriseは、9月に「Windows 10 Enterprise E3」という名前に変わっています。E3を購入済みの企業で上位ライセンスのE5にしたいという場合は、差額をお支払いいただければOKです。
この連載では、サイバー攻撃のフェーズに合わせた多層防御でセキュリティ対策を行う必要があると紹介しましたが、Windows Defender ATPは「攻撃されている事をすぐに検知する」という層にあたります。
いかがでしたでしょうか。マルウェアやサイバー攻撃の手法はとてつもないスピードで進化しており、どれだけ最新のセキュリティ機能を実装しても、端末にマルウェアが侵入するのを100%防ぐのは非常に困難な時代になっています。
マイクロソフトでも2015年の下期に200万件の攻撃を受け、そのうち41件の侵入を許しました。完全に新規の攻撃でパターンファイルが対応してなかったためです。しかし、41回侵入されても、情報漏えいは一度もありません。Windows Defender ATPを社内にも導入しており、早期の発見と対処が行えたためです。
仮にマルウェアに感染しても、被害を最小限に抑える――Windows Defender ATPは、今のトレンドに合致した機能といえるでしょう。無償で検証できるWebサイト(参照リンク)も用意していますので、ぜひ試していただければと思います。
素晴らしい機能だと思いきや 有料?
こんにちは。日本マイクロソフトでWindows 10の技術営業を担当している山本築です。今回は、8月2日にリリースした「Anniversary Update」で追加された新機能「Windows Defender ATP(Advanced Thread Protection)」をご紹介します。
今や多くの企業にとって、標的型攻撃をはじめとするサイバー攻撃は、経営を揺るがしかねない脅威となっています。もし自分の会社が攻撃に遭ってしまったらどうすればいいのか――と対策を進める企業は多いのではないでしょうか。
これまでWindowsでは、端末への攻撃を未然に防ぐ機能をそろえてきましたが、Windows Defender ATPは“端末が攻撃され、マルウェアに感染した後”に重点を置いているのが特徴だと言えます。
マルウェア感染後に重点を置いた「Windows Defender ATP」
通常の標的型攻撃は、なりすましメールに添付したexeファイルを起動させ、デバイスをマルウェアに感染させます。そして、どのポートが開いているのかを探してバックドアを仕込み、C&Cサーバとアクセスを確立させて横展開――といったフローで行われます。
こうした攻撃をいち早く検知するため、Windows Defender ATPでは、プロセッサやレジストリ、ファイル、ネットワークといったクライアントの動作ログを収集し、平時と異なる挙動があるかどうかを監視します。さらに、クライアントの動作ログを、ユーザーが契約したAzureの専用テナントにアップすることで、第三者機関や同社のセキュリティチームが収集した脅威情報データベースと照合できます。
Azure上には、10億台を超えるWindowsデバイスや2兆5000億のインデックスされたURL、6億件のオンライン評価、そして、毎日発生する100万件の不審なファイルなどから得られる情報が蓄積されています。この膨大な情報を分析することで、異常な挙動がすぐに識別できるというわけです。
照合の結果、異常だと判定されればアラートが出て、管理者が専用テナントにアクセスして分析結果を確認する――といった仕組みで、インシデントの早期発見を導きます。SIEM(Security Information and Event Management)などを導入していれば、情報をエクスポートして一元管理することも可能です。
これらの機能は、Anniversary Updateを適用した「Windows 10 Pro」または「Windows 10 Enterprise」に標準搭載しているため、追加インストールなしで使用できます(ただし、ライセンスの契約が別途必要です)。
それでは、ユーザーはどのようにインシデントを確認するのか、実際の管理画面で説明していきましょう。
Windows Defender ATPでインシデントの原因を調査する
Windows Defender ATPで検知したアラートは、ダッシュボード画面の左上に表示されます。危険度に応じて、赤(High)、オレンジ(Medium)、黄色(Low)の3色で色分けされており、赤色は既にマルウェアに感染していることを示しています。
各アラートの直前のイベントを追っていくと、どのようにハッカーが端末を操作し、マルウェア感染につなげたかが確認できます。階層化してイベントをたどることもでき、最終的に不正なC&Cサーバとアクセスしたというようなイベントまで追跡できるのです。
「Windows Defender ATP」を使えるライセンス
今回紹介したWindows Defender ATPを使用するには、2016年10月に新しく追加された「Windows 10 Enterprise E5」というライセンスを購入する必要があります。
これまでのWindows Enterpriseは、9月に「Windows 10 Enterprise E3」という名前に変わっています。E3を購入済みの企業で上位ライセンスのE5にしたいという場合は、差額をお支払いいただければOKです。
この連載では、サイバー攻撃のフェーズに合わせた多層防御でセキュリティ対策を行う必要があると紹介しましたが、Windows Defender ATPは「攻撃されている事をすぐに検知する」という層にあたります。
いかがでしたでしょうか。マルウェアやサイバー攻撃の手法はとてつもないスピードで進化しており、どれだけ最新のセキュリティ機能を実装しても、端末にマルウェアが侵入するのを100%防ぐのは非常に困難な時代になっています。
マイクロソフトでも2015年の下期に200万件の攻撃を受け、そのうち41件の侵入を許しました。完全に新規の攻撃でパターンファイルが対応してなかったためです。しかし、41回侵入されても、情報漏えいは一度もありません。Windows Defender ATPを社内にも導入しており、早期の発見と対処が行えたためです。
仮にマルウェアに感染しても、被害を最小限に抑える――Windows Defender ATPは、今のトレンドに合致した機能といえるでしょう。無償で検証できるWebサイト(参照リンク)も用意していますので、ぜひ試していただければと思います。
素晴らしい機能だと思いきや 有料?