Op heterdaad betrapt met Windows Defender Advanced Threat Protection (ATP)

Door: Albert Neef | 16-01-2017

U leest of ziet het bijna dagelijks op televisie of nieuwssites. Bedrijven die een digitale inbraak hebben gehad en waarvan de bedrijfsgegevens zijn gestolen. Dit is de nachtmerrie van elk bedrijf. Dit gebeurt de laatste jaren steeds vaker. Hackers staan niet stil. Ook zij ontwikkelen door en bedenken nieuwe methodes en strategieën om op een bepaalde manier bij onze data te kunnen komen en te bemachtigen. Aanvallen worden alsmaar slimmer, sneller en complexer. Hierdoor wordt het bijna onmogelijk voor organisaties om zich tegen te weren of te vechten. Dit maakt een nieuwe aanpak noodzakelijk en daarom heeft Microsoft nieuwe oplossingen ontwikkeld genaamd Windows Defender Advanced Threat Protection (ATP). 

Aanvallen: vroeger en anno 2017 
In de sessie van Brad Anderson op Microsoft Ignite vorig jaar sprak Brad Anderson over aanvallen vroeger en trekt de vergelijking met de hedendaagse digitale wereld.  



Brad Anderson had het over een oud kasteel in England. Dit kasteel had alles, een koning, een koninkrijk, een leger en een volk dat zich erg veilig voelden. Zij waren echt veilig en dat was terecht. Het veilige gevoel kwam door de muren. Het kasteel had dikke muren en daardoor had het kasteel veel aanvallen doorstaan, het kasteel had er erg veel gehad. De muren waren zo gebouwd om de aanvallen van zwaarden en cavalerie te kunnen verdedigen.

Tot op de dag dat zij het kruit ontdekt hadden. Dit zorgde voor een vernieuwing in het arsenaal. Zwaarden werden vervangen door pistolen en cavalerie door kanonnen. Hier waren de muren niet voor gebouwd. De kanonnen waren krachtig genoeg om de muren open te breken. Het kasteel had binnen no-time een inbraak en de vijand kon zo naar binnen om het kasteel te veroveren. 



Ook vandaag de dag gebeurd dit. De aanvallen worden slimmer, sneller en complexer. Hackers proberen steeds met een nieuwe methode bij bedrijfsgegevens te komen. Het voorkomen van inbraak is bijna niet meer mogelijk. Het is zo, dat ieder bedrijf weleens te maken heeft gehad met een inbraak. Hackers kunnen buiten detectie om naar binnen. Dit lijkt dan niet op een inbraak, maar dat is het natuurlijk wel.

Het is daarom beter dat wij ons focussen op een andere aanpak. Niet meer focussen op inbraak, maar op de manier wat de hacker doet qua handelingen na de inbraak. Na de inbraak begint de hacker namelijk met zijn tools. Dit zijn kwaadwillende processen die een hacker in een netwerk loslaat, dorstig naar bedrijfsgegevens. Een hacker heeft gemiddeld 200 dagen de tijd totdat hij ontdekt wordt. De hacker heeft daarom voldoende tijd om de gegevens op te zoeken en te stelen, voordat uw IT-team ontdekt dat er een aanval plaatst heeft gevonden.
 
Hackers
Afbeelding 1. De snelheid van een attack

Pre-Breach
Iedereen heeft een Pre-Breach mechanisme op zijn of haar computer staan. Denk aan Microsoft's antimaleware endpoint oplossing; Windows Defender. Windows Defender is een standaard antimaleware oplossing geïntegreerd in Windows 10. Windows Defender focust zich op een Pre-Breach benadering, hanteert zich als een poortwachter. Windows Defender controleert alle gegevens welke naar binnen willen. Denk hierbij aan bestanden of het geheugen. Mocht het kwaadaardig zijn, wordt het in real-time geblokkeerd. Deze tool is niet breach-proof. Windows Defender kan geavanceerde aanvallen welke gebruik maakt van Zero-days, social engineering en non-malicious tools niet detecteren en blokkeren.

Post-Breach 
Bij een Post-Breach wordt ervan uitgegaan dat de aanval al is gebeurd. Hierdoor gaat de hacker als een soort Flight Recoder en Crime Scene Investigator (CSI) te werk. Dit zorgt ervoor dat alles wordt gemonitord en verzameld van een aanval welke op dat moment aan de gang is. De gegevens van de aanval worden verzameld en naar het Microsoft Securityteam verstuurd. Het Securityteam kan op dat moment de aanval identificeren en onderzoeken zodat de aanval de volgende keer niet onopgemerkt blijft. Om Pre-Breach security solution stack compleet te maken zorgt Post-Breach dat de gemiste signalen en voorbeelden bij de Pre-Breach bekend zijn.
Your security posture
Afbeelding 2. Your Security Posture

The Windows Post-Breach Solution
Sinds de update van Windows 10, Anniversary Update, gebruikt Windows een eigen Post-Breach oplossing. Deze oplossing heet Windows Defender Advanced Threat Protection (ATP). Deze nieuwe service maakt het endpoint security stack, bestaande uit o.a. Windows Defender, SmartScreen en diverse OS hardening features, compleet. ATP maakt gebruik van de sensoren welke in Windows 10 geïntegreerd zijn en security analyse welke uit Microsofts Cloud wordt gehaald. Met deze gegevens kunnen de geavanceerde aanvallen worden ontdekt en onderzocht voordat ze uw netwerk binnen vallen. 

Pre-post Breach
Afbeelding 3. Pre-Breach en Post-Breach

Windows Defender ATP maakt gebruik van de onderstaande technologieën welke in Windows 10 zijn gebouwd of maakt gebruik van Microsofts cloud services:

  • Endpoint behavioral sensors – Geïntegreerd in Windows 10, deze sensoren verzamelen en verwerken gedragsmatige signalen van het besturingssysteem (bijvoorbeeld, proces, het register, en het netwerk) en stuurt deze telemetrie naar uw private Cloud instance
  • Cloud Security Analytics – Gebruikmakend van big data, machine-learning en unieke Microsoft optiek over de Windows-ecosysteem (zoals de Microsoft Malicious Software Removal Tool, Enterprise Cloud-producten (zoals Office 365), en online assets (zoals Bing en SmartScreen URL-reputatie), gedrags-signalen worden vertaald in inzichten, detecties, en op tijd reageren op geavanceerde bedreigingen
  • Threat Intelligence – Gegenereerd door Microsoft hunters, securityteams, en aangevuld met informatie over Threat Intelligence die door partners, Threat Intelligence schakelt Windows Defender ATP in om attackers tools, technieken en procedures te identificeren, en het genereren van waarschuwingen wanneer deze worden waargenomen in verzamelde telemetrie.

 Technet ATP
Afbeelding 4. Windows Defender ATP portal

In creators upgrade voor Windows 10 krijgt Windows Defender Advanced Threat Protection nieuwe acties en inzichten, waaronder het toevoegen voor het onderzoeken en reageren op netwerkaanvallen, inclusief sensoren in het geheugen, intelligentie en nieuwe herstelfuncties.

Daarom is Windows Defender Advanced Threat Protection (ATP) de aanvulling op het endpoint security stack van Windows 10. Een inbraak ontkomt u niet meer aan. Om achter de Pre-Breach een CSI en Flight Recorder mechanisme te plaatsen zorgt dat de aanval niet onopgemerkt zijn gang kan gaan en dat het proces van de aanval opgenomen wordt.  De gegevens belanden bij het securityteam zodat zij op een snelle manier kunnen analyseren en reageren. Deze gegevens belanden ook in de Cloud. Hierdoor wordt de Pre-Breach bijgewerkt op basis van nieuw informatie over de geavanceerde aanval. Dit maakt het cirkeltje compleet. De onderdelen vullen ze zich aan en hiermee vormen ze zich als een goede antimalware oplossing op uw Windows 10 werkplek. 

The Windows 10 defense stack

Afbeelding 5. The Windows 10 Defense Stack

Wilt u samen met Albert Neef sparren over Windows Defender Advanced Threat Protection als beveiligingsstrategie? Stuur Albert Neef een bericht en ontdek samen wat de mogelijkheden zijn.