Защита Windows и усиление защиты устройств Windows - это текущие задачи, которые становятся еще более сложными, поскольку это наиболее часто используемая корпоративная ОС и, следовательно, одна из наиболее целевых сред для злоумышленников.
Безопасность Windows требует глубокого понимания операционной системы, ее пользователей и устройств, а также ее настроек. Специалисты по кибербезопасности Марк Данкерли и Мэтт Тумбарелло написали "Освоение безопасности Windows и ужесточение: Защищайте среду Windows от киберугроз с использованием принципов безопасности с нулевым доверием" - подробное руководство, которое помогает специалистам по безопасности, архитекторам решений и системным администраторам получить представление, необходимое для успешной защиты Windows. Их книга охватывает все - от основ безопасности Windows до безопасности Windows server и усиления защиты клиентов Windows.
В следующем интервью авторы Данкерли и Тумбарелло делятся своими лучшими советами по корпоративной безопасности Windows, в том числе объясняют, почему для служб безопасности было бы разумно использовать низко висящие фрукты в качестве отправной точки на пути к блокировке среды Windows своей компании.
Ознакомьтесь с выдержкой из главы 10 "Освоение безопасности и усиления защиты Windows", чтобы узнать, как использовать Microsoft Intune, облачную платформу управления конечными точками, для настройки параметров конфиденциальности Windows.
Примечание редактора: Следующее интервью было отредактировано для ясности и лаконичности.
Почему вы написали эту книгу?
Марк Данкерли: Windows - самая крупная операционная система с точки зрения корпоративного пользователя. Существует не так много книг, которые объединяют безопасность Windows и ужесточение в одно целое. Мы определили возможность охватить более широкие аспекты безопасности Windows и выйти за рамки простого определения базовой линии для усилий по обеспечению безопасности предприятия. Мы хотели помочь организациям с модернизированными мерами безопасности защитить Windows в целом.
Мэтт Тумбарелло: Будучи фанатом Microsoft Learn и Docs, существует множество информации о Windows и защищенных устройствах. Мы хотели объединить часть этой информации и представить ее по-другому. И мы хотели помочь избавить администраторов и группы безопасности от необходимости просматривать тысячи и тысячи ресурсов в Интернете.
Какую главу вы считаете наиболее важной?
Тумбарелло: Глава 5, где мы рассмотрим управление идентификацией и доступом [IAM]. Так много вопросов безопасности перешло от усиления сети и периметра к защите уровня идентификации. Идентификация играет ключевую роль в общей безопасности Windows.
Данкерли: Глава IAM ближе всего моему сердцу. Идентичность - это новый периметр. Независимо от того, насколько вы защищаете устройство, независимо от того, что вы делаете - как только личность была скомпрометирована, злоумышленник получает доступ ко всему остальному на этом устройстве Windows.
Каков ваш главный совет по безопасности Windows Enterprise?
Данкерли: У меня есть два варианта: сосредоточиться на нулевом доверии и использовать многоуровневый подход к обеспечению безопасности. У Zero trust доступно несколько моделей. У Microsoft есть свой собственный с шестью столпами для защиты устройства, идентификации, инфраструктуры, сети, данных и приложений. Мой совет состоял бы в том, чтобы внедрить нулевое доверие с большим акцентом на защиту личности.
Тумбарелло: Я предлагаю организациям создать базовый уровень безопасности. Если говорить более тактично об устройствах и конфигурациях Windows, выберите такую организацию, как CIS [Центр интернет-безопасности], и сосредоточьтесь на ее рекомендациях и контрольных показателях в качестве отправной точки. Это может быть особенно полезно, если исходные данные еще не установлены.
Какой самый сложный аспект безопасности и усиления защиты Windows?
Тумбарелло: Многое приходит на ум, потому что это постоянно развивающееся пространство. Например, сложно быть в курсе последних уязвимостей - от отслеживания до усилий по исправлению. Еще одна проблема заключается в том, чтобы убедиться, что ваша программа управления исправлениями эффективна и что вы применяете последние рекомендуемые конфигурации безопасности. Также сложно создать эффективную систему мониторинга и убедиться, что вы фиксируете правильные источники журналов для журнала аудита.
Данкерли: Одна из самых больших проблем заключается в том, что технологии продолжают развиваться быстрыми темпами. Большинство компаний все еще используют устаревшее или гибридное развертывание и пытаются модернизироваться, не отставая от текущих угроз. Я согласен, что исправление ошибок - это непростая задача. Мы традиционно обновляем тестовые устройства после обновления во вторник и проверяем отсутствие проблем в течение недели или более, затем, возможно, через месяц, обновляем все производственные устройства. Это больше неприемлемо. Обновления должны быть запущены немедленно, даже с риском того, что мы можем сломать приложение в процессе. Мы не можем рисковать быть скомпрометированными из-за того, что не запустили исправления сразу.
На какие низко висящие плоды могут нацелиться команды, чтобы быстро повысить безопасность Windows на предприятии?
Тумбарелло: Сначала сосредоточьтесь на присоединении к Azure Active Directory [AD] и сделайте это приоритетом. [Это означает подключение всех пользовательских устройств к Azure AD вашей организации.] При использовании Azure AD настройте политики условного доступа и настройте проверки соответствия устройств с помощью Intune. Это включает в себя проверку того, что на оборудовании включена безопасная загрузка, устройства зашифрованы и включен антивирус, а также проверку выполнения сканирования и актуальности определений. Кроме того, в серверной части предусмотрена защита от угроз обнаружения конечных точек и реагирования на них, которая отслеживает эти конечные точки. Наконец, убедитесь, что в учетных записях пользователей включена многофакторная аутентификация.
Говоря о мониторинге конечных точек, каков наилучший способ борьбы с теневыми ИТ?
Данкерли: Тень - это сложная задача, поскольку это неизвестность. Один из способов борьбы с теневыми ИТ-технологиями - наладить лучшие отношения с различными областями бизнеса, чтобы больше взаимодействовать с ними и их результатами. Для управления теневыми ИТ и сокращения их масштабов необходима поддержка на более широком организационном уровне. С технической точки зрения, обеспечьте единый вход для всех приложений, чтобы обеспечить большую видимость во всех бизнес-приложениях. Используйте брокер безопасности облачного доступа [CASB], чтобы передавать все ваши приложения через облачный прокси-сервер. Это дает вам видимость и понимание того, какой трафик существует и к чему обращаются пользователи.
Тумбарелло: Это сложно с точки зрения конечных точек, поэтому, чем больше приложений вы сможете перенести в облако, тем лучше будет мониторинг, если дополнить его продуктами сторонних производителей. Как сказал Марк, наличие CASB имеет огромное значение, потому что все может проходить через него, чтобы помочь идентифицировать ЕГО. Наличие программы предотвращения потери данных идентифицирует и классифицирует данные, чтобы получить представление о том, что происходит с ними на устройствах в окружающей среде. Это также помогло бы контролировать ЕГО затенение.
Об авторах
Марк Данкерли - лидер в области кибербезопасности и технологий с более чем 20-летним опытом работы в сфере высшего образования, здравоохранения и компаниях из списка Fortune 100. Данкерли обладает обширными знаниями в области ИТ-архитектуры и кибербезопасности, предоставляя безопасные технологические решения и услуги. У него есть опыт в облачных технологиях, управлении уязвимостями, управлении рисками поставщиков, управлении идентификацией и доступом, операциях безопасности, тестировании безопасности, осведомленности и обучении, безопасности приложений и данных, управлении инцидентами и реагированием, регулировании и соблюдении требований и многом другом. Данкерли имеет степень магистра делового администрирования и получил сертификаты через (ISC)2, AirWatch, Microsoft, CompTIA, VMware, Axelos, Cisco и EMC. Он выступал на нескольких мероприятиях, является автором публикаций, входит в состав советов по консультированию клиентов, опубликовал несколько тематических исследований и входит в число лучших лидеров журнала Security в области кибербезопасности за 2022 год.
Мэтт Тумбарелло - старший архитектор решений. Он имеет большой опыт работы со стеком безопасности Microsoft, Azure, Microsoft 365, Intune, Configuration Manager и технологиями виртуализации. У него также есть опыт работы непосредственно с руководителями Fortune 500 в качестве технического консультанта. Компания Tumbarello опубликовала обзоры продуктов безопасности Azure, поставщиков систем управления привилегированным доступом и решений для защиты от мобильных угроз. Он также имеет несколько сертификатов Microsoft.
многа букав. пусть касперский этим занимается, за что ему платим то?