Sicherheit in der Digitalisierung

Von 26. Februar 2018 News, Azure Cloud
Windows Defender Titelbild

Maximaler Schutz mit Windows Defender

Pre- und Post-breach Schutz in der IT-Welt von morgen mit dem Windows Defender

Spätestens seit der Veröffentlichung von Windows 10 ist der in das Betriebssystem integrierte Antivirusschutz «Windows Defender» von Microsoft wieder in das Rampenlicht gerückt. Unter Windows Vista und Windows 8/8.1 wurde er meist mit einer Drittanbieterlösung ergänzt oder aufgrund fehlender Funktionen und einem eher spärlichen Schutz komplett ersetzt.

Mit der stetig zunehmenden Bedrohungslage durch Cyberkriminalität hat Microsoft aber erkannt, dass grundsätzlich jedes Gerät und jeder Endbenutzer passend geschützt werden muss. Der beste Weg dazu ist eine, im Betriebssystem integrierte, kostenlose Antiviruslösung.

Die Möglichkeit den Windows Defender direkt im Betriebssystem zu integrieren und spezielle Sensoren zu entwickeln verschafft dem Microsoft Virus Schutz einen klaren Vorteil gegenüber den herkömmlichen Antiviruslösungen, vor allem im Bereich Performance und Erkennung von Bedrohungen.

Was ist Windows Defender

Windows Defender schützt Endpunkte (Clients und Server) vor Schadsoftware. Die Antiviruslösung bietet folgende Funktionen:

  • Virus, Malware und Spyware Schutz und Entfernung
  • Boot-time, Real-time und Cloud-basierter Schutz
  • Netzwerk Inspektion
  • Automatische gratis Updates

Neu werden unter Windows 10 die verschiedenen Sicherheitsfeatures (Windows Defender, Firewall, Device Health, App & Browser Control) im “Windows Defender Security Center” zusammengefasst. Hier hat der Benutzer Zugriff auf alle sicherheitsrelevanten Funktionen und Programme seines Systems.

Wie können Windows Defender Endpunkte verwaltet werden?

WDATP Architektur

Um Windows Defender in einer Business Umgebung zu verwalten, können bestehende Microsoft Produkte verwendet werden:

  • System Center Configuration Manager (SCCM)
  • Microsoft Intune
  • Azure Security Center
  • Gruppenrichtlinien

Was ist Advanced Threat Protection

Advanced Threat Protection (ATP) ist ein Untersystem, welches auf dem Windows Betriebssystem und dem Windows Defender aufbaut, respektive diesen mit weiteren Funktionen ergänzt. ATP wird hauptsächlich im Post-Breach Bereich und für die Analyse von abnormalen Verhaltensmustern eingesetzt.

Windows Defender ATP besteht aus drei Teilen:

  1. Nutzung des Client-Endpoint-Behavioral-Sensors – ein Sensor welcher in Windows 10 (ab dem Anniversary Update) integriert ist. Dadurch werden Sicherheitsereignisse und Verhaltensweisen des Gerätes protokolliert.
  1. Cloudsicherheits-Analysedienst – historische und neue Daten von anderen durch Windows Defender geschützten Geräten werden durch Microsoft gesammelt. Diese Daten werden ausgewertet und auf schädliche und abnormale Verhaltensweisen und Ereignisse untersucht. Diese Informationen werden mit bekannten Angriffen und Schadsoftwaren verglichen. Die Analyse dieser Big-Data Umgebung wird durch generische Analysen, Machine Learning und mit der Erkennung von Kompromittierungsindikatoren (Indicators of Compromises, IOC) und Angriffsindikatoren (Indicators of Attack, IOA) durchgeführt.
  1. Microsoft und Community Intelligence – Spezialisten und Forscher von Microsoft untersuchen Daten, versuchen Verhaltensmuster zu erkennen und tauschen sich mit der Sicherheitscommunity aus.

ATP wird als Cloudservice im Rahmen einer Windows 10 Enterprise oder Education E5 Lizenz von Microsoft zur Verfügung gestellt. Der Administrator erhält im ATP Portal eine Übersicht über seine verknüpften Geräte und die aktuelle Bedrohungslage. Vom Portal aus kann er einzelne Geräte und Vorgänge detailliert überprüfen und Aktionen starten.

Besonders interessant ist hier der «Alert Process Tree» welcher schrittweise auflistet, wie die Bedrohung auf das Gerät gekommen ist und welche Prozesse ausgeführt wurden. Im Beispiel ist zu sehen, dass eine Word Datei geöffnet wurde welche wiederum einen PowerShell Prozess gestartet und eine verdächtige, falsche Bilddatei abgelegt hat.

Wenn noch weitere Informationen benötigt werden, bietet die «Deep analysis» Funktion Einblick in Kommunikationswege und Prozesse der schädlichen Applikation. Bei dieser Funktion wird die Datei an Microsoft gesendet und in wenigen Minuten automatisch tiefenanalysiert.

Windows Defender ATP Portal
Windows Defender Alert Process tree

Über das Portal hat der Administrator nun die Möglichkeit entsprechende Dateien zu blockieren, Geräte in die Quarantäne zu setzen und Scan-Vorgänge zu starten.

Was bedeutet «post-breach»?

Als «post-breach» wird der Zeitraum bezeichnet, nachdem ein Angriff auf ein System stattgefunden hat – sich ein Angreifer Zugriff verschafft hat. Im Durchschnitt bewegt sich ein Angreifer über 146 Tage auf den Systemen, bevor er erkannt wird. Daher ist neben einer «pre-breach» Lösung (klassische Antiviruslösung) auch eine «post-breach» Lösung und Strategie nötig. Mit dieser kann erkannt werden woher der Angriff gekommen ist, was auf welchen Systemen stattgefunden hat und wohin die Daten geschickt wurden. Nur mit diesen Informationen können die richtigen Gegenmassnahmen getroffen werden.

pre / post Breach

Experten sprechen heutzutage vom «assume breach mindset» – also, dass man davon ausgehen muss, dass die eigenen Systeme bereits infiltriert sind. Von diesem Standpunkt aus, muss entschieden werden welches das wichtigste (digitale) Gut ist und mit welchen Massnahmen dieses geschützt werden kann. Dazu ist einerseits eine taktische Abwehr (kurzfristig, die richtigen Mittel am richtigen Ort richtig eingesetzt) und andererseits eine strategische Abwehr (längerfristig, die richtigen Mittel einplanen und bereithalten) nötig.

Die Vorteile von Windows Defender & Advanced Threat Protection im Überblick

  • Windows Defender ist kostenlos und in das Betriebssystem integriert
    • Mit dem Kauf einer Windows 10 Lizenz erhalten Sie gratis mit dem Betriebssystem eine moderne Antiviruslösung mit regelmässigen Updates und einem aktuellen Bedrohungsschutz.
    • Aktualisierungen und Signaturen werden über Windows Update verteilt, es ist keine weitere Schnittstelle zu einem externen Updateserver nötig. Die Updates sind weltweit verfügbar.
  • Fügt sich in das Microsoft-Produkte-Ökosystem ein
    • Handhabung, Benutzeroberfläche und Funktionen fügen sich in die bekannten Microsoft (Cloud) Produkte ein. Endbenutzer und Administratoren finden sich so innert kurzer Zeit zurecht. Produkte, Dienste und Funktionen werden kombiniert und zusammengeführt.
  • Keine Client Installation notwendig
    • Windows Defender muss nicht installiert werden. Bei einer Migration kann der Windows Defender, unabhängig vom Einführungsszenario, einfach aktiviert werden.
  • Mit anderen Antiviruslösungen kompatibel
    • Wenn sie mit einer anderen Antiviruslösung weiterarbeiten möchten, aber trotzdem die Vorteile von Advanced Threat Protection nutzen wollen, können Sie den Windows Defender im passiv Modus betreiben.
  • Keine On-Premises Infrastruktur nötig
    • Bei einem Zuwachs von Clients, wird die nötige Rechenleistung von der Cloud zur Verfügung gestellt. Es fallen keine Wartung und Serverlizenzen für eine lokale Infrastruktur an.
  • Moderne Technologie mit bewährtem Microsoft Support und stetiger Weiterentwicklung
    • Mit Windows Defender ATP erhalten Sie bei Problemen und Fragen direkten, kompetenten Support von Microsoft. Sie müssen nicht über einen Zwischenhändler, welcher Ihnen die Antiviruslizenzen verkauft hat, zum Hersteller kommunizieren.
    • Seit längerer Zeit investiert Microsoft massiv Ressourcen in das Thema IT-Sicherheit um Global besser gegen die Bedrohungen gewappnet zu sein. Im Falle von Windows Defender ist dies für den Endbenutzer sogar kostenlos – es geht also nicht darum ein Produkt zu verkaufen, sondern die IT-Welt sicherer zu machen.
  • Neuste Funktionen und Milliarden von Analysedaten mit ATP
    • Die Funktionen des ATP Cloud Portals werden stetig verbessert und erweitert. Als Administrator haben Sie so immer Zugriff auf die aktuellsten Werkzeuge, ganz ohne Updates auf einem Management Server installieren zu müssen.
    • Pro Tag werden an die 15 Milliarden Ereignisse von verschiedensten Systemen durch Microsoft gesammelt, gefiltert und analysiert um schlussendlich als aktuelle Updates und Bedrohungsmeldungen die Endgeräte zu schützen.

Datenschutzkonformität

Durch den Upload der Verhaltensdaten durch Windows Defender in die Microsoft Cloud stellt sich die Frage nach dem Datenschutz. Zurzeit betreibt Microsoft kein entsprechendes Rechenzentrum in der Schweiz. Kann ein schweizerischer Kunde die Microsoft Cloud Services datenschutzkonform nutzen? Zur Klärung dieser Frage hat Microsoft folgende Aussage gemacht:

«Ja. Rechenzentren in EU-Ländern sind Rechenzentren in der Schweiz datenschutzrechtlich gleichgestellt, da diese Länder ein angemessenes Datenschutzniveau gewährleisten. Datenschutzrechtlich ist es also unerheblich, ob sich ein Rechenzentrum in der Schweiz oder der EU befindet. Ein Rechenzentrum in der Schweiz ist datenschutzrechtlich demnach nicht vorteilhafter als ein Rechenzentrum in der EU. »

5. Dezember 2018 in News, Office 365

Microsoft Teams als Entwicklungsplattform für Geschäftsapplikationen

Microsoft Teams als Entwicklungsplattform für Geschäftsapplikationen Microsoft Teams fügt sich perfekt in…
Weiterlesen
6. September 2018 in News

Datensicherheit und Datenschutz in der Schweiz – sind Sie (sich) sicher?

In meinen vorherigen Blogposts habe ich mich mit der EU Datenschutzverordnung (GDPR)…
Weiterlesen
20. August 2018 in News

Über den verantwortungsvollen Einsatz von künstlicher Intelligenz (KI) in der Kundeninteraktion

Im Spannungsfeld von Verhaltensökonomie, Technologie und Ethik. Was Sie in den nächsten…
Weiterlesen
Teilen Sie diese Seite auf Social Media oder via E-Mail.

Hinterlasse eine Antwort