В этой статье мы кратко рассмотрели некоторые новые возможности Windows Vista, которые могут быть интересны специалистам компьютерных экспертиз.
Jamie Morris
перевод: Владимир Куксенок
В то время как основные принципы компьютерной экспертизы остаются неизменными, окружение, в котором работают исследователи, постоянно изменяется. Появление новых технологий заставляет экспертов постоянно совершенствовать свои знания. Одной из самых ожидаемых новинок этого года является операционная система Microsoft – Windows Vista. Vista разрабатывалась в течении длительного промежутка времени и содержит ряд новых возможностей и серьезных усовершенствований безопасности.
Независимо от того как быстро Vista появится на компьютерах организаций и рядовых пользователей, можно быть уверенным в том, что эта ОС продолжит тенденцию доминирования Microsoft на рынке операционных систем и следовательно неминуемо попадет во внимание специалистов компьютерных экспертиз. Также нужно учитывать, что Vista станет не только предметом исследования, но также, на определенном этапе, превратится в рабочую систему, непосредственно используемую для проведения экспертиз.
На момент написания статьи, Vista является неизведанным продуктом для большинства компаний и рядовых пользователей и нуждается в детальном описании ее новых технологий. Фактически Vista принесет не только новые технологии, но и новые модели поведения пользователей.
Эта статья представляет краткий обзор известных нам изменений в Vista, которые с высокой вероятностью окажут влиянии на компьютерные экспертизы, начиная со встроенного шифрования, резервного копирования и новых элементов защиты системы.
Перед рассмотрением реализации шифрования и резервного копирования в Windows Vista нужно упомянуть о различных версиях дистрибутива.
Точное определение версии операционной системы крайне важно в компьютерной экспертизе. В случае с Vista это особенно важно, так как в зависимости от версии в системе присутствуют либо отсутствуют средства шифрования и резервного копирования.
Существует шесть основных версий Windows Vista [1] , с небольшими вариациями в зависимости от локализации, причиной появления которых было антимонопольное законодательство. Четыре версии предназначены для дома и малого бизнеса – Home Basic, Home Premium, Business и Ultimate, тогда как версия Enterprise предназначена для больших организаций, а версия Starter нацелена исключительно на развивающиеся рынки.
Специалисты компьютерной экспертизы должны обратить особое внимание на следующее:
Рассмотрим, что из себя представляют эти возможности, и какое значение они могут иметь для исследователей.
Первоначально в сообществе специалистов компьютерных экспертиз были опасения, что некоторые возможности Windows Vista, в частности BitLocker, приведут к огромному увеличению количества зашифрованных данных. Однако теперь ясно, что эти возможности будут присутствовать только в топовых версиях Vista и кроме того не будут включены по умолчанию. Хотя нужно отметить, BitLocker до сих является предметом оживленных дебатов (см. недавнюю статью в The Register [2] и дискуссии на Slashdot [3] ).
Что же из себя представляет BitLocker? В двух словах BitLocker обеспечивает AES шифрование всех данных на разделе Windows Vista совместно с проверкой целостности данных процесса (boot process), используемого для загрузки ОС. Главная цель этих нововведений – защита данных даже если атакующий попытается получить к ним доступ в обход ОС или просто вытащит жесткий диск для анализа на другом компьютере. Нужно отметить, что шифрование раздела не ново; на рынке присутствует ряд решений, обеспечивающих такие же возможности. Однако кое-что отличает BitLocker от других программ – использование Trusted Platform Module TPM 1.2. Подробное описание Trusted Platform Modules может быть найдено в FAQ, предлагаемом Trusted Computing Group [4] , а кратко TPM может быть охарактеризован как микроконтроллер, надежно хранящий данные, используемые в криптографических и защитных процессах (например ключи шифрования, цифровые сертификаты и пароли) с целью повышению защиты определенных приложений и модулей системы.
При использовании чипа TPM для повышения защищенности, BitLocker может быть сконфигурирован на загрузку системы после успешной проверки целостности файлов, используемых при загрузке, или (по крайне мере в теории) на требование ввода PIN кода или USB устройства, содержащего ключ для входа в систему. BitLocker может также работать без поддержки TPM, используя ключ из USB устройства, подключенного во время загрузки системы. В любом случае исследователи должны знать, какая именно информация должны быть собрана о системе использующей BitLocker и на что нужно обращать особое внимание (материнская плата, USB диск, ключ/пароль для восстановления системы и т.д.).
Что же BitLocker принесет специалистам компьютерных экспертиз? В недавнем подкасте [5] Jesse Kornblum описал впечатления от BitLocker, а также отметил, что настало время, когда снятие копии жесткого диска (и последующего анализа) стало нормой для компьютерных экспертов. Несомненно BitLocker принесет проблемы, ведь в конце концов одной из целей поставленной Microsoft перед BitLocker является защита данных даже при условии похищения жесткого диска у пользователя. Однако так как BitLocker доступен только в двух версиях Windows Vista и должен быть осознанно включен для соответствующим образом отформатированного диска, его широкое распространение кажется маловероятным.
Кроме того мы должны учитывать, что даже если BitLocker используется, при изъятии соответствующих аппаратных средств или получении доступа к разделу путем инициации процедуры восстановления, доказательства все равно могут быть получены. Да, ставки возросли и планка поднята, однако то, что BitLocker является серьезным шагом к надежному и повсеместному шифрованию представляется сомнительным.
EFS – возможность, доступная в версиях Business, Enterprise и Ultimate и обеспечивающая шифрование файлов и папок на разделах NTFS (с использованием алгоритма AES). В отличие от аппаратных и конфигурационных требований к BitLocker, EFS для включения требует всего лишь клика мышкой в свойствах файла или папки, хотя стоит отметить, что в крупных корпоративных системах такое шифрование скорее всего будет задаваться политикой группы (Group Policies) или через скрипты, а не индивидуально пользователем. EFS появилась в Vista не впервые и присутствует в Windows 2000, XP и Server 2003, что означает что ничего радикально нового специалистам компьютерных экспертиз она не принесет (есть только одно отличие – возможность сохранения сертификатов на смарт картах). Как и в случае с BitLocker или любым другим способом шифрования, ключевым компонентом плана анализа зашифрованных данных будет оперативная работа и использование стандартных процедур восстановления данных.
В отличие от шифрования, некоторые нововведения могут работать на пользу специалисту компьютерных экспертиз. В качестве одного из примеров можно привести повышение функциональных возможностей процедур резервного копирования и восстановления в Windows Vista. “The Backup and Restore Center” [6] это мастер с графическим интерфейсом, доступный в версиях Home Premium, Business, Ultimate и Enterprise и позволяющий пользователям планировать автоматическое резервное копирование выбранных файлов (а также определять метод восстановления). Вообще говоря, пользователи (особенно домашние и в малых офисах) весьма безответственно подходят к вопросам резервного копирования своих данных, а если и принимают необходимые меры, то в лучшем случае делают резервную копию в первый раз и забывают производить эти действия в течение многих последующих месяцев. Наличие возможности автоматического планирования в “The Backup and Restore Center” должно повысить шансы обнаружения свежей резервной копии экспертом, производящим компьютерную экспертизу. Резервные копии могут создаваться на внешних носителях, поэтому исследователь должен принимать во внимание наличие DVD- и CD-приводов, внешних жестких дисков и т.д. Другая новинка, названная “Complete PC Backup and Restore” [7] доступна только в версиях Business, Ultimate и Enterprise и позиционируется как утилита для восстановления после краха системы. Основным отличием этой возможности от описанной в предыдущем абзаце, является то, что в резервную копию включается операционная система, установленные приложения и данные, относящие к рабочему окружению пользователя. В целом, несмотря на то, что возможности резервного копирования и восстановления были доступны и в предыдущих продуктах Microsoft, основной целью Vista было сделать их более доступными и интуитивными. Если это увеличит количество информации о деятельности пользователя, специалисты компьютерных экспертиз определенно извлекут выгоду из описанных новинок.
Доступная в версиях Home Premium, Business, Ultimate и Enterprise, возможность “Scheduled and Network Backup” позволяет производить резервное копирование через регулярные заранее определенные промежутки времени. Удобно для пользователя… И еще удобней для эксперта-криминалиста, изучающие данные пользователя и его деятельность за компьютером.
Shadow Copy (теневые копии) позволяет автоматически создавать ежедневные копии файлов и папок для поддержания целостности системы (теневые копии также могут быть созданы вручную установкой «точки восстановления» [8] ). Ранее замеченные в Windows Server 2003, эти функциональные возможности теперь доступны в Business, Enterprise и Ultimate версиях Windows Vista. Специалистам по компьютерным экспертизам следует обратить внимание на то, что в отличие от других средств восстановления, таких как “Backup and Restore”, автоматическое создание теневых копий включено по умолчанию, а хранятся они на локальном диске – в соответствии с настройками по умолчанию 15% от объема диска предназначено для хранения теневых копий. Также стоит отметить, что сохраняются только изменения между версиями, а не полные копии файлов или папок.
Управление теневыми копиями осуществляется через вкладку System Protection (Control Panel -> System Properties), а также через клик правой кнопкой мыши на файле или папке в Windows Explorer и выборе пункта меню “Restore previous versions”. Сходные функциональные возможности были и в предыдущих версиях Windows, но реализация в Windows Vista предрасполагает к ее использованию конечных пользователей, а не только системных администраторов.
Если читатель начинает думать что комбинация всех этих новых возможностей с различными версиями Windows Vista является несколько запутанной, мужайтесь… В Microsoft происходит то же самое (судя по числу несоответствий в материалах, выложенных на их сайте).
Подробную и всестороннюю информацию об изменениях в реализации файловой системы Windows Vista найти довольно трудно, но скорее всего основным усовершенствованием будет Transactional NTFS (TxF) [9] – возможность, позволяющая выполнить полностью серию файловых операций (транзакцию) или откатиться назад. Это может быть полезным в задачах обеспечения целостности системы, однако вряд ли имеет серьезное значение с точки зрения специалиста компьютерных экспертиз. Тем не менее, изменения в некоторых объектах данных могут иметь серьезное значение, и в следующей статье мы рассмотрим то, как Vista работает с файлами метаданных. В целом, так как появления принципиально новой файловой системы (типа WinFS) не предполагается, разумно предположить, что изменений пришедших с Windows Vista будет относительно не много. Если в дальнейшем не появится исчерпывающей информации от Microsoft, лучшим источником новых знаний о файловой системе будет самостоятельный анализ, а также информация о предыдущих версиях NTFS из книги Brian Carrier “Криминалистический анализ файловых систем” [10] .
В этой статье мы кратко рассмотрели некоторые новые возможности Windows Vista, которые могут быть интересны специалистам компьютерных экспертиз. В следующей статье мы более подробно рассмотрим детали произошедших изменений и сконцентрируемся на типичных шаблонах поведения пользователей, которые обычно попадают под внимание экспертов, таких как посещение веб сайтов и использование электронной почти.
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Хотите узнать, что происходит нового в сфере кибербезопасности, – обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа – это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
Компания Abnormal Security, основанная в 2019 году, предлагает облачную платформу безопасности электронной почты, которая использует анализ поведенческих данных для выявления и предотвращения атак на электронную почту. Платформа на базе искусственного интеллекта анализирует поведение пользовательских данных, организационную структуру, отношения и бизнес-процессы, чтобы выявить аномальную активность, которая может указывать на кибератаку. Платформа защиты электронной почты Abnormal может предотвратить компрометацию корпоративной электронной почты, атаки на цепочку поставок , мошенничество со счетами, фишинг учетных данных и компрометацию учетной записи электронной почты. Компания также предоставляет инструменты для автоматизации реагирования на инциденты, а платформа дает облачный API для интеграции с корпоративными платформами, такими как Microsoft Office 365, G Suite и Slack.
Копания Apiiro вышла из «скрытого режима» в 2020 году. Ее платформа devsecops переводит жизненный цикл безопасной разработки «от ручного и периодического подхода «разработчики в последнюю очередь» к автоматическому подходу, основанному на оценке риска, «разработчики в первую очередь», написал в блоге соучредитель и генеральный директор Идан Плотник . Платформа Apiiro работает, соединяя все локальные и облачные системы управления версиями и билетами через API. Платформа также предоставляет настраиваемые предопределенные правила управления кодом. Со временем платформа создает инвентарь, «изучая» все продукты, проекты и репозитории. Эти данные позволяют лучше идентифицировать рискованные изменения кода.
Axis Security Application Access Cloud – облачное решение для доступа к приложениям , построенное на принципе нулевого доверия. Он не полагается на наличие агентов, установленных на пользовательских устройствах. Поэтому организации могут подключать пользователей – локальных и удаленных – на любом устройстве к частным приложениям, не затрагивая сеть или сами приложения. Axis вышла из «скрытого режима» в 2020 году.
BreachQuest, вышедшая из «скрытого режима» 25 августа 2021 года, предлагает платформу реагирования на инциденты под названием Priori. Платформа обеспечивает большую наглядность за счет постоянного отслеживания вредоносной активности. Компания утверждает, что Priori может предоставить мгновенную информацию об атаке и о том, какие конечные точки скомпрометированы после обнаружения угрозы.
Cloudrise предоставляет услуги управляемой защиты данных и автоматизации безопасности в формате SaaS. Несмотря на свое название, Cloudrise защищает как облачные, так и локальные данные. Компания утверждает, что может интегрировать защиту данных в проекты цифровой трансформации. Cloudrise автоматизирует рабочие процессы с помощью решений для защиты данных и конфиденциальности. Компания Cloudrise была запущена в октябре 2019 года.
Cylentium утверждает, что ее технология кибер-невидимости может «скрыть» корпоративную или домашнюю сеть и любое подключенное к ней устройство от обнаружения злоумышленниками. Компания называет эту концепцию «нулевой идентичностью». Компания продает свою продукцию предприятиям, потребителям и государственному сектору. Cylentium была запущена в 2020 году.
Компания Deduce , основанная в 2019 году, предлагает два продукта для так называемого «интеллектуального анализа личности». Служба оповещений клиентов отправляет клиентам уведомления о потенциальной компрометации учетной записи, а оценка риска идентификации использует агрегированные данные для оценки риска компрометации учетной записи. Компания использует когнитивные алгоритмы для анализа конфиденциальных данных с более чем 150 000 сайтов и приложений для выявления возможного мошенничества. Deduce заявляет, что использование ее продуктов снижает ущерб от захвата аккаунта более чем на 90%.
Автоматизированная платформа безопасности и соответствия Drata ориентирована на готовность к аудиту по таким стандартам, как SOC 2 или ISO 27001. Drata отслеживает и собирает данные о мерах безопасности, чтобы предоставить доказательства их наличия и работы. Платформа также помогает оптимизировать рабочие процессы. Drata была основана в 2020 году.
FYEO – это платформа для мониторинга угроз и управления доступом для потребителей, предприятий и малого и среднего бизнеса. Компания утверждает, что ее решения для управления учетными данными снимают бремя управления цифровой идентификацией. FYEO Domain Intelligence («FYEO DI») предоставляет услуги мониторинга домена, учетных данных и угроз. FYEO Identity будет предоставлять услуги управления паролями и идентификацией, начиная с четвертого квартала 2021 года. FYEO вышла из «скрытого режима» в 2021 году.
Kronos – платформа прогнозирующей аналитики уязвимостей (PVA) от компании Hive Pro , основанная на четырех основных принципах: предотвращение, обнаружение, реагирование и прогнозирование. Hive Pro автоматизирует и координирует устранение уязвимостей с помощью единого представления. Продукт компании Artemis представляет собой платформу и услугу для тестирования на проникновение на основе данных. Компания Hive Pro была основана в 2019 году.
Израильская компания Infinipoint была основана в 2019 году. Свой основной облачный продукт она называет «идентификация устройства как услуга» или DIaaS , который представляет собой решение для идентификации и определения положения устройства. Продукт интегрируется с аутентификацией SSO и действует как единая точка принуждения для всех корпоративных сервисов. DIaaS использует анализ рисков для обеспечения соблюдения политик, предоставляет статус безопасности устройства как утверждается, устраняет уязвимости «одним щелчком».
Компания Kameleon , занимающаяся производством полупроводников, не имеет собственных фабрик и занимает особое место среди поставщиков средств кибербезопасности. Компания разработала «Блок обработки проактивной безопасности» (ProSPU). Он предназначен для защиты систем при загрузке и для использования в центрах обработки данных, управляемых компьютерах, серверах и системах облачных вычислений. Компания Kameleon была основана в 2019 году.
Облачная платформа безопасности данных Open Raven предназначена для обеспечения большей прозрачности облачных ресурсов. Платформа отображает все облачные хранилища данных, включая теневые облачные учетные записи, и идентифицирует данные, которые они хранят. Затем Open Raven в режиме реального времени отслеживает утечки данных и нарушения политик и предупреждает команды о необходимости исправлений. Open Raven также может отслеживать файлы журналов на предмет конфиденциальной информации, которую следует удалить. Компания вышла из «скрытого режима» в 2020 году.
Компания Satori, основанная в 2019 году, называет свой сервис доступа к данным “DataSecOps”. Целью сервиса является отделение элементов управления безопасностью и конфиденциальностью от архитектуры. Сервис отслеживает, классифицирует и контролирует доступ к конфиденциальным данным. Имеется возможность настроить политики на основе таких критериев, как группы, пользователи, типы данных или схема, чтобы предотвратить несанкционированный доступ, замаскировать конфиденциальные данные или запустить рабочий процесс. Сервис предлагает предварительно настроенные политики для общих правил, таких как GDPR , CCPA и HIPAA .
Компания Scope Security недавно вышла из «скрытого режима», будучи основана в 2019 году. Ее продукт Scope OmniSight нацелен на отрасль здравоохранения и обнаруживает атаки на ИТ-инфраструктуру, клинические системы и системы электронных медицинских записей . Компонент анализа угроз может собирать индикаторы угроз из множества внутренних и сторонних источников, представляя данные через единый портал.
Основным продуктом Strata является платформа Maverics Identity Orchestration Platform . Это распределенная мультиоблачная платформа управления идентификацией. Заявленная цель Strata – обеспечить согласованность в распределенных облачных средах для идентификации пользователей для приложений, развернутых в нескольких облаках и локально. Функции включают в себя решение безопасного гибридного доступа для расширения доступа с нулевым доверием к локальным приложениям для облачных пользователей, уровень абстракции идентификации для лучшего управления идентификацией в мультиоблачной среде и каталог коннекторов для интеграции систем идентификации из популярных облачных систем и систем управления идентификацией. Strata была основана в 2019 году.
SynSaber , запущенная 22 июля 2021 года, предлагает решение для мониторинга промышленных активов и сети. Компания обещает обеспечить «постоянное понимание и осведомленность о состоянии, уязвимостях и угрозах во всех точках промышленной экосистемы, включая IIoT, облако и локальную среду». SynSaber была основана бывшими лидерами Dragos и Crowdstrike.
Traceable называет свой основной продукт на основе искусственного интеллекта чем-то средним между брандмауэром веб-приложений и самозащитой приложений во время выполнения. Компания утверждает, что предлагает точное обнаружение и блокирование угроз путем мониторинга активности приложений и непрерывного обучения, чтобы отличать обычную активность от вредоносной. Продукт интегрируется со шлюзами API. Traceable была основана в июле 2020 года.
Компания Wiz, основанная командой облачной безопасности Microsoft, предлагает решение для обеспечения безопасности в нескольких облаках, рассчитанное на масштабную работу. Компания утверждает, что ее продукт может анализировать все уровни облачного стека для выявления векторов атак с высоким риском и обеспечивать понимание, позволяющее лучше расставлять приоритеты. Wiz использует безагентный подход и может сканировать все виртуальные машины и контейнеры. Wiz вышла из «скрытого режима» в 2020 году.
Работает на CMS “1С-Битрикс: Управление сайтом”
feshop-storecc feshop-acccc