270 likes | 374 Views
Mød Microsoft for Partners Sikkerhed – hvad kan du gøre som partner for at hjælpe dine kunder. Torben Marcussen Microsoft Danmark. Alle bekymrer sig – hvorfor?. Fordi der er værdi i elektronisk form Værdi og risiko vil altid hænge uløseligt sammen!
E N D
Mød Microsoft for PartnersSikkerhed – hvad kan du gøre som partner for at hjælpe dine kunder Torben Marcussen Microsoft Danmark
Alle bekymrer sig – hvorfor? • Fordi der er værdi i elektronisk form • Værdi og risiko vil altid hænge uløseligt sammen! • Internettet giver to grundlæggende aktiver for en kriminel • Mobilitet • Anonymitet • Sikkerhed er så pokkers svært fordi • Angriberen har mange ressourcer og skal kun have succes én gang • Forsvareren er begrænset ved at skulle håndhæve regler og forretningsmål Kilde: Videnskabsministeriet. Datasikkerheden i Danmark 2002. http://www.videnskabsministeriet.dk/fsk/publ/2003/datasikkerhed2002/
Sikkerhed; en dynamisk størrelse Ford Taunus 15M. 1970 Ford Mondeo 2,0. 2004 145 HK, Topfart 215 Km/t Benzin Blyfri Oktan 95 3 punkts rulleseler + både for og bag 2 kreds bremser, ABS Bremse assistent Antiudskridningssystem (ESP) Laminerede ruder Airbags, både puder og gardiner Sikkerheds-ratstamme Forstærkninger i døre Deformerbare sikkerheds zoner Nakkestøtter 82 HK, Topfart 150 Km/t Benzin Blyholdig Oktan 98 3 punkts faste seler på forsæde 2 kreds bremser Lamineret forrude
Windows Server 2003 Windows NT 3.51 Windows 2000 Server Windows NT 4.0 Sikkerhed; en dynamisk størrelseCERT rapporterede sårbarheder 1995-2002
National interesse Personlig gevinst Se hvad jeg kan Nysgerrig Hvem er de?Hacker finder huller for udfordringens skyldCracker udnytter systemerne han/hun kommer ind på Spion Tyv Trespasser Vandal ‘Forfatter’ Hobby-Hacker Script-Kiddie Ekspert Specialist
National Interesse Personlig gevinst Se hvad jeg kan Nysgerrig …og de er hurtigere og bedreDays of risk er i dag en altafgørende parameter Største beløb anvendt Spion Største tab i dkk. Hurtigst voksende segment Tyv Trespasser Største område i volumen Vandal ‘Forfatter’ Hobby-Hacker Script-Kiddie Ekspert Specialist
Microsoft’s tilgang til sikkerhed Teknisk ‘Socialt’
Sikker pr. default Sikker pr. design Mindske sårbarheder Træning af udviklere Kode gennemgang Ny arkitektur mht. IIS 19 Services slukket Sikre default indstillinger Reducerede privilegier via nye accounts Sikker ved deployment Automatisk konfiguration Identity & access mgmt Proces: “How to’s,” arkitektur guides Definér kvalitet! Kommunikation Forbedret kommunikation Arkitektur Webcasts Bred træning rettet mod hhv. kunder og partnere
Den underliggendeDLL (NTDLL.DLL) er ikke længere sårbar Rettet i sikkerhedsreview af kode IIS 6.0 ikke installeret som standard på Windows Server 2003 Hvis den var sårbar … IIS 6.0 har ikke DAV aktiveret som standard Hvis den var installeret … Maximum URL længde i IIS 6.0 er 16kb som standard (>64kb krævet) Hvis den havde DAV aktiveret … Ville have forekommet i w3wp.exe som nu kører/eksekveres som en ‘network service’ Hvis den kom så langt og der var en aktuel “Buffer Overrun” Eksempel på SD3 i aktion – MS03-007Kritisk fejlrettelse til Windows Server 2000
Secure by design Secure by default Kan kvalitet måles? Antal kritiske og vigtige bulletiner Dage efter RTM
Nå ja … sikkerhed er iøvrigt et problem for hele industrien • Undersøgelse af en række producenter af operativsystemer • Udsendte antal sikkerhedsbulletiner ha. huller i operativsystem • Engarde er bedst i hhv. 2002 og 2003 med Microsoft som nr. 2 i begge år • Listen er ikke komplet • Antal bulletiner som ‘universel indikator’ er unuanceret
Det handler om at (I kan) sikre kundens systemer • Baseline assessment • Uddannelse • Opdatering • Teknologier for udbedring af lokaliserede sårbarheder
God dybdegående guide: Microsoft Solutions Guide for Securing Windows 2000 Baseline assessmentEr en sikkerhedsanalyse noget I leverer? • Vurdering • Vurdering og værdifastsættelse af kundens aktiver • Identificér og prioriter kundens sikkerheds risici • Risiko tracking og planlægning; design af politikker for kunden • Udvikling og implementering • Teknikker til udbedring af risiko • Fangst af viden om sikkerhed og sårbarhed hos kunden • Drift • Re-vurdering af aktiver og sikkerheds risiko • Stabilisér og udrulning af nye eller ændrede modtræk
Baseline assessmentEksempel på vurdering og værdifastsættelse Prioritering af kundens aktiver (Skala 1 til 10) 1. Server leverer grundlæggende funktionalitet, men har ingen finansiel effekt på forretningen 3. Server har vigtig information, men data kan hurtigt og nemt reetableres 5. Server indeholder vigtige data, der vil tage noget tid at reetablere (2-5 timer) 8. Server indeholder information der er væsentlig I relation til virksomhedens forretningsmål. Tabet af udstyr/service vil have stor effekt for alle brugere 10.Server har en central betydning for virksomhedens forretning. Tabet af udstyr og data vil have direkte effekt på virksomhedens evne til at agere på markedet.
Baseline assessmentEksempel på analyse og prioritering af risici • Damage • Reproducibility • Exploitability • Affected Users • Discoverability Sårbarhed = (Prioritet af aktiv*trusselsrangering)
En ramme for at levere sikkerhed • Defense in Depth anvender en lagdelt tilgang • Evnen til at identificere en angriber øges • Angribers chance for succes reduceres implicit Defense in depth antager at forrige lag fejler Politikker, procedurer og årvågenhed Fysisk sikkerhed ACL, kryptering Data Applikation Hardening af applikation, antivirus Hardening af OS, patch management, authentication, HIDS Host Interne netværk Netværkssegmenter, IPSec, NIDS Firewalls, VPN karantæne Perimeter netværk Vagter, låse, tracking enheder Bruger uddannelse
Teknologi er en del af ligningenAnalyse og risikovurdering af en virksomheds sikkerhedsniveau; procesforståelse bør stå centralt Produkter mangler sikkerheds funktionalitet Produkter har fejl Patch management er en udfordring Procedurer for risikoanalyse Roller og ansvar Audit, sporing Udbedring og opfølgning Proces og Mennesker er under ét langt den ‘dyreste’ del for virksomheden ha. sikkerhed Proces Teknologi Mennesker IT administratorer ’hænger’ i gammel viden Krav stiger og IT budget er uændret Mennesker laver fejl!
Opdatering 1. Vurdering af miljø der skal patches Periodiske opgaver • Lav og vedligehold en system standard • Gennemgå infrastruktur/konfiguration Pågående opgaver • Find aktiver • Forespørg klienter 2. Identificér nye Patches Opgaver • Identificér patches • Fastslå deres relevans • Fastslå ægthed 2. Identifi-kation 1. Vurdering 3. Evaluering og planl. 4. Udrul-ning 4. Udrul patch Opgaver • Distribuér og installér patch • Rapportér fremskridt • Håndtér undtagelser 3. Evaluering og planlægning af patch udrulning Opgaver • Foretag risiko vurdering • Planlæg release proces, herunder test
Teknologier for udbedringVærktøjskasser til flere formål og miljøer
Afrunding og perspektiver Teknisk ‘Socialt’
Roadmap og aktiviteter 2003 SMS 2003 Udvidet support på NT4 Overgang til månedlige patchfrigivelser Windows XP Service Pack 2 Software Update Services 2.0 Microsoft Update ISA Server 2004 1H 04 2H 04 Windows Server 2003 Service Pack 1 Forbedringer til opdateringer • Partner aktiviteter • Heldags sikkerhedstræning • E-learning kurser (også rettet til kunder) • Active Protection Technology • Exchange Perimeter Services Lokalt Fremtid
Hvad bør I som partnere gøre?Konkret i relation til sikkerhed Opbyg kompetencen til at levere et sikkerheds audit (Gen-) brug Microsoft sikkerhedsdesigns Tilbyde basale sikkerhedsservices Konvertér Jeres NT4 kunder Træk på vores partner øko-system mht. sikkerhed
Når sikkerhed er adresseret begynder den egentlige diskussion Generisk funktionalitet Kunden ? Forretningsløsning • Hvad vil kunden med en serverinfrastruktur? • Nu og på længere sigt • Hvilke leverandører overvejer de? • Hvordan vil I som partner levere løsningen? • Jeres særlige kompetencer mht. Microsoft teknologier • Jeres særlige vertikal kompetencer ? ? Samarbejde Produktivitet ? Mobilitet E-handel ? Relationelt lager/datastyring ? Integreret administration ? Integreret udviklingsmiljø ? Terminal Services ? Applikations Services ? Kommunikations Services ? Web Services ? Fil- og Print Services ? Netværksadgangsservices ? Sikkerheds/Directory Services ? OS ?
Generisk funktionalitet Forretningsløsning Samarbejde Produktivitet Mobilitet E-handel Relationelt lager/datastyring Integreret administration Integreret udviklingsmiljø .NET Framework IIS ASP.NET Terminal services MSMQ Transaction Service Applikations Services Windows Media Services Kommunikations Services Web Services Distributed File Service STS Fil- og Print Services VPN RAS PKI Smart Card Netværksadgangsservices Active Directory WMI Kerberos Sikkerheds/Directory Services OS ...og her er budskaberne også konkrete fra bund til top Kunden Microsoft platform ? ? ? Exchange, SPTS Office System ? ? Exchange 2003 CS2000 ? SQL Server ? SMS 2000, MOM ? Visual Studio.NET ? ? ? ? ? ? Alt-i-én pakke Samme stærke fundamet Bygget til mindre virksomheder Meget for pengene ? ?