mød microsoft for partners sikkerhed – hvad kan du gøre som partner for at hjælpe dine kunder
Post on 20-Mar-2016
32 Views
Preview:
DESCRIPTION
TRANSCRIPT
Mød Microsoft for PartnersMød Microsoft for PartnersSikkerhed – hvad kan du gøre som Sikkerhed – hvad kan du gøre som partner for at hjælpe dine kunderpartner for at hjælpe dine kunder
Torben MarcussenTorben MarcussenMicrosoft DanmarkMicrosoft Danmark
Alle bekymrer sig – hvorfor?Alle bekymrer sig – hvorfor?Fordi der Fordi der erer værdi i elektronisk form værdi i elektronisk form
Værdi og risiko vil altid hænge uløseligt sammen!Værdi og risiko vil altid hænge uløseligt sammen!Internettet giver to grundlæggende aktiver for en kriminelInternettet giver to grundlæggende aktiver for en kriminel
MobilitetMobilitetAnonymitetAnonymitet
Sikkerhed er så pokkers svært fordiSikkerhed er så pokkers svært fordiAngriberen har mange ressourcer og skal kun have succes én gangAngriberen har mange ressourcer og skal kun have succes én gangForsvareren er begrænset ved at skulle håndhæve regler og Forsvareren er begrænset ved at skulle håndhæve regler og forretningsmålforretningsmål
Kilde: Videnskabsministeriet. Datasikkerheden i Danmark 2002. Kilde: Videnskabsministeriet. Datasikkerheden i Danmark 2002. http
://www.videnskabsministeriet.dk/fsk/publ/2003/datasikkerhed2002/
Sikkerhed; en dynamisk størrelseSikkerhed; en dynamisk størrelse
82 HK, Topfart 150 Km/tBenzin Blyholdig Oktan 983 punkts faste seler på forsæde2 kreds bremserLamineret forrude
145 HK, Topfart 215 Km/tBenzin Blyfri Oktan 953 punkts rulleseler + både for og bag2 kreds bremser, ABSBremse assistent Antiudskridningssystem (ESP)Laminerede ruderAirbags, både puder og gardinerSikkerheds-ratstammeForstærkninger i døreDeformerbare sikkerheds zonerNakkestøtter
Ford Taunus 15M. Ford Taunus 15M. 19701970 Ford Mondeo 2,0. Ford Mondeo 2,0. 20042004
Sikkerhed; en dynamisk Sikkerhed; en dynamisk størrelsestørrelseCERT rapporterede sårbarheder 1995-2002CERT rapporterede sårbarheder 1995-2002
1995 1996 1997 1998 1999 2000 2001 2002
S1
0
500
1000
1500
2000
2500
3000
3500
4000
4500
Win
dow
s N
T 3.
51W
indo
ws
NT
3.51
Win
dow
s N
T 4.
0W
indo
ws
NT
4.0
Win
dow
s 20
00 S
erve
rW
indo
ws
2000
Ser
ver
Win
dow
s Se
rver
200
3W
indo
ws
Serv
er 2
003
Hvem er de?Hvem er de?HackerHacker finder huller for udfordringens skyld finder huller for udfordringens skyldCrackerCracker udnytter systemerne han/hun kommer ind på udnytter systemerne han/hun kommer ind på
‘Forfatter’
National interesseNational interesse
Personlig gevinstPersonlig gevinst
Se hvad jeg kanSe hvad jeg kan
NysgerrigNysgerrig
Script-KiddieScript-Kiddie Hobby-Hobby-HackerHacker
EkspertEkspert SpecialistSpecialist
Vandal
Tyv
Spion
Trespasser
……og de er hurtigere og bedreog de er hurtigere og bedreDays of risk er i dag en altafgørende parameterDays of risk er i dag en altafgørende parameter
National InteresseNational Interesse
Personlig gevinstPersonlig gevinst
Se hvad jeg kanSe hvad jeg kan
NysgerrigNysgerrig
Hobby-Hobby-HackerHacker
EkspertEkspert SpecialistSpecialist
Største Største område i område i volumenvolumen
Største tab i dkk.Største tab i dkk.
Script-KiddieScript-Kiddie
Største beløb Største beløb anvendtanvendt
Hurtigst Hurtigst voksende voksende segmentsegment
‘Forfatter’Vandal
Tyv
Spion
Trespasser
Microsoft’s tilgang til sikkerhedMicrosoft’s tilgang til sikkerhedTe
knisk
Tekn
isk‘‘ S
ocia
lt’So
cialt’
Sikker ved deploymentSikker ved deploymentAutomatisk konfigurationAutomatisk konfigurationIdentity & access mgmtIdentity & access mgmtProces: “How to’s,” Proces: “How to’s,” arkitektur guidesarkitektur guides
Sikker pr. designSikker pr. designMindske sårbarhederMindske sårbarhederTræning af udviklereTræning af udviklereKode gennemgangKode gennemgangNy arkitektur mht. IISNy arkitektur mht. IIS
Sikker pr. defaultSikker pr. default
19 Services slukket19 Services slukketSikre default indstillingerSikre default indstillingerReducerede privilegier Reducerede privilegier via nye accountsvia nye accounts
KommunikationKommunikationForbedret kommunikationForbedret kommunikationArkitektur WebcastsArkitektur WebcastsBred træning rettet modBred træning rettet modhhv. kunder og partnerehhv. kunder og partnere
Definér kvalitet!Definér kvalitet!
Eksempel på SDEksempel på SD33 i aktion – MS03-007 i aktion – MS03-007Kritisk fejlrettelse til Windows Server 2000Kritisk fejlrettelse til Windows Server 2000
Den underliggendeDen underliggendeDLL (NTDLL.DLL) er DLL (NTDLL.DLL) er ikke længere sårbarikke længere sårbar
Rettet i sikkerhedsreview af kodeRettet i sikkerhedsreview af kode
HvisHvis den var den var installeret …installeret … IIS 6.0 har ikke DAV aktiveret som standardIIS 6.0 har ikke DAV aktiveret som standard
HvisHvis den havde DAV den havde DAV aktiveret …aktiveret …
Maximum URL længde i IIS 6.0 er 16kb Maximum URL længde i IIS 6.0 er 16kb som standard (>64kb krævet) som standard (>64kb krævet)
HvisHvis den var sårbar … den var sårbar … IIS 6.0 ikke installeret som standard på IIS 6.0 ikke installeret som standard på Windows Server 2003Windows Server 2003
HvisHvis den kom så langt den kom så langt og der og der varvar en aktuel en aktuel “Buffer Overrun”“Buffer Overrun”
Ville have forekommet i Ville have forekommet i w3wp.exew3wp.exe som som nu kører/eksekveres som en ‘network nu kører/eksekveres som en ‘network service’service’
Kan kvalitet måles?Kan kvalitet måles?An
tal k
ritisk
e og
vig
tige
bulle
tiner
Anta
l krit
iske
og v
igtig
e bu
lletin
er
Dage efter RTMDage efter RTM
Secure by designSecure by designSecure by defaultSecure by default
Nå ja … sikkerhed er iøvrigt et Nå ja … sikkerhed er iøvrigt et problem for problem for helehele industrien industrien
Undersøgelse af en række Undersøgelse af en række producenter af producenter af operativsystemeroperativsystemer
Udsendte antal Udsendte antal sikkerhedsbulletiner ha. sikkerhedsbulletiner ha. huller i operativsystemhuller i operativsystem
Engarde er bedst i hhv. Engarde er bedst i hhv. 2002 og 2003 med 2002 og 2003 med Microsoft som nr. 2 i begge Microsoft som nr. 2 i begge årårListen er Listen er ikkeikke komplet komplet
Antal bulletiner som Antal bulletiner som ‘universel indikator’ er ‘universel indikator’ er unuanceretunuanceret
33 3343 38
50 5162 68
86
119
87
120 124
184
0
20
40
60
80
100
120
140
160
180
200
20022003
Hvad gør vi og hvad kan du Hvad gør vi og hvad kan du gøre som partnergøre som partner
Det handler om at (I kan) Det handler om at (I kan) sikre kundens systemersikre kundens systemer
Baseline assessmentBaseline assessment
UddannelseUddannelse
OpdateringOpdatering
Teknologier for Teknologier for udbedring af udbedring af lokaliserede lokaliserede sårbarhedersårbarheder
Baseline assessmentBaseline assessmentEr en sikkerhedsanalyse noget I Er en sikkerhedsanalyse noget I leverer?leverer?
VurderingVurdering1.1. Vurdering og værdifastsættelse af kundens aktiverVurdering og værdifastsættelse af kundens aktiver2.2. Identificér og prioriter kundens sikkerheds risici Identificér og prioriter kundens sikkerheds risici 3.3. Risiko tracking og planlægning; design af politikker Risiko tracking og planlægning; design af politikker
for kundenfor kundenUdvikling og implementeringUdvikling og implementering1.1. Teknikker til udbedring af risikoTeknikker til udbedring af risiko2.2. Fangst af viden om sikkerhed og sårbarhed hos Fangst af viden om sikkerhed og sårbarhed hos
kundenkundenDriftDrift
Re-vurdering af aktiver og sikkerheds risikoRe-vurdering af aktiver og sikkerheds risikoStabilisér og udrulning af nye eller ændrede Stabilisér og udrulning af nye eller ændrede modtrækmodtræk
God dybdegående guide: Microsoft Solutions Guide for Securing Windows 2000
Baseline assessmentBaseline assessmentEksempel på vurdering og Eksempel på vurdering og værdifastsættelseværdifastsættelsePrioritering af kundens aktiver (Skala 1 til 10)Prioritering af kundens aktiver (Skala 1 til 10)11.. Server leverer grundlæggende funktionalitet, Server leverer grundlæggende funktionalitet,
men har ingen finansiel effekt på forretningenmen har ingen finansiel effekt på forretningen33.. Server har vigtig information, men data kan Server har vigtig information, men data kan
hurtigt og nemt reetablereshurtigt og nemt reetableres55.. Server indeholder vigtige data, der vil tage Server indeholder vigtige data, der vil tage
noget tid at reetablere (2-5 timer)noget tid at reetablere (2-5 timer)88.. Server indeholder information der er Server indeholder information der er
væsentlig I relation til virksomhedens væsentlig I relation til virksomhedens forretningsmål. Tabet af udstyr/service vil forretningsmål. Tabet af udstyr/service vil have stor effekt for alle brugerehave stor effekt for alle brugere
1010..Server har en central betydning for Server har en central betydning for virksomhedens forretning. Tabet af udstyr og virksomhedens forretning. Tabet af udstyr og data data vilvil have direkte effekt på virksomhedens have direkte effekt på virksomhedens evne til at agere på markedet.evne til at agere på markedet.
Baseline assessmentBaseline assessmentEksempel på analyse og prioritering af Eksempel på analyse og prioritering af risicirisici
DDamageamageRReproducibilityeproducibilityEExploitabilityxploitabilityAAffected Usersffected UsersDDiscoverabilityiscoverability
Sårbarhed = (Prioritet af Sårbarhed = (Prioritet af aktiv*trusselsrangering)aktiv*trusselsrangering)
En ramme for at levere En ramme for at levere sikkerhedsikkerhedDefense in Depth anvender en lagdelt tilgangDefense in Depth anvender en lagdelt tilgang
Evnen til at identificere en angriber øgesEvnen til at identificere en angriber øgesAngribers chance for succes reduceres implicitAngribers chance for succes reduceres implicit
Politikker, procedurer og årvågenhed
Hardening af OS, patch Hardening af OS, patch management, authentication, HIDSmanagement, authentication, HIDS
Firewalls, VPN karantæneFirewalls, VPN karantæne
Vagter, låse, tracking enhederVagter, låse, tracking enheder
Netværkssegmenter, IPSec, NIDSNetværkssegmenter, IPSec, NIDS
Hardening af applikation, antivirusHardening af applikation, antivirus
ACL, krypteringACL, kryptering
Bruger uddannelseBruger uddannelse
Fysisk sikkerhedPerimeter netværk
Interne netværkHost
ApplikationData
Defense in depth antager at Defense in depth antager at forrige lag fejlerforrige lag fejler
Teknologi er en Teknologi er en deldel af ligningen af ligningenAnalyse og risikovurdering af en virksomheds Analyse og risikovurdering af en virksomheds sikkerhedsniveau; procesforståelse bør stå centraltsikkerhedsniveau; procesforståelse bør stå centralt
Produkter mangler Produkter mangler sikkerheds sikkerheds funktionalitetfunktionalitetProdukter har fejlProdukter har fejlPatch management Patch management er en udfordringer en udfordring
Procedurer for Procedurer for risikoanalyserisikoanalyseRoller og ansvarRoller og ansvarAudit, sporing Audit, sporing Udbedring og opfølgningUdbedring og opfølgning
IT administratorer ’hænger’ i gammel videnIT administratorer ’hænger’ i gammel videnKrav stiger og IT budget er uændretKrav stiger og IT budget er uændretMennesker laver fejl!Mennesker laver fejl!
MenneskerMennesker
Teknologi
TeknologiProce
sPro
cesProcesProces og og MenneskerMennesker
er under ét langt den er under ét langt den ‘dyreste’ del for ‘dyreste’ del for virksomheden ha. virksomheden ha. sikkerhedsikkerhed
OpdateringOpdatering1. Vurdering af miljø der skal patches1. Vurdering af miljø der skal patches
Periodiske opgaverPeriodiske opgaver•Lav og vedligehold en system standardLav og vedligehold en system standard•Gennemgå infrastruktur/konfigurationGennemgå infrastruktur/konfiguration
Pågående opgaverPågående opgaver•Find aktiverFind aktiver•Forespørg klienterForespørg klienter
1. Vurdering1. Vurdering 2. Identifi-2. Identifi-kationkation
4. Udrul-4. Udrul-ningning
3. 3. Evaluering Evaluering og planl.og planl.
2. Identificér nye Patches2. Identificér nye Patches
OpgaverOpgaver• Identificér patchesIdentificér patches• Fastslå deres relevansFastslå deres relevans• Fastslå ægthedFastslå ægthed
3. Evaluering og 3. Evaluering og planlægning af patch planlægning af patch udrulningudrulning
OpgaverOpgaver• Foretag risiko vurderingForetag risiko vurdering• Planlæg release proces, Planlæg release proces,
herunder testherunder test
4. Udrul patch4. Udrul patch
OpgaverOpgaver•Distribuér og installér patchDistribuér og installér patch•Rapportér fremskridtRapportér fremskridt•Håndtér undtagelserHåndtér undtagelser
Teknologier for udbedringTeknologier for udbedringVærktøjskasser til flere formål og miljøerVærktøjskasser til flere formål og miljøer
Analyse værktøjerAnalyse værktøjer Microsoft Baseline Security Analyzer (MBSA)Microsoft Baseline Security Analyzer (MBSA) Office Inventory ToolOffice Inventory Tool
Online Update Online Update ServicesServices
Windows UpdateWindows Update Office UpdateOffice Update
Management Management værktøjerværktøjer
Automatic Updates (AU) feature in WindowsAutomatic Updates (AU) feature in Windows Software Update Services (SUS)Software Update Services (SUS) Systems Management Server (SMS)Systems Management Server (SMS)
Foreskreven guidanceForeskreven guidance
De mere grundlæggende procesmodeller jvf. De mere grundlæggende procesmodeller jvf. tidligere tidligere
Patch Management Using SUSPatch Management Using SUS Microsoft Guide to Security Patch ManagementMicrosoft Guide to Security Patch Management Patch Management Using SMSPatch Management Using SMS
Afrunding og perspektiverAfrunding og perspektiverTe
knisk
Tekn
isk‘‘ S
ocia
lt’So
cialt’
SMS 2003SMS 2003Udvidet support på NT4Udvidet support på NT4Overgang til månedlige patchfrigivelserOvergang til månedlige patchfrigivelser
Windows XP Service Pack 2Windows XP Service Pack 2Software Update Services Software Update Services 2.02.0Microsoft UpdateMicrosoft UpdateISA Server 2004ISA Server 2004Windows Server 2003 Service Pack 1Windows Server 2003 Service Pack 1
Forbedringer til opdateringer Forbedringer til opdateringer
Partner aktiviteterPartner aktiviteterHeldags sikkerhedstræningHeldags sikkerhedstræningE-learning kurser (også rettet til E-learning kurser (også rettet til kunder)kunder)
Active Protection TechnologyActive Protection TechnologyExchange Perimeter ServicesExchange Perimeter Services
Roadmap og aktiviteterRoadmap og aktiviteter20032003
1H 041H 04
LokaltLokalt
2H 042H 04
FremtidFremtid
Opbyg kompetencen til at levere et sikkerheds Opbyg kompetencen til at levere et sikkerheds auditaudit(Gen-) brug Microsoft sikkerhedsdesigns(Gen-) brug Microsoft sikkerhedsdesigns
Konvertér Jeres NT4 kunderKonvertér Jeres NT4 kunder
Træk på vores partner øko-Træk på vores partner øko-system mht. sikkerhedsystem mht. sikkerhed
Hvad bør I som partnere Hvad bør I som partnere gøre?gøre?Konkret i relation til sikkerhedKonkret i relation til sikkerhed
Tilbyde basale sikkerhedsservicesTilbyde basale sikkerhedsservices
Når sikkerhed er adresseret begynder den Når sikkerhed er adresseret begynder den egentlige diskussionegentlige diskussion
KundenKunden
??????????
??
??
?
?Generisk funktionalitetGenerisk funktionalitet
Sikkerheds/Directory ServicesNetværksadgangsservices
Fil- og Print ServicesWeb Services
Kommunikations ServicesApplikations Services
Terminal Services
Integreret udviklingsmiljøIntegreret administration
Relationelt lager/datastyring
E-handelProduktivitet
MobilitetSamarbejde
OS
Forretningsløsning
1.1. Hvad vil kundenHvad vil kunden med med en en serverinfrastruktur? serverinfrastruktur? Nu og på længere Nu og på længere
sigtsigt2.2. Hvilke leverandørerHvilke leverandører overvejer de?overvejer de?3.3. Hvordan vil I som Hvordan vil I som
partner partner levere levere løsningenløsningen? ?
Jeres særlige Jeres særlige kompetencer mht. kompetencer mht. Microsoft Microsoft teknologierteknologierJeres særlige Jeres særlige vertikal vertikal kompetencerkompetencer
Alt-i-én pakkeSamme stærke fundametBygget til mindre virksomhederMeget for pengene
Microsoft platformMicrosoft platform
Visual Studio.NETSMS 2000, MOM
SQL Server
Exchange 2003Office System
CS2000Exchange, SPTS
Kerberos
Distributed File Service STS
.NET FrameworkMSMQ Transaction Service
ASP.NET
Smart Card
Windows Media Services
IIS
Active DirectoryPKIVPN RAS
WMI
Generisk funktionalitetGenerisk funktionalitet
Sikkerheds/Directory ServicesNetværksadgangsservices
Fil- og Print ServicesWeb Services
Kommunikations ServicesApplikations Services
Terminal services
Integreret udviklingsmiljøIntegreret administration
Relationelt lager/datastyring
E-handelProduktivitet
MobilitetSamarbejde
OS
Forretningsløsning
...og her er budskaberne også ...og her er budskaberne også konkrete fra bund til topkonkrete fra bund til top
KundenKunden
??????????
??
??
?
?
top related