Informatikai biztonság napjainkbanBiztonsági törekvések a Microsoftnál

Dénes GáborNagyvállalati Megoldás Értékesítési Tanácsadó

Folyamatos minőségjavításMegbízható Számítástechnika szerinti termék életciklus

M1

M2

Mn

Beta

TervezésF

ejle

szté

s

Forgalmazás

Támogatás

Bizt. Ellenőrzés

Bizt. Ellenőrzés

Minden termékfejlesztő csapat felállít fenyegetettségi modelleket és biztosítja, hogy tervszinten is ellenálló legyen a végső kód

Fejleszt. és TesztFejleszt. és Teszt

Biztonsági tervek és kódolási szabályok szem előtt tartása

Kódolási hibák elkerülését ellenőrző eszközök Az új támadási technikák figyelése és

blokkolása

Bizt. Ellenőrzés

Bizt. Ellenőrzés

Csoport szintű fejlesztés leállítás Fenyegetettségi modellek frissítése,

kód átvizsgálás, tesztelés és dokumentálás

Bizt. AuditBizt. Audit Ismert veszélyek elleni vizsgálatok Belső és külsős „feltörés-tesztek”

Biztonsági Javítások

Biztonsági Javítások

Az újonnan felfedezett hibák javítása

A hibák eredetének keresése a további vonatkozó gyenge pontok felderítéséhez

Terv dokum. és specifikáció

Fejlesztés, tesztek,

dokumentálás

Termék

Javító csomagok

33 44

……90 90 napnap ……150 150 napnap

Kritikus vagy fontos biztonsági bejelentések az elsőKritikus vagy fontos biztonsági bejelentések az első

99 1717

TwC TwC alkalmazvaalkalmazva??

IgeIgenn

NNeemm

Néhány széles körben használt, piaci termék esetében

Kötelező minden új termékre:

BulletinBulletin a a TwC TwC

bevezetésétbevezetésétőlőlPiacon 2003 Január, 9 hónapjaPiacon 2003 Január, 9 hónapja

11

Service Pack 3Service Pack 3

Bulletin Bulletin - - megelőző megelőző időszakidőszak

1010

Folyamatos minőségjavítás

BulletinBulletin a a TwC TwC

bevezetésétőlbevezetésétőlPiacon 2002 Július óta, 15 hónapjaPiacon 2002 Július óta, 15 hónapja

BulletinBulletin - - megelőző megelőző időszakidőszak

55 Service Pack 3Service Pack 3

11

Javítócsomagok túl gyakoriak A támadásokig eltelt idő

csökken A támadások egyre

kifinomultabbak Jelenlegi megközelítés nem

eredményes

A BIZTONSÁG az 1. a rangsorbanA BIZTONSÁG az 1. a rangsorbanNincs megfelelő „Bölcsek Köve”Nincs megfelelő „Bölcsek Köve”

A változtatáshoz fejlesztés szükségesA változtatáshoz fejlesztés szükséges

151151180180

331331

Blaster

Blaster

Welchia/ Nachi

Welchia/ Nachi

NimdaNimda

2525

SQL Slammer

SQL Slammer

A javítókód A javítókód publikálása és a publikálása és a

támadások között támadások között eltelt idő (napok)eltelt idő (napok)

Növekvő Biztonság?Válasz a kihívásokra!

Biztonsági KutatókBiztonsági Kutatók

Gyenge pontok Gyenge pontok felfedezésefelfedezése

Együttműködés a sebezhető Együttműködés a sebezhető pontok kijavításának érdekébenpontok kijavításának érdekében

Felelőséggel végrehajtott Felelőséggel végrehajtott közzététel / értesítésközzététel / értesítés

Néhány kutató már Néhány kutató már felismerte az ismeretekkel felismerte az ismeretekkel együtt járó felelősséget isegyütt járó felelősséget is

KódfeltörőkKódfeltörők

Gyorsjavító-kód visszafejtése Gyorsjavító-kód visszafejtése és publikálása a Webenés publikálása a Weben

Olyan közösségi szellem Olyan közösségi szellem kiépítése, mely szerint a kiépítése, mely szerint a

felelőtlen magatartás felelőtlen magatartás kártékony kártékony

Elérni minden érintettetElérni minden érintettet az üzenettel az üzenettel

Egyre több IT szakember szólal fel Egyre több IT szakember szólal fel a felelőtlen magatartást a felelőtlen magatartást tanúsítókkal szembentanúsítókkal szemben

„ „Támadók”Támadók”

A gyenge pontokat támadó A gyenge pontokat támadó programok elkészítése és programok elkészítése és

közzétételeközzététele

Együttműködés az igazságügyi Együttműködés az igazságügyi - és nyomozó hatóságokkal- és nyomozó hatóságokkal

A törvényszéki munka A törvényszéki munka technológiai támogatásatechnológiai támogatása

Két letartóztatás a Két letartóztatás a Blaster kapcsánBlaster kapcsán

A támadások folyamata

Microsoft feladataiMicrosoft feladatai

EredményekEredmények::

A felhasználók A felhasználók panaszoltákpanaszolták

A Microsoft A Microsoft válaszlépéseiválaszlépései

““Nem vagyok képes Nem vagyok képes követni … javítások követni … javítások minden hétenminden héten””

““A gyorsjavító kódok készítési A gyorsjavító kódok készítési folyamata alacsony minőségű folyamata alacsony minőségű és egyben nem egységesés egyben nem egységes””

““Ismernem kell a módszert mely Ismernem kell a módszert mely alapján biztonságosan üzemeltet- alapján biztonságosan üzemeltet- hetem vállalati infrastruktúrámathetem vállalati infrastruktúrámat””

““Még mindig túl sok a Még mindig túl sok a sebezhető pont a sebezhető pont a termékeitekbentermékeitekben””

Irányelvek és KépzésIrányelvek és Képzés

Sebezhetőség csökkentése Sebezhetőség csökkentése javítókód nélkül javítókód nélkül

Folyamatos minőség-Folyamatos minőség-javítás és -biztosításjavítás és -biztosítás

Javítjuk a hibajavítás Javítjuk a hibajavítás folyamatátfolyamatát

Hatékonyabb és egyszerűbb hibajavításÚj gyorsjavító-kód közzétételi szabályok

Kiterjesztett biztonsági támogatás 2004 júniusáig• Windows 2000 SP2• Windows NT4 Workstation SP6a

Biztonsági javítások havi egyszeri publikálása, előre bejelentett rendszerességgel Lehetővé válik a tervezhető

tesztelési és bevezetési folyamat a javítások esetében is

A gyorsjavítókódok egy olyan csomagban történő közzététele, melyben különálló, de együtt bevezethető javítások vannak

Figyelem: A kritikusnak minősített javítások közzététele Figyelem: A kritikusnak minősített javítások közzététele eltérhet az előzetesen közölt időponttól!eltérhet az előzetesen közölt időponttól!

Globális Képzési Program• TechNet Biztonsági Konferenciák• Havi biztonsági témájú web-közvetítés• Dedikált, fejlesztőknek szóló előadás a PDC-n

Új, a megelőzést segítő tanácsok• Sablonok és gyakorlati tanácsok• Biztonságra törekvő beállítási módszerek• Hogyan biztosítja a Microsoft saját magát -

tanulmány Online közösségek

• „Biztonsági Övezet” IT szakemberek számára

Irányelvek és képzés

Felhasználóink támadásokkal Felhasználóink támadásokkal szembeni ellenálló képességének szembeni ellenálló képességének

növelése, még akkor is ha a „foltozás” növelése, még akkor is ha a „foltozás” nem történt megnem történt meg

Segítségnyújtás az ismert és ismeretlen biztonsági hézagok hatásainak kiküszöbölésében

Cél: 10 javítócsomagból legalább 7 telepítése saját időzítés alapján történhessen

A „gyorsjavításon” túl

Windows XP SP2 • Megerősített személyes tűzfal• Biztonságosabb levelezés és internet használat• Javított memória-védelem• Beta termék 2003 végéig, RTM a felhasználói

visszajelzések függvényében H1-ben Windows Server 2003 SP1

• „Szerepkör függő” biztonsági beállítások• Távoli elérésű kliensek ellenőrzése• Helyi ellenőrzés csatlakozáskor• RTM H2 CY04

Beépülő biztonsági technológiák

Kliens oldali biztonságBiztonsági javítások, melyek lehetővé teszik a számítógépek védelmét még hibajavító kód telepítése nélkül is; A Win XP SP2 (H104) már tartalmazza

Képes megakadályozni a számítógépes hálózat felől érkező támadásokat, a csatolt állományokban utazó vírusokat és a memória-túlcsordulást

Hálózati védelem: Javított ICF, mely alapból bekapcsolt állapotú

Biztonságosabb levelezés: Javított csatolt állomány blokkolás az Outlook Expressben és az IM-ben

Biztonságosabb Internet -böngészés: Javított felhasználói beállítások, melyek megvédenek a veszélyes ActiveX vezérlőktől és kémprogramoktól

Memória Védelem: csökkenti a veremtár túlcsordulást

Mi is ez valójába

n

Mire képes

Fontosabb funkciók

Biztonságosabb nagyvállalat

Csak azon kliensek számára engedélyezett a hálózathoz történő kapcsolódás, melyek teljesítik a céges biztonsági előírásokat Win 2003 SP1 -től (H204)

Megvédi a vállalati eszközöket a fertőzött számítógépektől

Szerepkörhöz kötött beállítások a nem használt funkciók kikapcsolásával

Kötelező érvényű vállalati biztonsági követelmények ellenőrzése, pl. javítócsomag verzió, AV verzió, tűzfal állapot

Ellenőrzi, hogy ezek a szabályok érvényesítésre kerüljenek, amikor• VPN –en csatlakozik a távoli kliens• Ellenőrizhetetlen eszközök vezetékes vagy

vezeték-nélküli kapcsolatának kiépítésekor

Mi is ez

Mire képes

Fontosabb Funkciók

Miről fogunk még hallani?

Biztonsági szabályozás a biztonsági rendszeren belül• Halbritter Tamás, ITech

Digitális információink védelme• Borbély András, Grepton

Védekezés az ismeretlen veszélyek ellen - Vírusvédelem a gyakorlatban• Vass Tibor, is: energy - Tóth Árpád, NAI

Köszönöm a figyelmüket!gabord@microsoft.com