La Strategia Microsoft per la sicurezza dei sistemi Francesca Di Massimo Security Lead Microsoft Italia Catania 22 settembre 2006 L’impegno di Microsoft per la Sicurezza Perchè la sicurezza dei clienti è una “top priority” per Microsoft? Secondo il CERT/CC (Centre of emergency response Team/Coordination Centre), il numero dei security incidents è cresciuto da 21,756 nel 2000 a 137,000 nel 2003. Estorsione Sabotaggio Furto di “identità” Uso illegale di… Furto di IP Frode Accessi da parte… Phishing Accessi da parte… Email SPAM Saturazione delle… Virus o Malicious… Ti pologia di attacco 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% Le sfide della sicurezza Prevenire i virus e il malware Avere aggiornamenti di sicurezza in maniera efficiente (distribuita e tempestiva) e contestualmente ridurre la frequenza degli aggiornamenti di sicurezza Implementare un approccio di difesa a più livelli (Defense in depth) Migliorare la conoscenza e la confidenza per gestire sistemi sicuri Benefici degli investimenti in sicurezza Riduzione dei tempi di fermo e dei costi associati alla non disponibilità dei sistemi Riduzione dei costi legati ad un inefficiente distribuzione degli aggiornamenti di sicurezza Riduzione delle perdite di dati dovute e virus o violazioni della sicurezza Aumento della protezione delle proprietà intellettuali Ottimizzazione dell’infrastruttura Difesa a più livelli L'utilizzo di un approccio di difesa a più livelli: Aumenta il rischio per un attaccante di essere rilevato e scoperto Riduce le probabilità di successo di un attacco Dati Asset Pericolo Vulnerabilità Mitigazioni Applicazione Cosa si vuole proteggere? Cosa temi possa accadere? Come il pericolo può verificarsi? Cosa attualmente può ridurre il rischio? Host Rete interna Impatto Probabilità Perimetro Qual è l’impatto sul business? Quanto verosimilmente il pericolo può attuarsi? Sicurezza fisica Criteri, procedure e consapevolezza Definizione di rischio Difesa a più livelli Dati Applicazione Host Rete interna Perimetro Sicurezza fisica Criteri, procedure e consapevolezza Controllo dell'accesso, crittografia Protezione delle applicazioni, Protezione del OS, patch, antivirus, Rete segmentata, IPSec, Firewall, VPN con quarantena Personale di sicurezza, serrature e dispositivi di controllo Formazione degli utenti Criteri, procedure e consapevolezza Anche io gestisco Devo una configurare un rete. Come firewall. configuri il Quali porte dovrei firewall? bloccare? Hanno bloccato il sito Web Belmio modem. Per Chepreferito. numero ha fortuna ho un questa linea? modem. Penso dovrei tenere la porta Qualcuno saserver dov’è della sala la sala server? aperta: è più semplice. Penso dovrei usare Non miil mio viene nome come una buona password. password. Quale usi tu? Cultura della sicurezza Mancanza di cultura della sicurezza Password deboli Criteri, procedure e consapevolezza La formazione sulla sicurezza aiuta i dipendenti a supportare le policy di sicurezza: Policy di configurazione dei firewall Policy di accesso fisico ai sistemi Policy di richiesta/uso dei device Policy sulla gestione delle password Policy sulla segretezza delle informazioni Sicurezza fisica Tutti gli asset di un’organizzazione devono avere sicurezza fisica Chiudere le porte e installare allarmi Assumere personale di sicurezza Stabilire policy di accesso Controllare gli accessi Limitare i device di inserimento/salvataggio dei dati Usare sistemi di accesso remoto Difesa del perimetro Partner Ufficio centrale Internet LAN LAN Servizi Internet IlLa perimetro di rete può compromissione del di Protezione del perimetro includere connessioni perimetro di rete può a: rete: determinare: Attacchi alla rete Firewall (es. ISA Server Internet aziendale 2004) Uffici remoti Attacchi agli utenti remoti Blocco delle porte di Partner comunicazione Attacchi dai partner Utenti remoti Traslazione di porte e Attacchi da uffici remoti Reti wireless indirizzi IP Attacchi ai servizi Applicazioni Internet(VPN) Reti private virtuali Internet Protocollida di Internet tunnell Attacchi VPN con quarantena Servizi Internet Utente remoto Ufficio remoto Rete Wirel ess LAN Difesa della rete interna Accesso non autorizzato ai sistemi Porte di comunicazione inattese Vendite Accessi non autorizzati alla rete wireless Rete wireless Marketing Sniff dei pacchetti di rete Accesso a tutto il traffico di rete Finance Risorse umane Difesa della rete interna Richiedere mutua autenticazione Segmentare la rete Criptare le comunicazioni in rete Restringere il traffico anche se la rete è segmentata Firmare i pacchetti di rete Implementare i filtri IPSec per restringere il traffico verso i server Difesa degli host Singoli computer sulla rete Spesso con ruoli o funzioni specifiche Si deve bilanciare tra usabilità e sicurezza Configurazioni errate del sistema operativo Distribuzioni di virus Falle nel sistema operativo Accessi non controllati Difesa degli host Rafforzare il sistema operativo di client e server Disabilitare servizi non necessari Controllare accessi e tentati accessi Installare e mantenere antivirus e antispyware Usare firewall (es. Windows Firewall) Installare corretti di sicurezza e service pack Difesa del livello applicativo Perdita di funzionalità applicativa Esecuzione di codice maligno Uso estremo e malevolo – Attacchi DoS Uso non desiderato di applicazioni Eseguire le applicazioni con bassi privilegi Abilitare solo funzioni e servizi necessari Usare le più aggiornate pratiche per lo sviluppo delle applicazioni Installare aggiornamenti di sicurezza per tutte le applicazioni Installare ed aggiornare i software antivirus Usare le Software Restriction Policy di Windows Server 2003 Difesa del livello dati Vista, modifica, o rimozione di informazioni Interrogazione di directory e file Sostituzione o modifica di file applicativi Documenti File e Directory File applicativi Difesa del livello dati Usare una combinazione di controllo degli accessi e criptatura Installare i file critici in posizioni diverse rispetto a quelle di default Eseguire backup regolari (e prove di ripristino) Criptare i file con EFS Proteggere documenti e posta con Windows Rights Management L’impegno di Microsoft per la sicurezza Una piattaforma sicura rafforzata da prodotti di sicurezza, servizi e formazione per supportare i clienti Piattaforme sicure Innovazioni nella sicurezza Guide ed informazioni basate su scenari Processi di Incident Response Trasferimento di conoscenza e skill Collaborazione e Partnership Gli investimenti di Microsoft: i fondamenti della sicurezza Il Security Development Lifecycle 15.000 sviluppatori formati sulla scrittura di codice sicuro Modelli di simulazione delle minacce Riduzione del 66% delle vulnerabilità critiche Il Security Response Center 24 ore al giorno Rilevazione vulnerabilità e sviluppo update IDC 27 gennaio: “MSRC benchmark del mercato” Aggiornamenti di sicurezza e strumenti Windows update Bollettini e advisory di sicurezza Malicious software removal tool Alcuni risultati 16 92 3 Bulletins in period prior to release 59 15 2003 8 Released 11/29/2000 Released 09/28/2003 1083 Days After Product Release * As of April 11, 2006 Released 05/31/2001 Released 11/17/2003 Bulletins 876 Days After Product Release Bulletins since TwC release SQL Server 2000 SP3 released 1/17/2003 Formazione Fornire informazioni distribuite e tempestive per aiutarvi a proteggere vostri sistemi e per preparavi ad affrontare le minacce emergenti Security Guidance Center per Small Business IT pros www.microsoft.com/italy/pmi/sicurezza/default.mspx Small business center www.microsoft.com/italy/pmi/default.mspx Sito security www.microsoft.com/italy/security/default.mspx Corso Security smallbusiness.microsoftelearning.com/italy/eLearning/courseContent.aspx?co urseId=55705 Bollettini sulla Sicurezza www.microsoft.com/italy/security/security_bulletins/decision.mspx Webcast www.microsoft.com/italy/technet/eventi/webcast/default.mspx Microsoft Risk Assessment Tool https://www.securityguidance.com/ Formazione: alcuni dati per l’Italia Visitatori del sito Small Business: 400.0000 visitatori mensili Visitatori del sito Security Guidance Center: 10.000 visitatori mensili Download del tool gratuito MSAT: 1.190 (un anno) Strumenti di notifica Bollettini sulla sicurezza Security advisory Microsoft Security Notification Service Bollettini in formato RSS feed per i privati MSN Messenger Alerts Blog del Microsoft Security Response Center Webcast mensili Newsletter technet Considerate prima le vostre esigenze © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.