La Strategia Microsoft
per la sicurezza dei sistemi
Francesca Di Massimo
Security Lead
Microsoft Italia
Catania 22 settembre 2006
L’impegno di Microsoft per la Sicurezza
Perchè la sicurezza dei clienti è una “top priority” per Microsoft?
Secondo il CERT/CC (Centre of emergency response Team/Coordination Centre), il numero
dei security incidents è cresciuto da 21,756 nel 2000 a 137,000 nel 2003.
Estorsione
Sabotaggio
Furto di “identità”
Uso illegale di…
Furto di IP
Frode
Accessi da parte…
Phishing
Accessi da parte…
Email SPAM
Saturazione delle…
Virus o Malicious…
Ti pologia di attacco
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
Le sfide della sicurezza
Prevenire i virus e il malware
Avere aggiornamenti di sicurezza in maniera efficiente
(distribuita e tempestiva) e contestualmente ridurre la
frequenza degli aggiornamenti di sicurezza
Implementare un approccio di difesa a più livelli
(Defense in depth)
Migliorare la conoscenza e la confidenza per gestire
sistemi sicuri
Benefici degli investimenti in sicurezza
Riduzione dei tempi di fermo e dei costi associati
alla non disponibilità dei sistemi
Riduzione dei costi legati ad un inefficiente
distribuzione degli aggiornamenti di sicurezza
Riduzione delle perdite di dati dovute e virus o
violazioni della sicurezza
Aumento della protezione delle proprietà
intellettuali
Ottimizzazione dell’infrastruttura
Difesa a più livelli
L'utilizzo di un approccio di difesa a più livelli:
Aumenta il rischio per un attaccante di essere rilevato e scoperto
Riduce le probabilità di successo di un attacco
Dati
Asset
Pericolo
Vulnerabilità
Mitigazioni
Applicazione
Cosa si vuole
proteggere?
Cosa temi
possa
accadere?
Come il
pericolo può
verificarsi?
Cosa
attualmente
può ridurre il
rischio?
Host
Rete interna
Impatto
Probabilità
Perimetro
Qual è l’impatto sul
business?
Quanto verosimilmente il
pericolo può attuarsi?
Sicurezza fisica
Criteri, procedure
e consapevolezza
Definizione di rischio
Difesa a più livelli
Dati
Applicazione
Host
Rete interna
Perimetro
Sicurezza fisica
Criteri, procedure
e consapevolezza
Controllo dell'accesso, crittografia
Protezione delle applicazioni,
Protezione del OS, patch, antivirus,
Rete segmentata, IPSec,
Firewall, VPN con quarantena
Personale di sicurezza, serrature e
dispositivi di controllo
Formazione degli utenti
Criteri, procedure e consapevolezza
Anche io
gestisco Devo
una
configurare
un
rete. Come
firewall.
configuri
il Quali
porte dovrei
firewall?
bloccare?
Hanno bloccato il
sito Web
Belmio
modem.
Per
Chepreferito.
numero ha
fortuna
ho un
questa
linea?
modem.
Penso dovrei
tenere la porta
Qualcuno
saserver
dov’è
della sala
la sala
server?
aperta:
è più
semplice.
Penso dovrei
usare
Non miil mio
viene
nome
come
una buona
password.
password.
Quale usi tu?
Cultura della sicurezza
Mancanza di
cultura della
sicurezza
Password
deboli
Criteri, procedure e consapevolezza
La formazione sulla sicurezza aiuta i
dipendenti a supportare le policy di sicurezza:
Policy di configurazione dei firewall
Policy di accesso fisico ai sistemi
Policy di richiesta/uso dei device
Policy sulla gestione delle password
Policy sulla segretezza delle informazioni
Sicurezza fisica
Tutti gli asset di un’organizzazione devono avere sicurezza
fisica
Chiudere le porte e installare allarmi
Assumere personale di sicurezza
Stabilire policy di accesso
Controllare gli accessi
Limitare i device di inserimento/salvataggio
dei dati
Usare sistemi di accesso remoto
Difesa del perimetro
Partner
Ufficio centrale
Internet
LAN
LAN
Servizi Internet
IlLa
perimetro
di rete
può
compromissione
del di
Protezione
del
perimetro
includere
connessioni
perimetro
di rete può a:
rete:
determinare:
Attacchi
alla rete
Firewall (es.
ISA Server
Internet
aziendale
2004)
Uffici remoti
Attacchi
agli utenti
remoti
Blocco delle
porte di
Partner
comunicazione
Attacchi
dai partner
Utenti
remoti
Traslazione
di porte
e
Attacchi
da uffici
remoti
Reti
wireless
indirizzi IP
Attacchi
ai servizi
Applicazioni
Internet(VPN)
Reti
private
virtuali
Internet
Protocollida
di Internet
tunnell
Attacchi
VPN con quarantena
Servizi Internet
Utente
remoto
Ufficio remoto
Rete
Wirel
ess
LAN
Difesa della rete interna
Accesso non
autorizzato ai
sistemi
Porte di
comunicazione
inattese
Vendite
Accessi non
autorizzati alla rete
wireless
Rete
wireless
Marketing
Sniff dei
pacchetti di
rete
Accesso a tutto il
traffico di rete
Finance
Risorse
umane
Difesa della rete interna
Richiedere mutua autenticazione
Segmentare la rete
Criptare le comunicazioni in rete
Restringere il traffico anche se la rete è segmentata
Firmare i pacchetti di rete
Implementare i filtri IPSec per restringere il traffico verso
i server
Difesa degli host
Singoli computer sulla rete
Spesso con ruoli o funzioni specifiche
Si deve bilanciare tra usabilità e sicurezza
Configurazioni
errate del sistema
operativo
Distribuzioni di virus
Falle nel sistema
operativo
Accessi non controllati
Difesa degli host
Rafforzare il sistema operativo di client e
server
Disabilitare servizi non necessari
Controllare accessi e tentati accessi
Installare e mantenere antivirus e antispyware
Usare firewall (es. Windows Firewall)
Installare corretti di sicurezza e service pack
Difesa del livello applicativo
Perdita di funzionalità applicativa
Esecuzione di codice maligno
Uso estremo e malevolo – Attacchi DoS
Uso non desiderato di applicazioni
Eseguire le applicazioni con bassi privilegi
Abilitare solo funzioni e servizi necessari
Usare le più aggiornate pratiche per lo sviluppo delle applicazioni
Installare aggiornamenti di sicurezza per tutte le applicazioni
Installare ed aggiornare i software antivirus
Usare le Software Restriction Policy di Windows Server 2003
Difesa del livello dati
Vista,
modifica, o
rimozione di
informazioni
Interrogazione
di directory e
file
Sostituzione o
modifica di file
applicativi
Documenti
File e Directory
File applicativi
Difesa del livello dati
Usare una combinazione di controllo degli accessi e
criptatura
Installare i file critici in posizioni diverse rispetto a quelle di
default
Eseguire backup regolari (e prove di ripristino)
Criptare i file con EFS
Proteggere documenti e posta con Windows Rights
Management
L’impegno di Microsoft per la sicurezza
Una piattaforma sicura rafforzata da prodotti di
sicurezza, servizi e formazione per supportare i clienti
Piattaforme sicure
Innovazioni nella
sicurezza
Guide ed informazioni
basate su scenari
Processi di Incident
Response
Trasferimento di
conoscenza e skill
Collaborazione e
Partnership
Gli investimenti di Microsoft: i fondamenti della
sicurezza
Il Security Development Lifecycle
15.000 sviluppatori formati sulla scrittura di codice sicuro
Modelli di simulazione delle minacce
Riduzione del 66% delle vulnerabilità critiche
Il Security Response Center
24 ore al giorno
Rilevazione vulnerabilità e sviluppo update
IDC 27 gennaio: “MSRC benchmark del mercato”
Aggiornamenti di sicurezza e strumenti
Windows update
Bollettini e advisory di sicurezza
Malicious software removal tool
Alcuni risultati
16
92
3
Bulletins in
period prior
to release
59
15
2003
8
Released
11/29/2000
Released
09/28/2003
1083 Days After Product Release
* As of April 11, 2006
Released
05/31/2001
Released
11/17/2003
Bulletins 876 Days
After Product Release
Bulletins since
TwC release
SQL Server 2000 SP3
released 1/17/2003
Formazione
Fornire informazioni distribuite e tempestive
per aiutarvi a proteggere vostri sistemi
e per preparavi ad affrontare le minacce
emergenti
Security Guidance Center per Small Business IT pros
www.microsoft.com/italy/pmi/sicurezza/default.mspx
Small business center
www.microsoft.com/italy/pmi/default.mspx
Sito security
www.microsoft.com/italy/security/default.mspx
Corso Security
smallbusiness.microsoftelearning.com/italy/eLearning/courseContent.aspx?co
urseId=55705
Bollettini sulla Sicurezza
www.microsoft.com/italy/security/security_bulletins/decision.mspx
Webcast
www.microsoft.com/italy/technet/eventi/webcast/default.mspx
Microsoft Risk Assessment Tool
https://www.securityguidance.com/
Formazione: alcuni dati per l’Italia
Visitatori del sito Small Business: 400.0000 visitatori mensili
Visitatori del sito Security Guidance Center: 10.000 visitatori mensili
Download del tool gratuito MSAT: 1.190 (un anno)
Strumenti di notifica
Bollettini sulla sicurezza
Security advisory
Microsoft Security Notification Service
Bollettini in formato RSS feed per i privati
MSN Messenger Alerts
Blog del Microsoft Security Response Center
Webcast mensili
Newsletter technet
Considerate prima le vostre esigenze
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Scarica

Difesa a più livelli