Защищенность продуктов Microsoft Стратегия и прогресс Евгений Фенюшин

Защищенность продуктов Microsoft Стратегия и прогресс Евгений Фенюшин Специалист по системной архитектуре Eugenef@microsoft. com 1

Актуальность проблемы Источник: 2005 CSI/FBI Computer Crime and Security Survey http: //www. usdoj. gov/criminal/cybercrime/FBI 2005. pdf 2

Затраты на информационную безопасность 3

Используемые технологии 4

Затраты на пользователя 5

Оценка важности инвестиций в обучение 6

Основные источники угроз Природа стихийные бедствия (наводнение, ураган, землетрясение, пожар и т. п. ) Техника аварии, сбои и отказы оборудования (средств вычислительной техники и связи) Люди ошибки проектирования и разработки компонентов ИС (технологий обработки, программ, структур данных, аппаратных средств и т. п. ) ошибки эксплуатации (пользователей, операторов, обслуживающего и другого персонала) преднамеренные действия нарушителей (обиженных лиц из числа персонала, преступников…) развитие технологий (увеличение производительности процессоров, совершенствование технологий создания вирусов, …) 7

Защищенные информационные системы Защита от атак Защита конфиденциальности, целостности данных и систем Управляемость Защита от нежелательных коммуникаций Защита персональных данных Продукты, онлайн службы для обеспечения безопасности Предсказуемо, непротиворечиво и доступно 24 х7 Легко конфигурировать и управлять Надежность, доказанная практикой Открытые и прозрачные коммуникации с потребителями Лидерство в индустрии Опора на открытые стандарты 8

Средства достижения Безопасность в архитектуре Безопасность по умолчанию • Создание защищенной архитектуры • Новые функции безопасности • Снижение количества уязвимостей в новом и существующем коде • Отключение неиспользуемых функций • Использование необходимого минимума привилегий Безопасность в работе • • Сотрудничество • Обучение • Информация от пользователей и Партнеров • Совместные решения Правильная настройка Обнаружение проникновения Отражение атак Управление действиями по защите 9

Что уже достигнуто Безопасность в архитектуре • ВСЕ программисты Microsoft прошли тренинги по написанию защищенного кода • Построена модель угроз Безопасность по умолчанию • Windows XP: IIS отключен по умолчанию • Windows Server 2003: 19 новых сервисов отключены по умолчанию Безопасность в работе • Бесплатный Baseline Security Analyzer • Бесплатный Security Toolkit • Новые книги по безопасности Сотрудничество • Функции отправки отчетов • Microsoft Security Response Center • Работа с Партнерами по безопасности 10

Прогресс в безопасности Service Pack 2 Service Pack 1 Более 260 миллионов копий распространено В 15 раз меньше вероятность нежелательного ПО На порядок меньше обновлений Мастер обеспечения безопасности Ориентация на безопасность при разработке Защищенность по умолчанию Более 4. 7 миллиона копий загружено Самое скачиваемое ПО Microsoft Защищает 25 миллионов пользователей Отличные отзывы экспертов Spy. Net Malicious Software Removal Tool 2 млрд запусков; 200 млн в месяц Фокус на самом распространенном вредоносном ПО 11 Резкое уменьшение числа атак Февраль 2006

Но цель Microsoft гораздо шире Реализация полного потенциала в современном распределенном мире 12

Фокус на безопасности Стратегия Защищенная платформа на основе продуктов, услугах и рекомендациях Совершенство в основах Инновации в безопасность Инструменты и рекомендации по сценариям Авторизованный отклик на инциденты Знание и обучение Взаимодействие и партнерство 13

Основы SDL – Security Development Lifecycle: процесс обеспечения безопасности на всем цикле разработки Оперативный центр по безопасности Лучшие обновления и инструменты 14

И это дает результаты! 16 89 Service Pack 3 Важные и критические бюллетени выпущенные после выхода продукта 3 Бюллетеней Бюллетен ей перед после выхода выпуском стратегии Tw. C продукта 50 11 2003 SQL Server 2000 SP 3 выпущен 17/1/2003 7 Выпущен 11/29/2000 Выпущен 09/28/2003 1027 дней после релиза 14 Фераля 2006 Выпущен 05/31/2001 Выпущен 11/17/2003 820 дней после релиза 15

Обновления ПО Microsoft Update Automatic Updates Microsoft Baseline Security Analyzer 2. 0 Крупный бизнес Средний бизнес Малый бизнес Потребитель 16

«По отрасли в целом» Уязвимости заявленные в бюллетенях по безопасности в 2005 году: Windows Server 2003 и Red Hat Enterprise Linux 3 Июль Totals: Август Сентябрь Октябрь Microsoft = 30 Ноябрь Декабрь Red Hat = 134 17 Источник: Vendor’s Public Security Bulletins as of 12/31/2005

«По отрасли в целом» Уязвимости web-сервера Источник: “Security Innovation (Март 2005): "Role Comparison Report: Web Server Role" Уязвимости БД 18 Источник: “Security Innovation (Июнь 2005): "Role Comparison Security Report: Database Server Role"

Качество безопасности У Microsoft лучшая скорость выпуска обновлений Microsoft SDL показывает результаты Меньше уязвимостей Оперативные исправления У Microsoft меньше всех уязвимостей 350 22 300 14 250 200 150 10 31 86 Microsoft 99 Red. Hat 166 Дней риска 8 9 53 120 111 Средние 57 Debian 57 82 Mandrake. Soft Debian Mandrake. Soft SUSE 50 Критичные: 06. 02 – 05. 03 25 Microsoft Red. Hat 68 86 128 На 42 меньше число критичных 74 SUSE 0 20 40 60 80 100 Другие 0 Источник: “Is Windows More Secure than Linux? ”, Forrester, Март 2004. NIST: US National Institutes of Standards and Technology 19

Следующее поколение систем безопасности Основы Технологии будущего Процесс обеспечения безопасности на всем цикле разработки Определение угроз Сканирование кода Усиление защиты служб Предотвращение атак Защита от вредоносного ПО Проверка целостности кода Защищенный режим IE Windows Defender IPSEC/Firewall Защита доступа к сети Идентификация Безопасный доступ Контроль учетных записей Поддержка смарткарт Избирательный аудит Гибкая система регистрации Защита информации Bit. Locker Drive Encryption EFS Smartcard key storage Служба управления правами Отслеживание инсталляций переносных устройств 20 XPS документ + WPF APIs

Предотвращение атак Защита от вредоносного ПО Предотвращение Изоляция Предотвращение известных и неизвестных атак Ограничить возможный вред изоляцией Антивирус Антишпионское ПО Антиспам Антифишинг Персональный файерволл IP Sec Контроль учетных записей Расширенные возможности IE Защита доступа к сети Восстановление до рабочего состояния Система восстановления Malicious Software Removal Tool Intellimirror® 21

Threat & Vulnerability Mitigation Линейка продуктов Microsoft Antigen Главное Уникальная технология многоядерного антивирусного сканирования Интегрированная защита от вирусов и спама Интегрированное антивирусное ядро от Microsoft Выход во 2 -м квартале 2006 22

Планы Улучшение поддержки смарткарт “Win. FX” “Info. Card” Доступ Windows Server 2003 Federation Services Службы сертификатов Поддержка смарткарт Microsoft Identity Integration Server 2003 2006+ Windows Server 2003 Служба каталогов и групповые политики Авторизация VPN Windows Vista Расширенные возможности авторизации Windows Communication Foundation Защита информации Подлинность Сегодня Identity & Access Control Шифрованная файловая система Служба управления правами Data Protection Manager 2006 Windows Vista Bit. Locker RMS Client Улучшенные возможности EFS Windows Presentation Foundation “XPS” 2007 Windows “Longhorn” Server Microsoft Identity Integration Services “Gemini” Microsoft Certificate Lifecycle Manager Следующее поколение AD Windows “Longhorn” Server Следующее поколение решений управления политиками доступа Windows “Longhorn” Server Расширение AD 23

Руководства и рекомендации 24 www. microsoft. com/security/guidance

Сертификация в России СЕРТИФИЦИРОВАНА ПЛАТФОРМА для построения информационных систем Сертификация в ФСТЭК (бывшая Гостехкомиссия России) Сертифицированы: Windows XP Professional русская версия Windows Server 2003 (Standard и Enterprise) русские версии SQL Server 2000 (Standard и Enterprise) английские версии Office 2003 Professional русская версия Особенность: постоянно сертифицируются и ВСЕ последующие патчи Организовано и сертифицировано производство ВСЕХ этих сертифицированных продуктов на «Предприятии по поставкам продукции Управления делами Президента РФ» Сертификация в ФСБ Получены положительные заключения о результатах сертификации Windows XP Professional Windows Server 2003 25 http: //www. microsoft. com/Rus/Security/Certificate/Default. mspx

Планы по сертификации В соответствии с планами, находящимися в процессе согласования с ФСБ и ФСТЭК планируется сертифицировать SQL Server 2005 ISA Server 2006 Share Point Portal Server Biz. Talk Server Exchange Server Windows Vista а также другие продукты 26

Доказательство качества www. Microsoft. com 13 млн. чел в день 10 тыс. запросов в секунду 300 тыс. параллельных соединений 100+ тыс. атак в день Windows. Update 200 млн. скачиваний в день 12 тыс. запросов в секунду 1 млн. параллельных соединений 80+ Gbit в секунду – пиковые нагрузки Web Site Availability Benchmarking измерено Keynote Systems, Inc. Microsoft. com в течение 3 -х лет подряд – самый устойчивый сайт Year To Date Rank 1 2 3 4 5 6 7 8 Site Microsoft. com Windows. Update Google IBM AOL Dell MSN Oracle Avail % 99. 82 99. 81 99. 70 99. 69 98. 63 87. 39 84. 08 27

Заключение: Что Вы должны сделать Провести аудит системы безопасности Разработать политики и процедуры безопасности Разработать план поддержания безопасности Периметра, сети, серверов, приложений, данных Автоматизировать управление процессом установки патчей Установить Windows XP для удаленных клиентов Установить Windows Server 2003 для серверов, имеющих выход в Интернет www. microsoft. com/rus/security - дополнительная информация 28

© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 29

За прошедшие 30 минут… могли вы представить? 1, 500 администраторов посетили раздел Microsoft. com по безопасности 250 копий Windows Server 2003 SP 1 загружено 50, 000 пользователей запустили Malicious Software Removal Tool 2 экземпляра Sasser было удалено 149 зараженных машин вылечено Более 18, 000 пользователей установили Windows Defender ~7, 500 копий вредоносного ПО было удалено 30

31

Международная сертификаци Сертификация на соответствие требованиям Общих Критериев (Common Criteria) В 2005 сертифицированы на уровень EAL 4+: Windows Server 2003 SP 1 Standard Enterprise Datacenter Windows Server 2003 Certificate Server Windows XP Professional Embedded Exchange Server 2003 ISA Server 2004 32 http: //www. microsoft. com/rus/news/issues/2005/12/EAL 4_Common. Criteria. mspx

Продолжая совершенствовать качество: TWC-процесс Дизайн и спецификации Дизайн Разработка, тестирование и документация Разработка N 1 N 2 Анализ на безопасно сть Разработка с тестировани ем Nn Beta Продукт Выпуск Сервис паки Поддержка Для каждого компонента строится модель угроз Применение стандартов кодирования Специальный инструментарий Отслеживание и блокировка новой техники атак Проверка безопасно сти Использование расширенной команды Проверка анализа угроз, проверка кода, тестов и документации Аудит безопасн ости Апробация против текущих угроз Тесты на проникновение – внутри компании и с привлечением 3 -х фирм Обратная связь Фиксация вновь обнаруженных брешей 36

Результаты Число выпущенных бюллетеней по безопасности для некоторых продуктов: До и После TWC-процесса 9 Service Pack 3 5 1 До Service Pack 3 0 До После Выпуск июль 2002, 14 месяцев спустя Выпуск январь 2003, 8 месяцев спустя TWC-процесс ОБЯЗАТЕЛЕН для всех новых продуктов … 90 дней … 150 дней TWC процесс? 13 23 Нет 6 9 Да 37