Informatikai biztonság napjainkban Biztonsági törekvések a Microsoftnál Dénes Gábor Nagyvállalati Megoldás Értékesítési Tanácsadó

Folyamatos minőségjavítás Megbízható Számítástechnika szerinti termék életciklus M1 M2 Mn Beta Tervezés Fejlesztés Forgalmazás Támogatás Bizt. Ellenőrzés  Minden termékfejlesztő csapat felállít fenyegetettségi modelleket és biztosítja, hogy tervszinten is ellenálló legyen a végső kód Fejleszt. és Teszt  Biztonsági tervek és kódolási szabályok szem előtt tartása  Kódolási hibák elkerülését ellenőrző eszközök  Az új támadási technikák figyelése és blokkolása Bizt. Ellenőrzés  Csoport szintű fejlesztés leállítás  Fenyegetettségi modellek frissítése, kód átvizsgálás, tesztelés és dokumentálás Bizt. Audit  Ismert veszélyek elleni vizsgálatok  Belső és külsős „feltörés-tesztek” Biztonsági Javítások  Az újonnan felfedezett hibák javítása  A hibák eredetének keresése a további vonatkozó gyenge pontok felderítéséhez Terv dokum. és specifikáció Fejlesztés, tesztek, dokumentálás Termék Javító csomagok

34 …90 nap …150 nap Kritikus vagy fontos biztonsági bejelentések az első 917 TwC alkalmazva? Igen Nem Néhány széles körben használt, piaci termék esetében Kötelező minden új termékre: Bulletin a TwC bevezetésétől Piacon 2003 Január, 9 hónapja 1 Service Pack 3 Bulletin - megelőző időszak 10 Folyamatos minőségjavítás Bulletin a TwC bevezetésétől Piacon 2002 Július óta, 15 hónapja Bulletin - megelőző időszak 5 Service Pack 3 1

 Javítócsomagok túl gyakoriak  A támadásokig eltelt idő csökken  A támadások egyre kifinomultabbak  Jelenlegi megközelítés nem eredményes A BIZTONSÁG az 1. a rangsorban Nincs megfelelő „Bölcsek Köve” A változtatáshoz fejlesztés szükséges Blaster Welchia/ Nachi Nimda 25 SQL Slammer A javítókód publikálása és a támadások között eltelt idő (napok) Növekvő Biztonság? Válasz a kihívásokra!

Biztonsági Kutatók Gyenge pontok felfedezése Együttműködés a sebezhető pontok kijavításának érdekében Felelőséggel végrehajtott közzététel / értesítés Néhány kutató már felismerte az ismeretekkel együtt járó felelősséget is Kódfeltörők Gyorsjavító-kód visszafejtése és publikálása a Weben Olyan közösségi szellem kiépítése, mely szerint a felelőtlen magatartás kártékony Elérni minden érintettet az üzenettel Egyre több IT szakember szólal fel a felelőtlen magatartást tanúsítókkal szemben „Támadók” „Támadók” A gyenge pontokat támadó programok elkészítése és közzététele Együttműködés az igazságügyi - és nyomozó hatóságokkal A törvényszéki munka technológiai támogatása Két letartóztatás a Blaster kapcsán A támadások folyamata Microsoft feladatai Microsoft feladatai Eredmények:

A felhasználók panaszolták A Microsoft válaszlépései “Nem vagyok képes követni … javítások minden héten” “A gyorsjavító kódok készítési folyamata alacsony minőségű és egyben nem egységes” “Ismernem kell a módszert mely alapján biztonságosan üzemeltet- hetem vállalati infrastruktúrámat” “Még mindig túl sok a sebezhető pont a termékeitekben” Irányelvek és Képzés Sebezhetőség csökkentése javítókód nélkül Folyamatos minőség- javítás és -biztosítás Javítjuk a hibajavítás folyamatát

Hatékonyabb és egyszerűbb hibajavítás Új gyorsjavító-kód közzétételi szabályok  Kiterjesztett biztonsági támogatás 2004 júniusáig •Windows 2000 SP2 •Windows NT4 Workstation SP6a  Biztonsági javítások havi egyszeri publikálása, előre bejelentett rendszerességgel  Lehetővé válik a tervezhető tesztelési és bevezetési folyamat a javítások esetében is  A gyorsjavítókódok egy olyan csomagban történő közzététele, melyben különálló, de együtt bevezethető javítások vannak Figyelem: A kritikusnak minősített javítások közzététele eltérhet az előzetesen közölt időponttól!

 Globális Képzési Program •TechNet Biztonsági Konferenciák •Havi biztonsági témájú web-közvetítés •Dedikált, fejlesztőknek szóló előadás a PDC-n  Új, a megelőzést segítő tanácsok •Sablonok és gyakorlati tanácsok •Biztonságra törekvő beállítási módszerek •Hogyan biztosítja a Microsoft saját magát - tanulmány  Online közösségek •„Biztonsági Övezet” IT szakemberek számára Irányelvek és képzés

Felhasználóink támadásokkal szembeni ellenálló képességének növelése, még akkor is ha a „foltozás” nem történt meg  Segítségnyújtás az ismert és ismeretlen biztonsági hézagok hatásainak kiküszöbölésében  Cél: 10 javítócsomagból legalább 7 telepítése saját időzítés alapján történhessen A „gyorsjavításon” túl

 Windows XP SP2 •Megerősített személyes tűzfal •Biztonságosabb levelezés és internet használat •Javított memória-védelem •Beta termék 2003 végéig, RTM a felhasználói visszajelzések függvényében H1-ben  Windows Server 2003 SP1 •„Szerepkör függő” biztonsági beállítások •Távoli elérésű kliensek ellenőrzése •Helyi ellenőrzés csatlakozáskor •RTM H2 CY04 Beépülő biztonsági technológiák

Kliens oldali biztonság Biztonsági javítások, melyek lehetővé teszik a számítógépek védelmét még hibajavító kód telepítése nélkül is; A Win XP SP2 (H104) már tartalmazza Képes megakadályozni a számítógépes hálózat felől érkező támadásokat, a csatolt állományokban utazó vírusokat és a memória-túlcsordulást  Hálózati védelem: Javított ICF, mely alapból bekapcsolt állapotú  Biztonságosabb levelezés: Javított csatolt állomány blokkolás az Outlook Expressben és az IM-ben  Biztonságosabb Internet -böngészés: Javított felhasználói beállítások, melyek megvédenek a veszélyes ActiveX vezérlőktől és kémprogramoktól  Memória Védelem: csökkenti a veremtár túlcsordulást Mi is ez valójában Mire képes Fontosabb funkciók

Biztonságosabb nagyvállalat Csak azon kliensek számára engedélyezett a hálózathoz történő kapcsolódás, melyek teljesítik a céges biztonsági előírásokat Win 2003 SP1 -től (H204) Megvédi a vállalati eszközöket a fertőzött számítógépektől  Szerepkörhöz kötött beállítások a nem használt funkciók kikapcsolásával  Kötelező érvényű vállalati biztonsági követelmények ellenőrzése, pl. javítócsomag verzió, AV verzió, tűzfal állapot  Ellenőrzi, hogy ezek a szabályok érvényesítésre kerüljenek, amikor •VPN –en csatlakozik a távoli kliens •Ellenőrizhetetlen eszközök vezetékes vagy vezeték-nélküli kapcsolatának kiépítésekor Mi is ez Mire képes Fontosabb Funkciók

Miről fogunk még hallani?  Biztonsági szabályozás a biztonsági rendszeren belül •Halbritter Tamás, ITech  Digitális információink védelme •Borbély András, Grepton  Védekezés az ismeretlen veszélyek ellen - Vírusvédelem a gyakorlatban •Vass Tibor, is: energy - Tóth Árpád, NAI

Köszönöm a figyelmüket!