Upload
adelle-dumas
View
113
Download
0
Embed Size (px)
Citation preview
Stratégie sécurité de Microsoft : bilan et perspectivesBernard OurghanlianChief Technology & Security Officer Microsoft France
Engagement pour l’interopérabilité centrée autour de nos clients Leader reconnu au sein de l’industriePartenaire d’envergure internationaleOuvert, transparent
Service prévisible, cohérent et disponibleMaintenable, facile à configurer et à gérer Résilient, fonctionne malgré les changementsRécupérable, facile à restaurerProuvé, prêt à fonctionner
Protection contre les attaquesProtéger la confidentialité, l’intégrité et la disponibilité des données et des systèmes
Gérable
Protection contre la divulgation non désirée d’informationsContrôle du caractère privé de l’informationLes produits, les services adhèrent à des principes de loyauté en matière d’information
Virus, spyware et versBotnets (réseaux de machines zombies) et rootkitsPhishing et fraude
Déployer les mises à jour de sécuritéIdentifier et configurer les systèmesFaire respecter la politique de sécurité
Gestion des identités et contrôle d’accèsGestion des accès dans l’entreprise étendueRisque sécurité des PC non gérés
Conformité réglementaireDévelopper et mettre en œuvre des politiques de
sécuritéRapports et responsabilité
Prévention contre les logiciels malveillants
Pratiques métier
Mise en œuvre de la défense
en profondeur
Gestion de lasécurité
Les grands défis actuels
Une plateforme fondamentalement sécurisée renforcée par des produits de sécurité, des services et des conseils permettant d’aider nos clients à rester hors de danger
Investissementstechnologiques
Excellence dans les fondamentauxInnovations en sécurité
Conseilsprescriptifs Partenariats
Bonnes pratiques, livres blancs et outilsRéponse aux incidents
Prise de conscience et éducation via des partenariats et collaborationsPartage d’informations sur le paysage des menaces
Stratégie sécurité de Microosoft
Plus de 288 millions de copies distribuéesSignificativement moins susceptible d’être infecté par un logiciel malveillant
Service Pack 2 Service Pack 1
Plus de 4,7 millions de téléchargementsPlus sécurisé lors de la conception; plus sécurisé par défaut
Aide à la protection contre les spywares ; inclus dans Windows VistaTéléchargement le + populaire de l’histoire de Microsoft; protège plus de 28 millions de clients
3.4 milliards d’exécutions ; 19 millions de désinfectionsA permis de réduire de manière spectaculaire le nombre d’infections par bot
En Mai 2006
Quelques progrès
MicrosoftBaseline Security Analyzer 2.0
Microsoft Update
Mises à jour automatiques
A la maison
Petites entreprises
Entreprises moyennes
Grandes Entreprises
Avancées au niveau des mises à jour
Security Development LifecycleProcessus et standard d’entreprise pour la sécurité lors de la conception et du développementPromu en interne via des formationsVérifié par audit avant la sortie du produitOuvrage « The Security Development Lifecycle »
Partagé avec les éditeurs et partenaires développeursDocumentation et formationCycles d’apprentissage de la sécuritéImplication communautaire active
Automatisé avec les outils de Visual Studio
PREfastFxCop
Ingénierie pour la sécuritéInvestissement
stechnologiques
ConceptionDéfinir les directives d’architecture et de conception de la sécuritéDocumenter les éléments de la surface d’attaque du logicielModélisation des menaces
Standards, bonnes pratiques, et outils
Appliquer les standards de dévelop-pement et de testUtiliser les outils de sécurité (fuzzing, analyse statique,…)
Push sécuritéRevues de codeTests de sécuritéRevue des nouvelles menacesConformité avec les critères de sortie
Revue de sécurité finale
Revue indépendante conduite par l’équipe sécuritéTests de pénétrationArchivage des informations de conformité
Sortie et déploiement
Réponse sécurité
Plan et processus en placeBoucle de retour vers le processus de développementPost-mortem
Démarragedu produit
Assigner un conseiller en sécuritéIdentifier les étapes clés pour la sécuritéPlanifier l’intégration de la sécurité dans le produit
Prérequis Conception Mise en œuvre
Vérification Sortie Réponse
Security Development Lifecycle
Investissements
technologiques
18
Bulletins depuis la sortie de la version TwC
Service Pack 3
Bulletins durant la période avant la sortie
16
3
SQL Server 2000 SP3 sorti le 17/1/2003
2003
109
77
20
La focalisation donne des résultats
Bulletins important + critiquesémis après la sortie du produit
Sorti le29/11/2000
Sorti le28/09/2003
* Au 10 octobre 2006
1265 jours après la sortie du produit
Sorti le31/05/2001
Sorti le17/11/2003
Bulletins 1058 jours après la sortie du produit
Investissements
technologiques
La focalisation donne des résultats
Quand on compare Windows Server 2003 à Windows 2000 Server, l’intérêt de SDL et de la défense en profondeur est assez évident : en 2006, Windows Server 2003 a eu 40 % de bulletins critiques de moins que Windows 2000 ; ces bulletins ont adressé 50 % de vulnérabilités critiques en moins avec Windows Server 2003 qu’avec Windows Server 2000.Microsoft a émis un seul bulletin de sécurité concernant IIS6 pendant les 3 dernières années à comparer avec les 44 vulnérabilités corrigées pour IIS5 pendant les mêmes 3 ansIl y a eu une diminution significative du nombre de mises à jour de sécurité pour SQL Server 2000 SP3 par rapport aux versions antérieuresIl n’y a eu, à ce jour, aucune mise à jour de sécurité concernant SQL Server 2005
Pendant l’année 2006, nous avons publié un nombre de bulletins de sécurité plus élevé qu’en 2005 (148 versus 85) L’essentiel de cette augmentation provient des applications : 45 contre 5
Investissements
technologiques
Conseils
Outils de développement
Gestion des systèmesActive Directory
Federation Services (ADFS)
Gestion desidentités
Services
Protectiondes informations
Encrypting File System (EFS)
BitLocker™
Network Access Protection (NAP)
OS Client et Serveur
Applicationsserveurs
Périmètre
Offre complète de sécuritéInvestissement
stechnologiques
Ingénierie pour la sécurité
Renforcement des services Windows
Sécurité du noyau
Processus SDL (Security Development Lifecycle) amélioréModélisation des menaces et revues de codeCertification selon les Critères Communs (CC)
Exécute les services avec des privilèges réduitsLes services ont des profils d’activités autorisées pour le système de fichiers, le registre et le réseau (règles de pare-feu et permissions)
Rendre plus difficile le camouflage de rootkitsSignature de pilotes x64
Obligatoire pour les pilotes en mode noyau
Protection contre la modification du noyau
Protection contre les détournements sauvages du noyau par applications
Plateforme fondamentalement sécurisée
Investissements
technologiques
Atténuation des menaces et des vulnérabilités
Prévention Isolation Récupération
Forefront Client SecurityWindows DefenderPrévention de l’exécution des données (DEP) et Address Space Layout Randomization (ASLR)
Virtual PC et Virtual ServerPare-feu WindowsIPsecIE en mode protégéNAPISA Server
Sauvegarde et restauration de fichiersSauvegarde d’une image CompletePC™Restauration du systèmeSystem Center Data Protection ManagerVolume Shadow CopiesVolume Revert
Arrêter les attaques connues et inconnues
Limiter l’impact des attaques
Restaurer vers un état connu comme bon
Protection contre les logiciels malveillants et les intrusions
Investissements
technologiques
Indique le statut des paramètres et logiciels de sécuritéSurveille plusieurs solutions de sécurité de multiples fournisseurs et indiques celles qui sont activées et à jour
Pare-feu bidirectionnel; activé par défautComposant clé pour le renforcement de serviceIntégration IPsecPeut être désactivé par un pare-feu tiers
Détection et suppression des spywares et autres logiciels indésirablesProtection des points d’extensibilité du système d’exploitation
Protège contre les dommages occasionnés par l’installation d’un logiciel malveillantProcessus IE « isolé » pour protéger l’OSConçu pour la sécurité et la compatibilité
IE en mode protégé
Windows Defender
Pare-feuWindows
Centre de sécurité Windows
Protection contre les logiciels malveillants
Investissements
technologiques
Définition et respect d’une politiqueProtège l’information tout au long de son parcoursNouveau : client RMS intégré dans Windows VistaNouveau : protection de bibliothèques de documents dans SharePoint
Chiffrement de fichiers et de dossiers par utilisateurNouveau : possibilité de stocker les clés EFS dans une carte à puce avec Windows Vista
Protection des données grâce au matérielFournit un chiffrement intégral de volumeScénarios pour portables ou serveursNouveau : disponible avec Windows Vista
Protection des données Investissements
technologiques
Authentification
Contrôle des comptes d’utilisateurs (UAC)
Network Access Protection (NAP)
Nouvelle architecture remplaçant GINAIntégration de cartes à puceSupport natif de cartes à puceAuthentification forte
Exécution en tant qu’utilisateur standard plus facileContrôle parentalMeilleure protection pour les administrateurs
Assure que seules les machines « saines » peuvent accéder aux données de l’entreprisePermet aux machines « non saines » d’être mises en conformité avant d’obtenir l’accès
Accès sécuriséInvestissement
stechnologiques
Permettre un accès sécurisé aux utilisateurs légitimes fondé sur une politique
Écosystème de confiance
Gestion des lettres de créance
Accès et autorisation
Active Directory Federation ServicesADAM et AZManWindows CardSpace™ (autrefois InfoCard)Microsoft Identity Integration Server (MIIS)
Certificate Lifecycle ManagerServices de CertificatsItinérance des lettres de créance
Contrôle d’accès basé sur les rôlesAméliorations de l’audit Windows
Gestion des identités et des accès
Investissements
technologiques
OS Client et Serveur
Applicationsserveurs
Périmètre
Microsoft Forefront fournit une protection et un contrôle améliorés de la sécurité de l’infrastructure réseau de votre entreprise
Investissements
technologiques
Périphériques Windows Mobile 5 avec MSFP interagissent directement avec Exchange Server 2003 SP2
Sécurité du périphériqueApplication d’une politique de code PINEffacement du périphérique (local ou à distance)Authentification par certificat pour messagerie sécuriséeGestion et mise en œuvre à distance des politiques d’entreprise (over the air)Server Sync – recevoir des e-mails, quand et où vous le voulez
Terminaux et sécurité en entreprise
Investissements
technologiques
Outils et fonctionnalités innovantes pour développer du code sécurisé
Créer des applications non-admin
Analyse statique
Code sécurisé
Fonctionnalités avancées pour créer des applications suivant le principe du moindre privilègeCréez des applications pour une zone personnalisée de manière transparenteDebug-in-zone & calculateur de permissions
Analysez votre code à la recherche de vulnérabilités de sécuritéOutils capables de trouver certains types d’erreurs dans le codeFxCop & PREfast
Développez du code plus sécuriséOutils pour aider à réduire de manière significative le nombre de défauts de sécurité dans les applicationsOption /GS & Safe CRT Libraries
Nouveaux outils de sécurité dans Visual Studio
Investissements
technologiques
www.microsoft.com/security/guidance
Outils de sécurité
Éducation et formation
Être prêt à la sécurité
Livre Security Development Lifecycle Cycles
d’apprentissage de la sécurité
Conseils prescriptifs
Points de vue (en anglais) de l’équipe du MSRCMises à jour sur les nouvelles, activités, annonces ou menaces récentes liées à la sécuritéhttp://blogs.technet.com/msrc/
Blogdu MSRC
Complémente les bulletins de sécuritéFournit les premières informations à propos de vulnérabilités, facteurs atténuants, solutions de contournementMis à jour au cours d’un incident avec de nouvelles informations
Avis desécurité
Gérer et résoudre les vulnérabilités et incidents de sécurité
Publiés pour chaque mise à jour de sécurité MicrosoftFacteurs atténuants et solutions de contournement pour les vulnérabilités corrigéesDistribution et conseils pour le déploiementNiveau de sévérité (Critique, Important, Modéré, Faible)
Bulletinsde sécurité
Microsoft Security Response Center
Forces de policeet de gendarmerie Politique
publique
Partenariatsindustriels
Sensibilisationdu grand public
Partenariats
Serv
ice
sP
late
form
eP
rod
uit
s
Windows Live OneCareExchange Hosted Services Windows Live Safety CenterWindows Live ID
ISA Server 2004Microsoft AntigenWindows Rights Management ServicesMicrosoft Identity Integration Server 2003Data Protection Manager 2006
Windows XPSP2Windows Server 2003 SP1Outils Anti-malwareMicrosoft UpdateWindows Server Update ServicesEncrypted File SystemActive Directory Federation Services Certificate Services
Prochaine génération de services
Ligne Forefront Server SecurityForefront Client SecurityISA Server 2007MIIS « Gemini »Microsoft Certificate Lifecycle ManagerActive Directory Rights Management ServicesServices de filtrage de contenu Forefront
Windows VistaWindows DefenderBit LockerCardSpaceInternet Explorer 7 Windows Server “Longhorn” Network Access ProtectionActive Directory Certificate Services
PlanningMaintenant 2006/2007
En direct de …
Annonce d’Identity Lifecycle Manager 2007Windows CardSpace et démonstration de la preuve de concept de Wachovia BankSupport de la validation étendue pour les certificats SSL avec IE7 par des partenaires en autorité de certification (12 dont VeriSign)Nouveaux partenaires pour le filtre anti-phishing (MySpace, NetCraft, etc.)Beta publique : Forefront Server Security Management Console
Identity Lifecycle Manager 2007
Synchronisation des identitésFournit une seule vue d’un utilisateur au sein de l’entrepriseAssure automatiquement la cohérence des identités
Regroupe méta-annuaire, gestion des certificats et provisionnement des utilisateurs au sein d’un seul package
Provisionnement des utilisateursAutomatise le processus d’arrivée et de départ des utilisateursSimplifie la conformité grâce à le gestion automatique des identitésRend obligatoire la cohérence des identités à travers les systèmes
Gestion des certificats et des cartes à puceRéduit le coût de gestion des lettres de créance basées certificatsAutomatise les workflows d’émission et de révocation des certificatsSimplifie grandement le déploiement des cartes à puce
Support de la validation étendue pour les certificats SSLDepuis plus d’un an, nous avons travaillé pour
mettre au point la prochaine génération de certificats SSL (Secure Socket Layer), afin qu’ils puissent non seulement fournir un moyen de chiffrement mais aussi un standard pour l’identité sur Internet Pour cela, nous avons regroupé de nombreux autorités de certification et de fournisseurs de navigateurs au sein du CA/Browser forum afin de créer ces certificats de nouvelle génération appelés EV SSL CertificatesLe CA/Browser a permis de faire évoluer les certificats SSL au sein de la version courante du Draft 11 afin de permettre une meilleure protection des consommateurs contre le phishing tout en maintenant la compatibilité avec les navigateurs existants
Support de la validation étendue pour les certificats SSLC’est ainsi que la plupart des fournisseurs d’autorité
de certification tels que Verisign (y compris Thawte et GeoTrust), CyberTrust, Entrust, GoDaddy, QuoVadis, XRamp, SecureTrust et DigiCert ont exprimé leur intention de supporter les EV Certificates dès maintenant, d’autres comme Wells Fargo désirant les suivre de prèsLes navigateurs tels que KDE et Opera ont également prévu d’ajouter le support de EV Draft 11 dans de futures versions de leurs logiciels
Filtre anti-phishing d’IE7
Protection dynamique contre les sites Web frauduleux3 « contrôles » pour protéger contre le phishing Comparaison du site Web avec une liste locale de sites
connus légitimes Analyse du site pour rechercher les caractéristiques
communes des sites de phishing (heuristique) Contrôle du site avec un service en ligne qui liste les
sites de phishing qui ont été signalés (mis à jour plusieurs fois par heure)
Plus de 10 millions d’exploitations de phishing stoppées depuis la Beta 1 Niveau 1: Alerte
Site suspect signaléNiveau 2 : Blocage Site de phishing
confirmé et bloqué
Deux niveaux d’alerte et de protection avec
Internet Explorer 7 et Windows Live
Les nouveaux partenaires du filtrage anti-phishing d’IE7
et maintenant
Le filtre anti-phishing en chiffres
Nos utilisateurs et nos partenaires signalent environ 10 000 sites de Phishing par semaineIE7 a été téléchargé plus de 100 millions de fois et a aidé à bloquer plus de 10 millions de tentatives de visite de sites frauduleux, soit plus d’un million de blocages par semaine Le filtre anti-phishing d’IE7 a été étudié par l’université de Carnegie-Mellon de manière indépendante et a été jugé comme l’un des plus justes de tous ceux testés. Cette étude sera présentée lors du Network and Distributed System Security Symposium (NDSS) le 1er mars prochain
D’après cette étude, IE7 a été le seule technologie qui repérait de manière systématique plus de 60 % des sites de phishing en provenance d’échantillons de données en provenance de Phishtank et de APWG avec le taux le plus bas de faux positifsCette étude a été effectuée de manière tout à fait indépendante de Microsoft.Voir le lien vers la dernière version de l’étude conduite par le Dr. Lorrie Cranor et son équipe en : http://lorrie.cranor.org/pubs/ndss-phish-tools-final.pdf
Questions ?
© 2007 Microsoft France
Votre potentiel, notre passion TM