Francesca Di MassimoSecurity LeadMicrosoft Italia

Catania 22 settembre 2006

La Strategia Microsoft per la sicurezza dei sistemi

L’impegno di Microsoft per la SicurezzaL’impegno di Microsoft per la Sicurezza

Secondo il CERT/CC (Centre of emergency response Team/Coordination Centre), il numero dei security incidents è cresciuto da 21,756 nel 2000 a 137,000 nel 2003.

Perchè la sicurezza dei clienti è una “top priority” per Microsoft?Perchè la sicurezza dei clienti è una “top priority” per Microsoft?

0% 10% 20% 30% 40% 50% 60% 70% 80% 90%

Virus o Malicious …

Saturazione delle …

Email SPAM

Accessi da parte …

Phishing

Accessi da parte …

Frode

Furto di IP

Uso illegale di …

Furto di “identità”

Sabotaggio

Estorsione

Tipologia di attacco

Prevenire i virus e il malware

Avere aggiornamenti di sicurezza in maniera efficiente (distribuita e tempestiva) e contestualmente ridurre la frequenza degli aggiornamenti di sicurezza

Implementare un approccio di difesa a più livelli (Defense in depth)

Migliorare la conoscenza e la confidenza per gestire sistemi sicuri

Le sfide della sicurezzaLe sfide della sicurezza

Benefici degli investimenti in sicurezzaBenefici degli investimenti in sicurezza

Riduzione dei tempi di fermo e dei costi associati alla non disponibilità dei sistemi

Riduzione dei costi legati ad un inefficiente distribuzione degli aggiornamenti di sicurezza

Riduzione delle perdite di dati dovute e virus o violazioni della sicurezza

Aumento della protezione delle proprietà intellettuali

Ottimizzazione dell’infrastruttura

DifesaDifesa aa piùpiù livellilivelli

L'utilizzo di un approccio di difesa a più livelli:Aumenta il rischio per un attaccante di essere rilevato e scoperto

Riduce le probabilità di successo di un attacco

Criteri, procedure e consapevolezzaCriteri, procedure e consapevolezza

Sicurezza fisicaSicurezza fisica

PerimetroPerimetro

Rete internaRete interna

HostHost

ApplicazioneApplicazione

DatiDati Mitigazioni

Cosa attualmente può ridurre il

rischio?

Definizione di rischio

Impatto

Qual è l’impatto sul business?

Probabilità

Quanto verosimilmente il pericolo può attuarsi?

Asset

Cosa si vuole proteggere?

Pericolo

Cosa temi possa

accadere?

Vulnerabilità

Come il pericolo può verificarsi?

DifesaDifesa aa piùpiù livellilivelli

Criteri, procedure e consapevolezzaCriteri, procedure e consapevolezza

Personale di sicurezza, serrature e dispositivi di controllo

Formazione degli utenti

Sicurezza fisicaSicurezza fisica

PerimetroPerimetro

Rete internaRete interna

HostHost

ApplicazioneApplicazione

DatiDati

Protezione del OS, patch, antivirus,

Firewall, VPN con quarantena

Rete segmentata, IPSec,

Protezione delle applicazioni,

Controllo dell'accesso, crittografia

Criteri, procedure e consapevolezzaCriteri, procedure e consapevolezza

Penso dovrei usare il mio nome come password.

Devo configurare un firewall. Quali porte dovrei bloccare?

Penso dovrei tenere la porta

della sala server aperta: è più

semplice.

Hanno bloccato il mio sito Web preferito. Per fortuna ho un

modem.

Anche io gestisco una rete. Come configuri il firewall?

Non mi viene una buona password.

Quale usi tu?

Qualcuno sa dov’è la sala server?

Bel modem. Che numero ha questa linea?

Cultura della sicurezzaCultura della sicurezza

Mancanza di cultura della sicurezza

Password deboli

Admin password

Admin.R386W

Criteri, procedure e consapevolezzaCriteri, procedure e consapevolezza

La formazione sulla sicurezza aiuta i La formazione sulla sicurezza aiuta i dipendenti a supportare le policy di sicurezza:dipendenti a supportare le policy di sicurezza:

Policy di configurazione dei firewallPolicy di configurazione dei firewall

Policy di accesso fisico ai sistemiPolicy di accesso fisico ai sistemi

Policy di richiesta/uso dei devicePolicy di richiesta/uso dei device

Policy sulla gestione delle passwordPolicy sulla gestione delle password

Policy sulla segretezza delle informazioniPolicy sulla segretezza delle informazioni

Chiudere le porte e installare allarmiChiudere le porte e installare allarmi

Assumere personale di sicurezzaAssumere personale di sicurezza

Stabilire policy di accessoStabilire policy di accesso

Controllare gli accessiControllare gli accessi

Sicurezza fisicaSicurezza fisica

Limitare i device di inserimento/salvataggio Limitare i device di inserimento/salvataggio dei datidei dati

Usare sistemi di accesso remotoUsare sistemi di accesso remoto

Tutti gli asset di un’organizzazione devono avere sicurezza Tutti gli asset di un’organizzazione devono avere sicurezza fisicafisica

Il perimetro di rete può Il perimetro di rete può includere connessioni a:includere connessioni a:

InternetInternetUffici remotiUffici remotiPartnerPartnerUtenti remotiUtenti remotiReti wirelessReti wirelessApplicazioni InternetApplicazioni Internet

La compromissione del La compromissione del perimetro di rete può perimetro di rete può determinare:determinare:Attacchi alla rete Attacchi alla rete

aziendaleaziendaleAttacchi agli utenti remotiAttacchi agli utenti remotiAttacchi dai partnerAttacchi dai partnerAttacchi da uffici remotiAttacchi da uffici remotiAttacchi ai servizi Attacchi ai servizi InternetInternetAttacchi da InternetAttacchi da Internet

Protezione del perimetro di Protezione del perimetro di rete:rete:

Firewall (es. ISA Server Firewall (es. ISA Server 2004)2004)Blocco delle porte di Blocco delle porte di comunicazionecomunicazioneTraslazione di porte e Traslazione di porte e indirizzi IPindirizzi IPReti private virtuali (VPN)Reti private virtuali (VPN)Protocolli di tunnellProtocolli di tunnellVPN con quarantenaVPN con quarantena

PartnerPartner

Ufficio remotoUfficio remoto

Difesa del perimetroDifesa del perimetro

LANLAN

Utente Utente remotoremoto

InternetInternet

Ufficio centraleUfficio centrale

LANLAN

Servizi InternetServizi InternetServizi InternetServizi Internet

LANLAN

ReteReteWirelWirelessess

Difesa della rete interna Difesa della rete interna

Accesso non Accesso non autorizzato ai autorizzato ai sistemisistemi

Accesso a tutto il Accesso a tutto il traffico di retetraffico di rete

Accessi non Accessi non autorizzati alla rete autorizzati alla rete wirelesswireless

Porte di Porte di comunicazione comunicazione inatteseinattese

Sniff dei Sniff dei pacchetti di pacchetti di reterete

Rete Rete wirelesswireless

VenditeVendite

FinanceFinanceRisorse Risorse umaneumane

MarketingMarketing

Richiedere mutua autenticazioneRichiedere mutua autenticazione

Segmentare la reteSegmentare la rete

Criptare le comunicazioni in reteCriptare le comunicazioni in rete

Restringere il traffico anche se la rete è segmentataRestringere il traffico anche se la rete è segmentata

Firmare i pacchetti di reteFirmare i pacchetti di rete

Implementare i filtri IPSec per restringere il traffico verso Implementare i filtri IPSec per restringere il traffico verso i serveri server

Difesa della rete internaDifesa della rete interna

Difesa degli hostDifesa degli host

Configurazioni errate del sistema

operativo

Falle nel sistema operativo

Distribuzioni di virus Accessi non controllati

Singoli computer sulla rete

Spesso con ruoli o funzioni specifiche

Si deve bilanciare tra usabilità e sicurezza

Rafforzare il sistema operativo di client e Rafforzare il sistema operativo di client e serverserver

Disabilitare servizi non necessariDisabilitare servizi non necessari

Controllare accessi e tentati accessiControllare accessi e tentati accessi

Installare e mantenere antivirus e anti-Installare e mantenere antivirus e anti-spywarespyware

Usare firewall (es. Windows Firewall)Usare firewall (es. Windows Firewall)

Installare corretti di sicurezza e service packInstallare corretti di sicurezza e service pack

Difesa degli hostDifesa degli host

Difesa del livello applicativoDifesa del livello applicativo

Perdita di funzionalità applicativa

Esecuzione di codice maligno

Uso estremo e malevolo – Attacchi DoS

Uso non desiderato di applicazioni

Eseguire le applicazioni con bassi privilegiEseguire le applicazioni con bassi privilegi

Abilitare solo funzioni e servizi necessariAbilitare solo funzioni e servizi necessari

Installare aggiornamenti di sicurezza per tutte le applicazioniInstallare aggiornamenti di sicurezza per tutte le applicazioni

Installare ed aggiornare i software antivirusInstallare ed aggiornare i software antivirus

Usare le più aggiornate pratiche per lo sviluppo delle Usare le più aggiornate pratiche per lo sviluppo delle applicazioniapplicazioni

Usare le Software Restriction Policy di Windows Server 2003Usare le Software Restriction Policy di Windows Server 2003

DocumentiDocumentiFile e DirectoryFile e DirectoryFile applicativiFile applicativi

Vista, Vista, modifica, o modifica, o rimozione di rimozione di informazioniinformazioni

Interrogazione Interrogazione di directory e di directory e filefile

Sostituzione o Sostituzione o modifica di file modifica di file applicativiapplicativi

Difesa del livello datiDifesa del livello dati

Usare una combinazione di controllo degli accessi e Usare una combinazione di controllo degli accessi e criptaturacriptatura

Installare i file critici in posizioni diverse rispetto a quelle di Installare i file critici in posizioni diverse rispetto a quelle di defaultdefault

Eseguire backup regolari (e prove di ripristino)Eseguire backup regolari (e prove di ripristino)

Criptare i file con EFSCriptare i file con EFS

Proteggere documenti e posta con Windows Rights Proteggere documenti e posta con Windows Rights ManagementManagement

Difesa del livello datiDifesa del livello dati

L’impegno di Microsoft per la sicurezza

Una piattaforma sicura rafforzata da prodotti di Una piattaforma sicura rafforzata da prodotti di sicurezza, servizi e formazione per supportare i clientisicurezza, servizi e formazione per supportare i clienti

Piattaforme sicurePiattaforme sicure

Innovazioni nella Innovazioni nella sicurezzasicurezza

Guide ed informazioni Guide ed informazioni basate su scenaribasate su scenari

Processi di Incident Processi di Incident ResponseResponse

Trasferimento di Trasferimento di conoscenza e skillconoscenza e skill

Collaborazione e Collaborazione e PartnershipPartnership

Gli investimenti di Microsoft: i fondamenti Gli investimenti di Microsoft: i fondamenti della sicurezzadella sicurezza

Il Security Development LifecycleIl Security Development Lifecycle15.000 sviluppatori formati sulla scrittura di codice sicuroModelli di simulazione delle minacceRiduzione del 66% delle vulnerabilità critiche

Il Security Response CenterIl Security Response Center24 ore al giorno24 ore al giornoRilevazione vulnerabilità e sviluppo updateRilevazione vulnerabilità e sviluppo updateIDC 27 gennaio: “MSRC benchmark del mercato”IDC 27 gennaio: “MSRC benchmark del mercato”

Aggiornamenti di sicurezza e strumentiAggiornamenti di sicurezza e strumentiWindows updateWindows updateBollettini e advisory di sicurezzaBollettini e advisory di sicurezza

Malicious software removMalicious software removal toolal tool

* As of April 11, 2006* As of April 11, 2006

Bulletins sinceTwC release

Bulletins inperiod prior to release

1616

33

SQL Server 2000 SP3 released 1/17/2003

20032003

Released05/31/2001

Released11/17/2003

Bulletins 876 Days After Product Release

88

1515

1083 Days After Product Release

92

Released11/29/2000

Released09/28/2003

59

Alcuni risultatiAlcuni risultati

Formazione Formazione

Fornire informazioni distribuite e tempestiveper aiutarvi a proteggere vostri sistemie per preparavi ad affrontare le minacce emergenti

Security Guidance Center per Small Business IT proswww.microsoft.com/italy/pmi/sicurezza/default.mspxSmall business centerwww.microsoft.com/italy/pmi/default.mspxSito securitywww.microsoft.com/italy/security/default.mspxCorso Securitysmallbusiness.microsoftelearning.com/italy/eLearning/

courseContent.aspx?courseId=55705Bollettini sulla Sicurezzawww.microsoft.com/italy/security/security_bulletins/decision.mspxWebcast www.microsoft.com/italy/technet/eventi/webcast/default.mspxMicrosoft Risk Assessment Toolhttps://www.securityguidance.com/

Formazione: alcuni dati per l’ItaliaFormazione: alcuni dati per l’Italia

Visitatori del sito Small Business: 400.0000 visitatori mensili Visitatori del sito Security Guidance Center: 10.000 visitatori mensiliDownload del tool gratuito MSAT: 1.190 (un anno)

Strumenti di notificaBollettini sulla sicurezza

Security advisory

Microsoft Security Notification Service

Bollettini in formato RSS feed per i privati

MSN Messenger Alerts

Blog del Microsoft Security Response Center

Webcast mensili

Newsletter technett

Considerate prima le vostre esigenzeConsiderate prima le vostre esigenze

© 2005 Microsoft Corporation. All rights reserved.© 2005 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.