Upload
giorgio-mereu
View
218
Download
0
Embed Size (px)
Citation preview
Francesca Di MassimoSecurity LeadMicrosoft Italia
Catania 22 settembre 2006
La Strategia Microsoft per la sicurezza dei sistemi
L’impegno di Microsoft per la SicurezzaL’impegno di Microsoft per la Sicurezza
Secondo il CERT/CC (Centre of emergency response Team/Coordination Centre), il numero dei security incidents è cresciuto da 21,756 nel 2000 a 137,000 nel 2003.
Perchè la sicurezza dei clienti è una “top priority” per Microsoft?Perchè la sicurezza dei clienti è una “top priority” per Microsoft?
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Virus o Malicious …
Saturazione delle …
Email SPAM
Accessi da parte …
Phishing
Accessi da parte …
Frode
Furto di IP
Uso illegale di …
Furto di “identità”
Sabotaggio
Estorsione
Tipologia di attacco
Prevenire i virus e il malware
Avere aggiornamenti di sicurezza in maniera efficiente (distribuita e tempestiva) e contestualmente ridurre la frequenza degli aggiornamenti di sicurezza
Implementare un approccio di difesa a più livelli (Defense in depth)
Migliorare la conoscenza e la confidenza per gestire sistemi sicuri
Le sfide della sicurezzaLe sfide della sicurezza
Benefici degli investimenti in sicurezzaBenefici degli investimenti in sicurezza
Riduzione dei tempi di fermo e dei costi associati alla non disponibilità dei sistemi
Riduzione dei costi legati ad un inefficiente distribuzione degli aggiornamenti di sicurezza
Riduzione delle perdite di dati dovute e virus o violazioni della sicurezza
Aumento della protezione delle proprietà intellettuali
Ottimizzazione dell’infrastruttura
DifesaDifesa aa piùpiù livellilivelli
L'utilizzo di un approccio di difesa a più livelli:Aumenta il rischio per un attaccante di essere rilevato e scoperto
Riduce le probabilità di successo di un attacco
Criteri, procedure e consapevolezzaCriteri, procedure e consapevolezza
Sicurezza fisicaSicurezza fisica
PerimetroPerimetro
Rete internaRete interna
HostHost
ApplicazioneApplicazione
DatiDati Mitigazioni
Cosa attualmente può ridurre il
rischio?
Definizione di rischio
Impatto
Qual è l’impatto sul business?
Probabilità
Quanto verosimilmente il pericolo può attuarsi?
Asset
Cosa si vuole proteggere?
Pericolo
Cosa temi possa
accadere?
Vulnerabilità
Come il pericolo può verificarsi?
DifesaDifesa aa piùpiù livellilivelli
Criteri, procedure e consapevolezzaCriteri, procedure e consapevolezza
Personale di sicurezza, serrature e dispositivi di controllo
Formazione degli utenti
Sicurezza fisicaSicurezza fisica
PerimetroPerimetro
Rete internaRete interna
HostHost
ApplicazioneApplicazione
DatiDati
Protezione del OS, patch, antivirus,
Firewall, VPN con quarantena
Rete segmentata, IPSec,
Protezione delle applicazioni,
Controllo dell'accesso, crittografia
Criteri, procedure e consapevolezzaCriteri, procedure e consapevolezza
Penso dovrei usare il mio nome come password.
Devo configurare un firewall. Quali porte dovrei bloccare?
Penso dovrei tenere la porta
della sala server aperta: è più
semplice.
Hanno bloccato il mio sito Web preferito. Per fortuna ho un
modem.
Anche io gestisco una rete. Come configuri il firewall?
Non mi viene una buona password.
Quale usi tu?
Qualcuno sa dov’è la sala server?
Bel modem. Che numero ha questa linea?
Cultura della sicurezzaCultura della sicurezza
Mancanza di cultura della sicurezza
Password deboli
Admin password
Admin.R386W
Criteri, procedure e consapevolezzaCriteri, procedure e consapevolezza
La formazione sulla sicurezza aiuta i La formazione sulla sicurezza aiuta i dipendenti a supportare le policy di sicurezza:dipendenti a supportare le policy di sicurezza:
Policy di configurazione dei firewallPolicy di configurazione dei firewall
Policy di accesso fisico ai sistemiPolicy di accesso fisico ai sistemi
Policy di richiesta/uso dei devicePolicy di richiesta/uso dei device
Policy sulla gestione delle passwordPolicy sulla gestione delle password
Policy sulla segretezza delle informazioniPolicy sulla segretezza delle informazioni
Chiudere le porte e installare allarmiChiudere le porte e installare allarmi
Assumere personale di sicurezzaAssumere personale di sicurezza
Stabilire policy di accessoStabilire policy di accesso
Controllare gli accessiControllare gli accessi
Sicurezza fisicaSicurezza fisica
Limitare i device di inserimento/salvataggio Limitare i device di inserimento/salvataggio dei datidei dati
Usare sistemi di accesso remotoUsare sistemi di accesso remoto
Tutti gli asset di un’organizzazione devono avere sicurezza Tutti gli asset di un’organizzazione devono avere sicurezza fisicafisica
Il perimetro di rete può Il perimetro di rete può includere connessioni a:includere connessioni a:
InternetInternetUffici remotiUffici remotiPartnerPartnerUtenti remotiUtenti remotiReti wirelessReti wirelessApplicazioni InternetApplicazioni Internet
La compromissione del La compromissione del perimetro di rete può perimetro di rete può determinare:determinare:Attacchi alla rete Attacchi alla rete
aziendaleaziendaleAttacchi agli utenti remotiAttacchi agli utenti remotiAttacchi dai partnerAttacchi dai partnerAttacchi da uffici remotiAttacchi da uffici remotiAttacchi ai servizi Attacchi ai servizi InternetInternetAttacchi da InternetAttacchi da Internet
Protezione del perimetro di Protezione del perimetro di rete:rete:
Firewall (es. ISA Server Firewall (es. ISA Server 2004)2004)Blocco delle porte di Blocco delle porte di comunicazionecomunicazioneTraslazione di porte e Traslazione di porte e indirizzi IPindirizzi IPReti private virtuali (VPN)Reti private virtuali (VPN)Protocolli di tunnellProtocolli di tunnellVPN con quarantenaVPN con quarantena
PartnerPartner
Ufficio remotoUfficio remoto
Difesa del perimetroDifesa del perimetro
LANLAN
Utente Utente remotoremoto
InternetInternet
Ufficio centraleUfficio centrale
LANLAN
Servizi InternetServizi InternetServizi InternetServizi Internet
LANLAN
ReteReteWirelWirelessess
Difesa della rete interna Difesa della rete interna
Accesso non Accesso non autorizzato ai autorizzato ai sistemisistemi
Accesso a tutto il Accesso a tutto il traffico di retetraffico di rete
Accessi non Accessi non autorizzati alla rete autorizzati alla rete wirelesswireless
Porte di Porte di comunicazione comunicazione inatteseinattese
Sniff dei Sniff dei pacchetti di pacchetti di reterete
Rete Rete wirelesswireless
VenditeVendite
FinanceFinanceRisorse Risorse umaneumane
MarketingMarketing
Richiedere mutua autenticazioneRichiedere mutua autenticazione
Segmentare la reteSegmentare la rete
Criptare le comunicazioni in reteCriptare le comunicazioni in rete
Restringere il traffico anche se la rete è segmentataRestringere il traffico anche se la rete è segmentata
Firmare i pacchetti di reteFirmare i pacchetti di rete
Implementare i filtri IPSec per restringere il traffico verso Implementare i filtri IPSec per restringere il traffico verso i serveri server
Difesa della rete internaDifesa della rete interna
Difesa degli hostDifesa degli host
Configurazioni errate del sistema
operativo
Falle nel sistema operativo
Distribuzioni di virus Accessi non controllati
Singoli computer sulla rete
Spesso con ruoli o funzioni specifiche
Si deve bilanciare tra usabilità e sicurezza
Rafforzare il sistema operativo di client e Rafforzare il sistema operativo di client e serverserver
Disabilitare servizi non necessariDisabilitare servizi non necessari
Controllare accessi e tentati accessiControllare accessi e tentati accessi
Installare e mantenere antivirus e anti-Installare e mantenere antivirus e anti-spywarespyware
Usare firewall (es. Windows Firewall)Usare firewall (es. Windows Firewall)
Installare corretti di sicurezza e service packInstallare corretti di sicurezza e service pack
Difesa degli hostDifesa degli host
Difesa del livello applicativoDifesa del livello applicativo
Perdita di funzionalità applicativa
Esecuzione di codice maligno
Uso estremo e malevolo – Attacchi DoS
Uso non desiderato di applicazioni
Eseguire le applicazioni con bassi privilegiEseguire le applicazioni con bassi privilegi
Abilitare solo funzioni e servizi necessariAbilitare solo funzioni e servizi necessari
Installare aggiornamenti di sicurezza per tutte le applicazioniInstallare aggiornamenti di sicurezza per tutte le applicazioni
Installare ed aggiornare i software antivirusInstallare ed aggiornare i software antivirus
Usare le più aggiornate pratiche per lo sviluppo delle Usare le più aggiornate pratiche per lo sviluppo delle applicazioniapplicazioni
Usare le Software Restriction Policy di Windows Server 2003Usare le Software Restriction Policy di Windows Server 2003
DocumentiDocumentiFile e DirectoryFile e DirectoryFile applicativiFile applicativi
Vista, Vista, modifica, o modifica, o rimozione di rimozione di informazioniinformazioni
Interrogazione Interrogazione di directory e di directory e filefile
Sostituzione o Sostituzione o modifica di file modifica di file applicativiapplicativi
Difesa del livello datiDifesa del livello dati
Usare una combinazione di controllo degli accessi e Usare una combinazione di controllo degli accessi e criptaturacriptatura
Installare i file critici in posizioni diverse rispetto a quelle di Installare i file critici in posizioni diverse rispetto a quelle di defaultdefault
Eseguire backup regolari (e prove di ripristino)Eseguire backup regolari (e prove di ripristino)
Criptare i file con EFSCriptare i file con EFS
Proteggere documenti e posta con Windows Rights Proteggere documenti e posta con Windows Rights ManagementManagement
Difesa del livello datiDifesa del livello dati
L’impegno di Microsoft per la sicurezza
Una piattaforma sicura rafforzata da prodotti di Una piattaforma sicura rafforzata da prodotti di sicurezza, servizi e formazione per supportare i clientisicurezza, servizi e formazione per supportare i clienti
Piattaforme sicurePiattaforme sicure
Innovazioni nella Innovazioni nella sicurezzasicurezza
Guide ed informazioni Guide ed informazioni basate su scenaribasate su scenari
Processi di Incident Processi di Incident ResponseResponse
Trasferimento di Trasferimento di conoscenza e skillconoscenza e skill
Collaborazione e Collaborazione e PartnershipPartnership
Gli investimenti di Microsoft: i fondamenti Gli investimenti di Microsoft: i fondamenti della sicurezzadella sicurezza
Il Security Development LifecycleIl Security Development Lifecycle15.000 sviluppatori formati sulla scrittura di codice sicuroModelli di simulazione delle minacceRiduzione del 66% delle vulnerabilità critiche
Il Security Response CenterIl Security Response Center24 ore al giorno24 ore al giornoRilevazione vulnerabilità e sviluppo updateRilevazione vulnerabilità e sviluppo updateIDC 27 gennaio: “MSRC benchmark del mercato”IDC 27 gennaio: “MSRC benchmark del mercato”
Aggiornamenti di sicurezza e strumentiAggiornamenti di sicurezza e strumentiWindows updateWindows updateBollettini e advisory di sicurezzaBollettini e advisory di sicurezza
Malicious software removMalicious software removal toolal tool
* As of April 11, 2006* As of April 11, 2006
Bulletins sinceTwC release
Bulletins inperiod prior to release
1616
33
SQL Server 2000 SP3 released 1/17/2003
20032003
Released05/31/2001
Released11/17/2003
Bulletins 876 Days After Product Release
88
1515
1083 Days After Product Release
92
Released11/29/2000
Released09/28/2003
59
Alcuni risultatiAlcuni risultati
Formazione Formazione
Fornire informazioni distribuite e tempestiveper aiutarvi a proteggere vostri sistemie per preparavi ad affrontare le minacce emergenti
Security Guidance Center per Small Business IT proswww.microsoft.com/italy/pmi/sicurezza/default.mspxSmall business centerwww.microsoft.com/italy/pmi/default.mspxSito securitywww.microsoft.com/italy/security/default.mspxCorso Securitysmallbusiness.microsoftelearning.com/italy/eLearning/
courseContent.aspx?courseId=55705Bollettini sulla Sicurezzawww.microsoft.com/italy/security/security_bulletins/decision.mspxWebcast www.microsoft.com/italy/technet/eventi/webcast/default.mspxMicrosoft Risk Assessment Toolhttps://www.securityguidance.com/
Formazione: alcuni dati per l’ItaliaFormazione: alcuni dati per l’Italia
Visitatori del sito Small Business: 400.0000 visitatori mensili Visitatori del sito Security Guidance Center: 10.000 visitatori mensiliDownload del tool gratuito MSAT: 1.190 (un anno)
Strumenti di notificaBollettini sulla sicurezza
Security advisory
Microsoft Security Notification Service
Bollettini in formato RSS feed per i privati
MSN Messenger Alerts
Blog del Microsoft Security Response Center
Webcast mensili
Newsletter technett
Considerate prima le vostre esigenzeConsiderate prima le vostre esigenze
© 2005 Microsoft Corporation. All rights reserved.© 2005 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.