Segurança Microsoft
Progresso, Visão e Estratégia
Marcos Santos
[email protected]
Microsoft Portugal
O que é a Segurança?
1. Estado ou sentimento de Segurança : O estado de
2.
3.
4.
5.
estar a salvo e protegido
Despreocupação sobre uma possível perda: A
certeza de que qualquer coisa de valor não será
roubada
Algo que dê Segurança: Algo que proporcione um
sentimento de protecção contra perda, ataque ou acto
maldoso
Estar a salvo: Protecção contra ataques (uma questão
de segurança nacional)
Precauções para se manter a salvo: Medidas
tomadas para manter alguém ou algo a salvo de
crimes, ataques ou perigos (medidas de segurança)
Encarta« World English Dictionary ® & (P) 2004 Microsoft Corporation. All rights reserved. Desenvolvido por
Microsoft by Bloomsbury Publishing Plc.
Façamos um paralelo com
a História…
A Segurança Automóvel
Evolução da Segurança Automóvel
1º Automóvel foi
inventado por um
oficial Francês de
nome Capitão
Nicolas-Joseph
Cugnot em 1769
O primeiro automóvel a
ser produzido em
grande escala e cuja
utilização se tornou
mais “banal” foi o Ford
Modelo T em 1908 e
que chegou a vender 15
milhões de unidades
Evolução da Segurança Automóvel
1º automóvel com Cintos de Segurança
apareceu em 1961. A primeira legislação
sobre obrigatoriedade de utilização de
cintos de Segurança surgiu na Austrália
em 1971
No inicio dos anos 70 a
Segurança automóvel
começou a
desempenhar um papel
importante e surgiram
os primeiros “Crash
Tests”
Evolução da Segurança Automóvel
Em 1978 a Mercedes lançou o 1º modelo
a incorporar um sistema anti-bloqueio de
travagem (ABS)
Em 1981 a mesma marca coloca no
mercado o 1º veículo com Airbag para o
condutor
Nos finais dos
anos 80
apareceram os 1ºs
alarmes para
carros
A evolução da Segurança do PC
1989
NT tem um 1 ano de idade
Não existe a World Wide Web
TCP/IP não era, por omissão, o
protocolo de comunicação
Virology 101 publicado, Morris Worm
tem apenas um ano
Autenticação significava palavras
passe
2001
NT tem 13 anos de idade
Muita gente a aderir à Internet
TCP/IP é o protocolo de
comunicação
Troca de ficheiros torna-se muito
popular
Autenticação significa esquema de
Chave Pública
1995
• Processador a 90 MHz
• 200 MByte de disco
• 32 MByte de memória RAM
• Aplicações isoladas, muito pouca
dependência na conectividade
• Ameaças: duas aplicações podem
causar danos uma à outra
• Segurança começa a ser falada
2004
• 4 GHz ou mais nos processadores
• 100 GB de disco
• 1GB de memória RAM
• Internet
• Aplicações corporativas, totalmente
interligadas
• Ameaças: código mal intencionado,
worms e spyware
• Segurança é requisito obrigatório
Qual é a solução?
Tecnologia sozinha não vai resolver o
problema
Ferramentas são apenas um componente
mas não o ponto final
Pessoas e processos são igualmente ou
mais importantes
Segurança num mundo
complexo
Segurança não é mais do que um
processo que tenta manter seguro um
sistema complexo com múltiplas
entidades:
Pessoas (cultura, conhecimento)
Processos (procedimentos, regras)
Tecnologia (hardware, software, redes)
As entidades interagem entre si das mais
diferentes e imprevisíveis formas
A Segurança falha se nos concentrarmos
em parte do problema
Segurança é importante?
O custo de implementar medidas de segurança não é
trivial; no entanto, é uma pequena fracção do custo
real de um incidente de segurança.
Quanta Segurança?
Existe sempre um intercâmbio entre
segurança, custo e produtividade
Segurança
Determinar a segurança adequada considerando:
Ameaças que estão a enfrentar
Estar preparado para aceitar riscos
O valor dos bens
Não esquecer de considerar custos administrativos ou
valores perdidos em desempenho e utilização
Segurança absoluta é inatingível
Numa boa solução:
Apenas a pessoa certa tem acesso em qualquer momento à
informação certa, com o melhor desempenho
e ao mais baixo custo possível
Os bens para proteger
Dados
Números de cartão
de crédito
Planos de Marketing
Código fonte
Informação sobre
Salários
Serviços
Web sites
Acesso à Internet
Controladores de
Domínio
Sistemas ERP
Comunicações
Inícios de sessão
Transacções/
Pagamentos
Cópia de um plano
estratégico
Enviar uma mensagem
Quais são as ameaças?
Ameaças à Segurança
Desastres Naturais (Inundações,
Sismos, Furacões)
Humanos
Não Maliciosos (Empregados ignorantes
ou mal informados)
Maliciosos
Empregados Internos desgostosos ou
revoltados
Pessoas externas como Hackers, criminosos,
concorrência ou governos
Quais os principais motivos?
Motivos pessoais
Provocar danos
Alterar, corromper ou
apagar a informação
Paragem de um serviço
Denegrir a imagem
pública
Retaliar ou ”vingar-se”
Declaração politica ou
terrorismo
Pregar uma partida
Exibicionismo
Aproveitamento Económico
Roubar informação
Chantagem
Fraude Financeiro
Quais são os métodos?
Fazer o Crack das
Palavras Passe
Vírus
Cavalos de Tróia
Worms
Ataques de Paragem de
Serviço
Impersonificação de
E-mails
Repetição de pacotes de
rede
Modificação de pacotes
de rede
Engenharia Social
Ataques de intrusão
Spoofing da rede
Apoderar da Sessão
São apenas exemplos, muitos mais métodos
são possíveis
Quais são as Vulnerabilidades?
Produtos têm poucas
funcionalidades de
Segurança
Produtos têm bugs
Várias situações não
são endereçadas
pelos standards
técnicos
Desenhado a pensar na
Segurança
Funções e responsabilidades
Auditar, Identificar,
fazer o seguimento
Planos de
Emergência
Manter-se actualizado
Tecnologia
Falta de
conhecimento
Falta de empenho
Erros Humanos
Plataforma de Protecção
Aproveitamento Económico
Prevenção
Tecnologia
Dados
Serviços
Comunicações
Motivos pessoais
Provocar danos
A visão da Segurança…
Estabelecer confiança
nas Tecnologias de
Informação para a
realização do seu
potencial num mundo
interligado
Segurança
Privacidade
Seguro contra
ataques
Proteger a
confidencialidade,
integridade dos
dados e sistemas
Proteger contra
comunicação
indesejada
Controle de
informação privada
Produtos e
serviços online
com princípios
correctos
Capacidade de
Gestão
Confiança
Previsível,
consistente e
disponível
Fácil de configurar
e gerir
Resiliente
Recuperável
Colocado à prova
Boas
Práticas
Interacção aberta,
transparente com
clientes
Liderança na
Industria
Adesão aos
Open Standards
Ênfase na Segurança
Estratégia
Uma plataforma Segura reforçada por produtos e serviços
seguros e orientação para manter os clientes seguros
Investimentos
em
Tecnologia
Excelência no
fundamental
Inovações
Orientação
Prescritiva
Conteúdos e
ferramentas em
cenários
Resposta a
incidentes
Parceria
Com
Indústria
Informação e
educação
Colaboração e
parceria
Segurança: Básico/Fundamental
Ciclo de vida de desenvolvimento
Centro de resposta de Segurança
Melhores actualizações e ferramentas
Apostar na qualidade…
69
16
Service Pack 3
Boletins Importantes + Críticos
emitido depois do produto disponibilizado
3
Boletins do Boletins desde
lançamento
período
TwC
anterior
41
868 Dias depois do produto
disponibilizado
11
2003
6
Lançamento
29/11/2000
Lançamento
28/092003
810 Dias depois do produto
disponibilizado
* Até 31 Augusto de 2005
Lançamento
31/05/2001
Lançamento
17/11/2003
594 Dias depois do produto
disponibilizado
Visão da Industria
Vulnerabilidades corrigidas em boletins em 2005
Windows Server 2003 vs. Red Hat Enterprise Linux 3
69
43
21
20
2
Abril
Totais:
Maio
Jun
e
Microsoft = 32
Jul
Agosto Setembro
Red Hat = 217
Fonte: Boletins de Segurança dos fornecedores até 30/9/2005
Visão da Industria
Servidor Web e Base de Dados
Vulnerabilidades
Servidor Web
Vulnerabilidades
Servidor Base de Dados
Alta
Outras
Alta
Outras
Windows Red Hat Red Hat
Server 2003 Minimo “Normal”
WS 2003/ Red Hat/ Red Hat/
SQL Server MySQL Oracle
Windows Services Hardening
Windows Firewall
Protecção contas de utilizadores
Arranque Seguro
IPSec
Orientação Prescritiva
Actualizações
Segurança
Formações
Segurança
Consciencialização
e informação
www.microsoft.com/portugal/seguranca
Cumprimento
da Lei
Parceria com a Industria
Organismos
Locais
Alertar
Utilizadores
Domésticos
Programa de Segurança para
Governos
ur
ce
Li Cod
ce e
ns A
e cc
es
s
So
g:
e
ng
Ex
ch
a
t
si
to
on
m
d
In
fo
rm
at
io
ed
n
R
Transparência
Maior confiança
Parceria
GSP
Vi
Objectivos Primários
in
ar
Sh
e ’s
o d PI
l C toA
na yp
tio Cr
Africa do Sul, Austrália, Áustria,
Bulgária, China, Finlândia, NATO,
Noruega, Portugal, Rússia, Taiwan,
Turquia, UK
di
62 países
Ad
Acesso ao código fonte do
Windows por parte do Governo
Iniciativa Shared Source
Partilha do código fonte
1,500,000 programadores
Diferentes tipos de licenças
Core
Complementar
Value
IronPython
Starter Kits
Rotor
WiX
WTL
FlexWiki
License
Restritiva
Permissiva
As organizações utilizam o Shared Source
para…
Citigroup – Windows Enterprise
Desenvolvimento e resolução de
problemas de uma aplicação
UBS - Windows Enterprise
Auditorias de Segurança e
desenvolvimento de aplicações
Phil Webster, cSwing – Windows
MVP
Ajuda na comunidade
MIPS – CE Premium
Melhorar o serviço de suporte
Universidade de Pisa, Italia
Investigação avançada e utilização na
sala de aula
Desenvolvimento de código
seguro
Aplicar padrões de criação e
programação de segurança
Ferramentas para eliminar falhas de
código: PREfast, FxCop, /GS Switch,
AppVerifier, entre outras
Monitorizar e bloquear novas técnicas de
ataque
Colaboração
Descobrir vulnerabilidades no software
Divulgar de forma responsável
Colaboração com entidades
competentes
O Processo de Exploração
Investigadores de Segurança Programadores de exploração
Descobrir
vulnerabilidades
Re-engenharia dos
Patches e código pósexploração na Web
Criadores de Worms
Hacker usam worms com
código pós-exploração e
kits de ferramentas de
worms
O que a Microsoft está a fazer
Colaborar para
Trabalhar junto com a
Criar um consenso na
corrigir
polícia
comunidade de que a
vulnerabilidades
divulgação não é boa
Divulgação com
Auxiliando no trabalho
Oferecer ajuda
responsabilidade
técnico
Resultados:
Menos investigadores
divulgão de forma
irresponsável,
melhoramento
contínuo
Mais especialistas da
indústria estão a
protestar contra os
códigos de
exploração
Duas prisões
relacionadas com
Blaster worm
O que estamos a fazer ?
Disponibilidade de software
para utilização por parte de
alunos e professores.
Salas Microsoft na Universidade
Disponibilização das sources
Windows
Iniciativas locais
Formar e informar o maior número de
utilizadores possível
Guias e Formação
Parcerias (700.000 utilizadores)
Millennium BCP (200.000)
TVCabo (500.000)
Formação
Promoções para clientes e parceiros
Roadshow por todo o país
Web site de Segurança
20,000 Unique users mensais
42,000 Page Views
Conclusão
Estratégia
Uma plataforma Segura reforçada por produtos e serviços
seguros e orientação para manter os clientes seguros
Investimentos
em
Tecnologia
Excelência no
fundamental
Inovações
Orientação
Prescritiva
Conteúdos e
ferramentas em
cenários
Resposta a
incidentes
Parceria
Com
Indústria
Informação e
educação
Colaboração e
parceria
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.