Segurança Microsoft Progresso, Visão e Estratégia Marcos Santos [email protected] Microsoft Portugal O que é a Segurança? 1. Estado ou sentimento de Segurança : O estado de 2. 3. 4. 5. estar a salvo e protegido Despreocupação sobre uma possível perda: A certeza de que qualquer coisa de valor não será roubada Algo que dê Segurança: Algo que proporcione um sentimento de protecção contra perda, ataque ou acto maldoso Estar a salvo: Protecção contra ataques (uma questão de segurança nacional) Precauções para se manter a salvo: Medidas tomadas para manter alguém ou algo a salvo de crimes, ataques ou perigos (medidas de segurança) Encarta« World English Dictionary ® & (P) 2004 Microsoft Corporation. All rights reserved. Desenvolvido por Microsoft by Bloomsbury Publishing Plc. Façamos um paralelo com a História… A Segurança Automóvel Evolução da Segurança Automóvel 1º Automóvel foi inventado por um oficial Francês de nome Capitão Nicolas-Joseph Cugnot em 1769 O primeiro automóvel a ser produzido em grande escala e cuja utilização se tornou mais “banal” foi o Ford Modelo T em 1908 e que chegou a vender 15 milhões de unidades Evolução da Segurança Automóvel 1º automóvel com Cintos de Segurança apareceu em 1961. A primeira legislação sobre obrigatoriedade de utilização de cintos de Segurança surgiu na Austrália em 1971 No inicio dos anos 70 a Segurança automóvel começou a desempenhar um papel importante e surgiram os primeiros “Crash Tests” Evolução da Segurança Automóvel Em 1978 a Mercedes lançou o 1º modelo a incorporar um sistema anti-bloqueio de travagem (ABS) Em 1981 a mesma marca coloca no mercado o 1º veículo com Airbag para o condutor Nos finais dos anos 80 apareceram os 1ºs alarmes para carros A evolução da Segurança do PC 1989 NT tem um 1 ano de idade Não existe a World Wide Web TCP/IP não era, por omissão, o protocolo de comunicação Virology 101 publicado, Morris Worm tem apenas um ano Autenticação significava palavras passe 2001 NT tem 13 anos de idade Muita gente a aderir à Internet TCP/IP é o protocolo de comunicação Troca de ficheiros torna-se muito popular Autenticação significa esquema de Chave Pública 1995 • Processador a 90 MHz • 200 MByte de disco • 32 MByte de memória RAM • Aplicações isoladas, muito pouca dependência na conectividade • Ameaças: duas aplicações podem causar danos uma à outra • Segurança começa a ser falada 2004 • 4 GHz ou mais nos processadores • 100 GB de disco • 1GB de memória RAM • Internet • Aplicações corporativas, totalmente interligadas • Ameaças: código mal intencionado, worms e spyware • Segurança é requisito obrigatório Qual é a solução? Tecnologia sozinha não vai resolver o problema Ferramentas são apenas um componente mas não o ponto final Pessoas e processos são igualmente ou mais importantes Segurança num mundo complexo Segurança não é mais do que um processo que tenta manter seguro um sistema complexo com múltiplas entidades: Pessoas (cultura, conhecimento) Processos (procedimentos, regras) Tecnologia (hardware, software, redes) As entidades interagem entre si das mais diferentes e imprevisíveis formas A Segurança falha se nos concentrarmos em parte do problema Segurança é importante? O custo de implementar medidas de segurança não é trivial; no entanto, é uma pequena fracção do custo real de um incidente de segurança. Quanta Segurança? Existe sempre um intercâmbio entre segurança, custo e produtividade Segurança Determinar a segurança adequada considerando: Ameaças que estão a enfrentar Estar preparado para aceitar riscos O valor dos bens Não esquecer de considerar custos administrativos ou valores perdidos em desempenho e utilização Segurança absoluta é inatingível Numa boa solução: Apenas a pessoa certa tem acesso em qualquer momento à informação certa, com o melhor desempenho e ao mais baixo custo possível Os bens para proteger Dados Números de cartão de crédito Planos de Marketing Código fonte Informação sobre Salários Serviços Web sites Acesso à Internet Controladores de Domínio Sistemas ERP Comunicações Inícios de sessão Transacções/ Pagamentos Cópia de um plano estratégico Enviar uma mensagem Quais são as ameaças? Ameaças à Segurança Desastres Naturais (Inundações, Sismos, Furacões) Humanos Não Maliciosos (Empregados ignorantes ou mal informados) Maliciosos Empregados Internos desgostosos ou revoltados Pessoas externas como Hackers, criminosos, concorrência ou governos Quais os principais motivos? Motivos pessoais Provocar danos Alterar, corromper ou apagar a informação Paragem de um serviço Denegrir a imagem pública Retaliar ou ”vingar-se” Declaração politica ou terrorismo Pregar uma partida Exibicionismo Aproveitamento Económico Roubar informação Chantagem Fraude Financeiro Quais são os métodos? Fazer o Crack das Palavras Passe Vírus Cavalos de Tróia Worms Ataques de Paragem de Serviço Impersonificação de E-mails Repetição de pacotes de rede Modificação de pacotes de rede Engenharia Social Ataques de intrusão Spoofing da rede Apoderar da Sessão São apenas exemplos, muitos mais métodos são possíveis Quais são as Vulnerabilidades? Produtos têm poucas funcionalidades de Segurança Produtos têm bugs Várias situações não são endereçadas pelos standards técnicos Desenhado a pensar na Segurança Funções e responsabilidades Auditar, Identificar, fazer o seguimento Planos de Emergência Manter-se actualizado Tecnologia Falta de conhecimento Falta de empenho Erros Humanos Plataforma de Protecção Aproveitamento Económico Prevenção Tecnologia Dados Serviços Comunicações Motivos pessoais Provocar danos A visão da Segurança… Estabelecer confiança nas Tecnologias de Informação para a realização do seu potencial num mundo interligado Segurança Privacidade Seguro contra ataques Proteger a confidencialidade, integridade dos dados e sistemas Proteger contra comunicação indesejada Controle de informação privada Produtos e serviços online com princípios correctos Capacidade de Gestão Confiança Previsível, consistente e disponível Fácil de configurar e gerir Resiliente Recuperável Colocado à prova Boas Práticas Interacção aberta, transparente com clientes Liderança na Industria Adesão aos Open Standards Ênfase na Segurança Estratégia Uma plataforma Segura reforçada por produtos e serviços seguros e orientação para manter os clientes seguros Investimentos em Tecnologia Excelência no fundamental Inovações Orientação Prescritiva Conteúdos e ferramentas em cenários Resposta a incidentes Parceria Com Indústria Informação e educação Colaboração e parceria Segurança: Básico/Fundamental Ciclo de vida de desenvolvimento Centro de resposta de Segurança Melhores actualizações e ferramentas Apostar na qualidade… 69 16 Service Pack 3 Boletins Importantes + Críticos emitido depois do produto disponibilizado 3 Boletins do Boletins desde lançamento período TwC anterior 41 868 Dias depois do produto disponibilizado 11 2003 6 Lançamento 29/11/2000 Lançamento 28/092003 810 Dias depois do produto disponibilizado * Até 31 Augusto de 2005 Lançamento 31/05/2001 Lançamento 17/11/2003 594 Dias depois do produto disponibilizado Visão da Industria Vulnerabilidades corrigidas em boletins em 2005 Windows Server 2003 vs. Red Hat Enterprise Linux 3 69 43 21 20 2 Abril Totais: Maio Jun e Microsoft = 32 Jul Agosto Setembro Red Hat = 217 Fonte: Boletins de Segurança dos fornecedores até 30/9/2005 Visão da Industria Servidor Web e Base de Dados Vulnerabilidades Servidor Web Vulnerabilidades Servidor Base de Dados Alta Outras Alta Outras Windows Red Hat Red Hat Server 2003 Minimo “Normal” WS 2003/ Red Hat/ Red Hat/ SQL Server MySQL Oracle Windows Services Hardening Windows Firewall Protecção contas de utilizadores Arranque Seguro IPSec Orientação Prescritiva Actualizações Segurança Formações Segurança Consciencialização e informação www.microsoft.com/portugal/seguranca Cumprimento da Lei Parceria com a Industria Organismos Locais Alertar Utilizadores Domésticos Programa de Segurança para Governos ur ce Li Cod ce e ns A e cc es s So g: e ng Ex ch a t si to on m d In fo rm at io ed n R Transparência Maior confiança Parceria GSP Vi Objectivos Primários in ar Sh e ’s o d PI l C toA na yp tio Cr Africa do Sul, Austrália, Áustria, Bulgária, China, Finlândia, NATO, Noruega, Portugal, Rússia, Taiwan, Turquia, UK di 62 países Ad Acesso ao código fonte do Windows por parte do Governo Iniciativa Shared Source Partilha do código fonte 1,500,000 programadores Diferentes tipos de licenças Core Complementar Value IronPython Starter Kits Rotor WiX WTL FlexWiki License Restritiva Permissiva As organizações utilizam o Shared Source para… Citigroup – Windows Enterprise Desenvolvimento e resolução de problemas de uma aplicação UBS - Windows Enterprise Auditorias de Segurança e desenvolvimento de aplicações Phil Webster, cSwing – Windows MVP Ajuda na comunidade MIPS – CE Premium Melhorar o serviço de suporte Universidade de Pisa, Italia Investigação avançada e utilização na sala de aula Desenvolvimento de código seguro Aplicar padrões de criação e programação de segurança Ferramentas para eliminar falhas de código: PREfast, FxCop, /GS Switch, AppVerifier, entre outras Monitorizar e bloquear novas técnicas de ataque Colaboração Descobrir vulnerabilidades no software Divulgar de forma responsável Colaboração com entidades competentes O Processo de Exploração Investigadores de Segurança Programadores de exploração Descobrir vulnerabilidades Re-engenharia dos Patches e código pósexploração na Web Criadores de Worms Hacker usam worms com código pós-exploração e kits de ferramentas de worms O que a Microsoft está a fazer Colaborar para Trabalhar junto com a Criar um consenso na corrigir polícia comunidade de que a vulnerabilidades divulgação não é boa Divulgação com Auxiliando no trabalho Oferecer ajuda responsabilidade técnico Resultados: Menos investigadores divulgão de forma irresponsável, melhoramento contínuo Mais especialistas da indústria estão a protestar contra os códigos de exploração Duas prisões relacionadas com Blaster worm O que estamos a fazer ? Disponibilidade de software para utilização por parte de alunos e professores. Salas Microsoft na Universidade Disponibilização das sources Windows Iniciativas locais Formar e informar o maior número de utilizadores possível Guias e Formação Parcerias (700.000 utilizadores) Millennium BCP (200.000) TVCabo (500.000) Formação Promoções para clientes e parceiros Roadshow por todo o país Web site de Segurança 20,000 Unique users mensais 42,000 Page Views Conclusão Estratégia Uma plataforma Segura reforçada por produtos e serviços seguros e orientação para manter os clientes seguros Investimentos em Tecnologia Excelência no fundamental Inovações Orientação Prescritiva Conteúdos e ferramentas em cenários Resposta a incidentes Parceria Com Indústria Informação e educação Colaboração e parceria © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.