Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

Mød Microsoft for Partners Sikkerhed – hvad kan du gøre som partner for at hjælpe dine kunder Torben Marcussen Microsoft Danmark.

Offentliggjort afNora Fog Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "Mød Microsoft for Partners Sikkerhed – hvad kan du gøre som partner for at hjælpe dine kunder Torben Marcussen Microsoft Danmark."— Præsentationens transcript:

1 Mød Microsoft for Partners Sikkerhed – hvad kan du gøre som partner for at hjælpe dine kunder Torben Marcussen Microsoft Danmark

2 Alle bekymrer sig – hvorfor? Fordi der er værdi i elektronisk form Værdi og risiko vil altid hænge uløseligt sammen! Internettet giver to grundlæggende aktiver for en kriminel MobilitetAnonymitet Sikkerhed er så pokkers svært fordi Angriberen har mange ressourcer og skal kun have succes én gang Forsvareren er begrænset ved at skulle håndhæve regler og forretningsmål Kilde: Videnskabsministeriet. Datasikkerheden i Danmark 2002. http://www.videnskabsministeriet.dk/fsk/publ/2003/datasikkerhed2002/

3 Sikkerhed; en dynamisk størrelse 82 HK, Topfart 150 Km/t Benzin Blyholdig Oktan 98 3 punkts faste seler på forsæde 2 kreds bremser Lamineret forrude 145 HK, Topfart 215 Km/t Benzin Blyfri Oktan 95 3 punkts rulleseler + både for og bag 2 kreds bremser, ABS Bremse assistent Antiudskridningssystem (ESP) Laminerede ruder Airbags, både puder og gardiner Sikkerheds-ratstamme Forstærkninger i døre Deformerbare sikkerheds zoner Nakkestøtter Ford Taunus 15M. 1970 Ford Mondeo 2,0. 2004

4 Sikkerhed; en dynamisk størrelse CERT rapporterede sårbarheder 1995-2002 Windows NT 3.51 Windows NT 4.0 Windows 2000 Server Windows Server 2003

5 Hvem er de? Hacker finder huller for udfordringens skyld Cracker udnytter systemerne han/hun kommer ind på ‘Forfatter’ National interesse Personlig gevinst Se hvad jeg kan Nysgerrig Script-Kiddie Hobby- Hacker Ekspert Specialist Vandal Tyv Spion Trespasser

6 …og de er hurtigere og bedre Days of risk er i dag en altafgørende parameter National Interesse Personlig gevinst Se hvad jeg kan Nysgerrig Hobby- Hacker Ekspert Specialist Største område i volumen Største tab i dkk. Script-Kiddie Største beløb anvendt Hurtigst voksende segment ‘Forfatter’Vandal Tyv Spion Trespasser

7 Microsoft’s tilgang til sikkerhed Teknisk ‘Socialt’

8

9 Sikker ved deployment Automatisk konfiguration Identity & access mgmt Proces: “How to’s,” arkitektur guides Sikker pr. design Mindske sårbarheder Træning af udviklere Kode gennemgang Ny arkitektur mht. IIS Sikker pr. default 19 Services slukket Sikre default indstillinger Reducerede privilegier via nye accounts Kommunikation Forbedret kommunikation Arkitektur Webcasts Bred træning rettet mod hhv. kunder og partnere Definér kvalitet!

10 Eksempel på SD 3 i aktion – MS03-007 Kritisk fejlrettelse til Windows Server 2000 Den underliggende DLL (NTDLL.DLL) er ikke længere sårbar Rettet i sikkerhedsreview af kode Hvis den var installeret … IIS 6.0 har ikke DAV aktiveret som standard Hvis den havde DAV aktiveret … Maximum URL længde i IIS 6.0 er 16kb som standard (>64kb krævet) Hvis den var sårbar … IIS 6.0 ikke installeret som standard på Windows Server 2003 Hvis den kom så langt og der var en aktuel “Buffer Overrun” Ville have forekommet i w3wp.exe som nu kører/eksekveres som en ‘network service’

11 Kan kvalitet måles? Antal kritiske og vigtige bulletiner Dage efter RTM Secure by design Secure by default

12 Nå ja … sikkerhed er iøvrigt et problem for hele industrien Undersøgelse af en række producenter af operativsystemer Udsendte antal sikkerhedsbulletiner ha. huller i operativsystem Engarde er bedst i hhv. 2002 og 2003 med Microsoft som nr. 2 i begge år Listen er ikke komplet Antal bulletiner som ‘universel indikator’ er unuanceret

13 Hvad gør vi og hvad kan du gøre som partner

14 Det handler om at (I kan) sikre kundens systemer Baseline assessment UddannelseOpdatering Teknologier for udbedring af lokaliserede sårbarheder

15 Baseline assessment Er en sikkerhedsanalyse noget I leverer? Vurdering  Vurdering og værdifastsættelse af kundens aktiver  Identificér og prioriter kundens sikkerheds risici  Risiko tracking og planlægning; design af politikker for kunden Udvikling og implementering  Teknikker til udbedring af risiko  Fangst af viden om sikkerhed og sårbarhed hos kunden Drift Re-vurdering af aktiver og sikkerheds risiko Stabilisér og udrulning af nye eller ændrede modtræk God dybdegående guide: Microsoft Solutions Guide for Securing Windows 2000

16 Baseline assessment Eksempel på vurdering og værdifastsættelse Prioritering af kundens aktiver (Skala 1 til 10) 1. Server leverer grundlæggende funktionalitet, men har ingen finansiel effekt på forretningen 3. Server har vigtig information, men data kan hurtigt og nemt reetableres 5. Server indeholder vigtige data, der vil tage noget tid at reetablere (2-5 timer) 8. Server indeholder information der er væsentlig I relation til virksomhedens forretningsmål. Tabet af udstyr/service vil have stor effekt for alle brugere 10. Server har en central betydning for virksomhedens forretning. Tabet af udstyr og data vil have direkte effekt på virksomhedens evne til at agere på markedet.

17 Baseline assessment Eksempel på analyse og prioritering af risici Damage Reproducibility Exploitability Affected Users Discoverability Sårbarhed = (Prioritet af aktiv*trusselsrangering)

18 En ramme for at levere sikkerhed Defense in Depth anvender en lagdelt tilgang Evnen til at identificere en angriber øges Angribers chance for succes reduceres implicit Politikker, procedurer og årvågenhed Hardening af OS, patch management, authentication, HIDS Firewalls, VPN karantæne Vagter, låse, tracking enheder Netværkssegmenter, IPSec, NIDS Hardening af applikation, antivirus ACL, kryptering Bruger uddannelse Fysisk sikkerhed Perimeter netværk Interne netværk Host Applikation Data Defense in depth antager at forrige lag fejler

19 Teknologi er en del af ligningen Analyse og risikovurdering af en virksomheds sikkerhedsniveau; procesforståelse bør stå centralt Produkter mangler sikkerheds funktionalitet Produkter har fejl Patch management er en udfordring Procedurer for risikoanalyse Roller og ansvar Audit, sporing Udbedring og opfølgning IT administratorer ’hænger’ i gammel viden Krav stiger og IT budget er uændret Mennesker laver fejl! Mennesker Teknologi Proces Proces og Mennesker er under ét langt den ‘dyreste’ del for virksomheden ha. sikkerhed

20 Opdatering 1. Vurdering af miljø der skal patches Periodiske opgaver Lav og vedligehold en system standardLav og vedligehold en system standard Gennemgå infrastruktur/konfigurationGennemgå infrastruktur/konfiguration Pågående opgaver Find aktiverFind aktiver Forespørg klienterForespørg klienter 1. Vurdering 2. Identifi- kation 4. Udrul- ning 3. Evaluering og planl. 2. Identificér nye Patches Opgaver Identificér patchesIdentificér patches Fastslå deres relevansFastslå deres relevans Fastslå ægthedFastslå ægthed 3. Evaluering og planlægning af patch udrulning Opgaver Foretag risiko vurderingForetag risiko vurdering Planlæg release proces, herunder testPlanlæg release proces, herunder test 4. Udrul patch Opgaver Distribuér og installér patchDistribuér og installér patch Rapportér fremskridtRapportér fremskridt Håndtér undtagelserHåndtér undtagelser

21 Teknologier for udbedring Værktøjskasser til flere formål og miljøer Analyse værktøjer Microsoft Baseline Security Analyzer (MBSA) Microsoft Baseline Security Analyzer (MBSA) Office Inventory Tool Office Inventory Tool Online Update Services Windows Update Windows Update Office Update Office Update Management værktøjer Automatic Updates (AU) feature in Windows Automatic Updates (AU) feature in Windows Software Update Services (SUS) Software Update Services (SUS) Systems Management Server (SMS) Systems Management Server (SMS) Foreskreven guidance De mere grundlæggende procesmodeller jvf. tidligere Patch Management Using SUS Microsoft Guide to Security Patch Management Microsoft Guide to Security Patch Management Patch Management Using SMS Patch Management Using SMS

22 Afrunding og perspektiver Teknisk ‘Socialt’

23 SMS 2003 Udvidet support på NT4 Overgang til månedlige patchfrigivelser Windows XP Service Pack 2 Software Update Services 2.0 Microsoft Update ISA Server 2004 Windows Server 2003 Service Pack 1 Forbedringer til opdateringer Partner aktiviteter Heldags sikkerhedstræning E-learning kurser (også rettet til kunder) Active Protection Technology Exchange Perimeter Services Roadmap og aktiviteter 2003 1H 04 Lokalt 2H 04 Fremtid

24 Opbyg kompetencen til at levere et sikkerheds audit (Gen-) brug Microsoft sikkerhedsdesigns Konvertér Jeres NT4 kunder Træk på vores partner øko- system mht. sikkerhed Hvad bør I som partnere gøre? Konkret i relation til sikkerhed Tilbyde basale sikkerhedsservices

25 Når sikkerhed er adresseret begynder den egentlige diskussion Kunden ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? Generisk funktionalitet Sikkerheds/Directory Services Netværksadgangsservices Fil- og Print Services Web Services Kommunikations Services Applikations Services Terminal Services Integreret udviklingsmiljø Integreret administration Relationelt lager/datastyring E-handel Produktivitet Mobilitet Samarbejde OS Forretningsløsning  Hvad vil kunden med en serverinfrastruktur? Nu og på længere sigt Nu og på længere sigt  Hvilke leverandører overvejer de?  Hvordan vil I som partner levere løsningen? Jeres særlige kompetencer mht. Microsoft teknologier Jeres særlige vertikal kompetencer

26 Alt-i-én pakke Samme stærke fundamet Bygget til mindre virksomheder Meget for pengene Microsoft platform Visual Studio.NET SMS 2000, MOM SQL Server Exchange 2003 Office System CS2000 Exchange, SPTS Kerberos Distributed File Service STS.NET Framework MSMQTransaction Service ASP.NET Smart Card Windows Media Services IIS Active Directory PKIVPNRAS WMI Generisk funktionalitet Sikkerheds/Directory Services Netværksadgangsservices Fil- og Print Services Web Services Kommunikations Services Applikations Services Terminal services Integreret udviklingsmiljø Integreret administration Relationelt lager/datastyring E-handel Produktivitet Mobilitet Samarbejde OS Forretningsløsning...og her er budskaberne også konkrete fra bund til top Kunden ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

27

Download ppt "Mød Microsoft for Partners Sikkerhed – hvad kan du gøre som partner for at hjælpe dine kunder Torben Marcussen Microsoft Danmark."

Lignende præsentationer

Telos Team Introduktion.

Telos Team Introduktion.
Kim Mikkelsen Chief Security Advisor Microsoft

Kim Mikkelsen Chief Security Advisor Microsoft
Videregående pc-vejledning Modul Sik: Sikkerhed Lidt om antivirusprogrammer mm. 60+Bornholm.

Videregående pc-vejledning Modul Sik: Sikkerhed Lidt om antivirusprogrammer mm. 60+Bornholm.
Next Generation Operations Management AutoNOC 2. AutoNOC 2 Business fordele.

Next Generation Operations Management AutoNOC 2. AutoNOC 2 Business fordele.
Web 2.0 Teoretisk viden.

Web 2.0 Teoretisk viden.
Sikkerhedskampagne for mindre virksomheder

Sikkerhedskampagne for mindre virksomheder
Effektive procedurer med integrerede webservices Applikationer til Office - Smart Clients Case: Digitalt Forvaltningstjek hos Erhvervs- og Selskabsstyrelsen.

Effektive procedurer med integrerede webservices Applikationer til Office - Smart Clients Case: Digitalt Forvaltningstjek hos Erhvervs- og Selskabsstyrelsen.
Samarbejde med eller uden Service Level Agreement (SLA)

Samarbejde med eller uden Service Level Agreement (SLA)
Big Data – muligheder og udfordringer for sundhedsvæsnet

Big Data – muligheder og udfordringer for sundhedsvæsnet
IM-Strategi.

IM-Strategi.
COWI PowerPoint design manual

COWI PowerPoint design manual
Energiledelse Energiledelse betyder, at virksomheden gennemfører en systematisk, løbende indsats for at bruge energien bedre og derigennem øge virksomhedens.

Energiledelse Energiledelse betyder, at virksomheden gennemfører en systematisk, løbende indsats for at bruge energien bedre og derigennem øge virksomhedens.
Windows ® 7 og Office 2010 til små og mellemstore virksomheder WINDOWS ® 7 OG OFFICE 2010 TIL SMÅ OG MELLEMSTORE VIRKSOMHEDER Vi anbefaler ægte Microsoft.

Windows ® 7 og Office 2010 til små og mellemstore virksomheder WINDOWS ® 7 OG OFFICE 2010 TIL SMÅ OG MELLEMSTORE VIRKSOMHEDER Vi anbefaler ægte Microsoft.
Firewalls & netsikkerhed Henrik Størner,

Firewalls & netsikkerhed Henrik Størner,
Windows XP Service Pack 2 With Advanced Security Technologies Forretningsværdi og teknisk overblik Torben Marcussen Technical Specialist Microsoft Danmark.

Windows XP Service Pack 2 With Advanced Security Technologies Forretningsværdi og teknisk overblik Torben Marcussen Technical Specialist Microsoft Danmark.
E-commerce hos Bon’A Parte

E-commerce hos Bon’A Parte
Dagsorden IT-Analyse 2010 Kort om BASIT

Dagsorden IT-Analyse 2010 Kort om BASIT
Sikkerhed/Otto Knudsen 1 Sikkerhed  Sikkerhed i ASP.NET  Autentifikation (Authentication)  Autorisation (Authorization)

Sikkerhed/Otto Knudsen 1 Sikkerhed  Sikkerhed i ASP.NET  Autentifikation (Authentication)  Autorisation (Authorization)
Sikkerhed/Otto Knudsen 1 Diagnostics  Debug af web-applikationer.

Sikkerhed/Otto Knudsen 1 Diagnostics  Debug af web-applikationer.
IT-sikkerhedsmøde Dato: 06-04-2011 Kl.: 10:00 – 15:00 Sted: Danish Crown A/S, Østbirkvej 2, 8700 Horsens.

IT-sikkerhedsmøde Dato: Kl.: 10:00 – 15:00 Sted: Danish Crown A/S, Østbirkvej 2, 8700 Horsens.

Lignende præsentationer

Annoncer fra Google