Forefront - новая система обеспечения информационной безопасности презентация

2007

andreyi@microsoft.com

– 97%
Антишпионские средства – 79%
Большинство компаний (80%) используют ROI и другие инструменты для оценки инвестиций в ИБ
80% компаний пользуются аудитом ИБ
В среднем 5% ИТ бюджета идет на ИБ

декабрь 2005:
5198 - общее число уязвимостей в продуктах
812 – в продуктах, работающих на Windows
219 - число уязвимостей в продуктах Microsoft
(4% от общего числа уязвимостей)
из них 45 уязвимостей в Internet Explorer
а также в Adobe, IBM, Novell, Symantec и других
2328 - в продуктах, работающих на Unix/Linux
358 - уязвимостей только в ядре Linux
а также в Apple, HP, IBM, Oracle, Red Hat, Sun и других
2058 – в продуктах, работающих на смешанных платформах
144 уязвимости в Firefox
а также в Apache, Cisco, HP, IBM, Oracle, Sun и других
ВЫВОД: продуктов без уязвимостей НЕТ
В 2006 будут похожие результаты

http://www.us-cert.gov/cas/bulletins/SB2005.html

частые
Атаки двигаются в направлении приложений

Очень много продуктов, которые не взаимодействуют
Различные консоли управления для каждого продукта
Невзаимодействующие продукты не позволяют проводить обобщенный анализ событий

Сложность выбора продукта и управления им
Недостатки интеграции ведут к запутанности управления
Цена установки и запутанность управления противодействуют всеобъемлющему развертыванию во всей сети предприятия

Вызовы

и внешних
Многоуровневая защита клиента, сервера и периметра
Защита от устройств и транспорта до приложений
Качественные исследования по безопасности
Обратная связь с пользователями

“Обеспечение безопасности должно включать в себя комплексный, многоуровневый подход” ~ Neil MacDonald

Безопасность должна быть End-To-End

управления
Управление всем циклом безопасности
Отчеты и анализ событий
Взаимодействие с инфраструктурой управления идентификацией (Active Directory)
Операционализация рутинных процедур

“Маятник качнулся в сторону интегрированной безопасности” ~ Mike Rothman, Security Incite

Интегрированное управление

Интегрированность

и «отчеты»
Конфигурирование и управление безопасностью на основе ролей и служб каталогов (Active Directory)
Простой опыт выбора продуктов

“Основная макро тенденция в безопасности - упрощение”
~ Mike Rothman, Security Incite

Простота

Простота улучшает безопасность

с точки зрения коммуникаций среды по использованию цифровых технологий
Доверенная экосистема
Identity Metasystem
MIIS
ADFS
Инжиниринг технологий безопасности
Повышение качества инжиниринга технологий безопасности на всех стадиях разработки [Microsoft - Security Development Lifecycle]
Упрощение систем безопасности
Интеграция системы безопасности с платформой [Windows Security Center в Windows XP SP2 и Windows Vista]
Создание фундаментально безопасных платформ со встроенными
технологиями изоляции процессов для снижения уровня воздействия вредоносного ПО
технологиями доверенной многофакторной аутентификации
средствами интеграции Политик контроля доступа и Политик безопасности
унифицированными аудитами приложений
Безопасность в Windows Vista – пример такого подхода

разработки

Совершенствуя качество: Security Development Lifecycle

Server 2005
BizTalk Server 2006
ISA Server 2006
Семейство продуктов Forefront
Недавно вышли
Office 2007
Exchange Server 2007
Windows Vista

Планомерная реализация стратегии создания
Защищенных информационных систем (Trustworthy Computing)

SQL Server and MDAC)

2002

2003

2004

2005

Высокая безопасность

Безопасная БД?

Microsoft SQL Server 2005 Vendor: Microsoft
Product Affected By: 0
22 мая 2007 = 18 месяцев после выхода!
http://secunia.com/product/6782

2006

/ WSUS / MU
Возможно запускать несколько копий
сосуществует с MBSA 1.2.1
Новые опции командной строки
файл со списком компьютеров
Автоматически устанавливает WU агента

Enterprise
Client
Windows 2000.SP3+ – Server, Professional
Windows XP+ – Home, Professional, Embedded
Windows Server 2003+ – 32-bit, x64 (SP1), ia64 (SP1)
Content
Windows 2000+, Office XP / 2003
SQL / MSDE 2000, Exchange 2003
В последствии будет добавлена поддержка всех остальных продуктов
International
Все языки, которые поддерживает Windows

данные с Microsoft Update

WU клиенты регистрируются на сервере

Administrator помещает клиентов в различные группы

Administrator назначает обновления к установке

WU клиент устанавливает назначенные обновления

Microsoft Update

WUS Server

группа: Desktops

группа: Servers

WUS Administrator

install / uninstall
Deadline
Отчеты
Статус обновления
Состояние компьютера
Синхронизация
Параметры конфигурации
Оптимизация использования каналов
BITS 2.0
Работа без прямого соединения с Internet

управления

Поддержка мобильных клиентов

Management Services) – поставляется для Windows Server 2003
Клиентская компонента IRM (Information Right Management)
Технология, которая
Позволяет организациям создавать и применять политики использования создаваемых документов
Для любого приложения
В любом формате
Позволяет политике использования документа следовать за документом
Внутри организации
Вне организации
Может использоваться разработчиками не только для приложений Microsoft

внутреннюю информацию
Директор применяет к этому письму заранее определенную политику “Конфиденциально”
Только сотрудники компании имеют право прочитать это письмо
Эта политика запрещает печатать, копировать и пересылать это письмо
Если сотрудники попытаются переслать файл неавторизованному лицу – оно все равно не сможет прочитать информацию

для документа (Publishing License). Приложение зашифровывает документ
Приложение посылает Publishing License серверу RMS на подпись
RMS подписывает Publishing License и возвращает ее приложению
Автор пересылает файл получателям документа
Получатель открывает файл. Приложение посылает серверу RMS запрос на Use License. В этот запрос включаются RM Account Certificate (RAC) получателя и Publishing license документа
RMS проверяет запрос и RAC, идентифицирует получателя. При успешной проверке RMS выдает получателю лицензию на работу (Use License) с документом
Приложение получает лицензию от RMS и отрабатывает правила, заложенные в ней, расшифровывая документ. Получатель работает с документом

Автор документа

Получатель документа

2007
Excel 2003, 2007
Power Point 2003, 2007
Мгновенные сообщения в Office 2003, 2007
Office Share Point Portal Server 2003, 2007
Использование в старых версиях Office (для просмотра)
Использование Internet Explorer для просмотра
Использование смарт карт для усиленной аутентификации
Использование (создание документов с правами и просмотр) любым приложением третьих фирм, созданным с использованием RM SDK

свой компьютер» ww: кампания «Защити свой компьютер» www.microsoft.com/rus/athome/security
профессионалов: бесплатные тренинги и семинары, вебтрансляции,
Предсказуемость обновлений: ежемесячно публикуются на сайте wwwежемесячно публикуются на сайте www.ежемесячно публикуются на сайте www.microsoftежемесячно публикуются на сайте www.microsoft.ежемесячно публикуются на сайте www.microsoft.comежемесячно публикуются на сайте www.microsoft.com/ежемесячно публикуются на сайте www.microsoft.com/rusежемесячно публикуются на сайте www.microsoft.com/rus/ежемесячно публикуются на сайте www.microsoft.com/rus/security на русском языке!
Распространение опыта Microsoft по обеспечению безопасности своей корпоративной сети
Новости по безопасности для ИТ специалистов (на русском языке, ежемесячно)  Подписка- www для ИТ специалистов (на русском языке, ежемесячно)  Подписка- www. для ИТ специалистов (на русском языке, ежемесячно)  Подписка- www.microsoft для ИТ специалистов (на русском языке, ежемесячно)  Подписка- www.microsoft. для ИТ специалистов (на русском языке, ежемесячно)  Подписка- www.microsoft.com для ИТ специалистов (на русском языке, ежемесячно)  Подписка- www.microsoft.com/ для ИТ специалистов (на русском языке, ежемесячно)  Подписка- www.microsoft.com/rus для ИТ специалистов (на русском языке, ежемесячно)  Подписка- www.microsoft.com/rus/ для ИТ специалистов (на русском языке, ежемесячно)  Подписка- www.microsoft.com/rus/security
Бесплатные средства:
для удаления вирусов Malicious Software Removal Tool (MSRT)
против шпионских программ Windows Defender
для оценки защищенности компьютера и сети MBSA и Risk Self Assessment Tool
Подтверждение качества:
Отсутствие вирусных эпидемий
Сертификация продуктов: международная и в соответствии с российским законодательством

Планомерная реализация стратегии создания
Защищенных информационных систем (Trustworthy Computing)

продукта:
Надежный межсетевой экран уровня приложений с поддержкой виртуальных частных сетей (VPN)
Фильтрация данных
Публикация приложений Microsoft
Уникальный функционал
Проверка VPN, карантин и многое другое
Отличное дополнение к инфраструктуре, построенной на базе решений Microsoft
Не требует переделки имеющейся инфраструктуры безопасности

финансовых потерь…
Три категории причин, приводящих к потерям — вирусы, неправомерный доступ и кража конфиденциальной информации — провоцируют потери в других областях”.

«…При этом, 97% компаний установили межсетевые экраны, а 96% компаний использовали антивирусные средства…»

--2005 CSI and FBI Computer Crime and Security Survey

Три категории причин, приводящих к потерям

Статистика

вредоносного кода и распространения нежелательного содержимого:

Вирусы
Вирусы-черви
Программы «Троянские кони»
Root-kits, bot-nets
Нежелательные сообщения
Фишинг
Оскорбления и унижения

лабораториями мира и обновлять их из одного источника
Использовать несколько антивирусных ядер для всех критически важных серверах обмена сообщениями и коллективной работы
Включает средства защиты от нежелательных сообщений, централизованные политики и фильтрацию содержания для полной защиты

AV

AV

AV

AV

AV

AV

недостатки
Во время вирусной эпидемии, вирусные лаборатории реагируют с разной скоростью, в зависимости от района вспышки эпидемии, времени суток, сложности и процедуры создания обновлений
Несколько ядер обеспечивают более высокую вероятность обнаружения вредоносного кода

эвристики
У каждой лаборатории свой цикл выпуска обновлений вирусных сигнатур

Response Times: Putting AV to the Test" - by Andreas Marx

www.av-test.org/down/papers/2004-02_vb_outbreak.pdf).

MP

(хранилище Exchange)

75% ядер
Нейтральный уровень: использование 50% ядер
Больше производительности: использование 25% ядер
Максимум производительности: использование одного ядра для каждого сканирования

Ядра не всегда одни и те же. Ядра выбираются из списка доступных для данной задачи.

D

75% доступных ядер
Нейтральный уровень: использование 50% ядер
Больше производительности: использование 25% ядер
Максимум производительности: использование только одного ядра для каждого сканирования

Управление производительностью

Ядра не всегда одни и те же. Ядра выбираются из списка доступных для данной задачи.

промежуточного сохранения объектов на жёстком диске для проверки файловых вложений
Возможность использования до 3-х гигабайт оперативной памяти

EXE

432kb

состав набора
Добавляется в качестве модуля к Antigen для Exchange и Antigen для шлюзов SMTP
Ядро SpamCure использует несколько сигнатурных методов определения нежелательных сообщений
Позволяет администраторам создавать свои списки запрещенных или разрешенных адресов отправителей, доменов и IP адресов

почты Outlook

Спам

Доступные фильтры:
SpamCure
По заголовку письма
На основе RBL
По доменам/ серверам и белым спискам
Antigen Advanced Spam Manager (ASM) и Intelligent Message Filter (IMF) используют единую систему рейтингов Spam Confidence Level, встроенную в Microsoft Exchange Server 2003

периметра
Сочетание сервисов и резервной защиты ограждает сеть от спама и вирусов
Защита межсетевым экраном
Защита на уровне протоков и приложений помогает компаниям обеспечить надежный доступ к сервисам Exchange Server
Эта же схема применима, если вместо Exchange установлен почтовый сервер другого производителя
Надежный сценарий защиты на этапе обновления почтовой инфраструктуры
Внутренний антивирус
Защита от внутренних и внешних угроз в сочетании с проверкой корреспонденции

Лучшая защита для EXCHANGE
Программы и сервисы обеспечивают надежную проверку почтовых ящиков, хранящихся на Exchange, от различных угроз

Аутентификация и авторизация

Корпоративная сеть

Внешний экран

ISA Server

Внутренний экран

DMZ

Резервная защита

Antigen for Exchange

Antigen for SMTP Gateways

Advanced Spam Manager

Internet

Сбор статистической информации о сканировании, детектировании и удалении сообщений и вложений
Основные возможности:
Активация процесса обновления ядер
Централизованное управление лицензиями
Импорт, экспорт и тиражирование настроек
Запуск или задание заданий Manual Scan Job.
Запуск/остановка сервисов Antigen.

MOM MP for Antigen

OneCare, Antigen, MSRT и т.д.
Упрощенное развертывание и администрирование
Уменьшает конфликты при распознавании смешанных угроз
Способности распознавания и лечения:
Сканирование в реальном времени, по расписанию или по требованию
Полная очистка системы от вирусов и шпионов, с проверкой работоспособности системы после очистки
Сканирование внутри множества упакованных форматов
Использование туннельных сигнатур для обхода user mode rootkits
Эмуляция кода для борьбы с полиморфными вирусами
Эвристический анализ нового malware и модификаций старого

Единая защита

Защита от широкого спектра угроз

на уровне OU-level с исключениями – используя группы безопасности
Консоль создает GPO, отправляет её на Sysvol, GP распространяет профиль
Политика по умолчанию применяется на все машины в AD

READ,
SAVE

GPO

Упрощенное администрирование

Создаем политику безопасности

систему распространения ПО
Автоматическое и ручное подтверждение сигнатур
Client Security устанавливает сервис Update Assistant чтобы:
Увеличить частоту синхронизации между WSUS и Microsoft Update (MU) для сигнатур
Поддержка мобильных пользователей
Обращение напрямую к Microsoft Update вместо WSUS

Malware Research

Microsoft Update

WSUS + Update Assistant

Desktops, Laptops and Servers

Sync

Sync

Упрощенное администрирование

Обновление систем

патчах
Имеют небезопасную конфигурацию
Категории отчетов включают:




Основано на технологии MOM 2005
Использует SQL™ Reporting Services

Прозрачность и управляемость

Детализация отчетов

и объем генерируемых сообщений

1

5

4

3

2

Массовое появление

Сбой удаления malware

Сбой обновления сигнатуры

Malware обнаружено и удалено

Сбой обновления сигнатуры (в мин)

Много данных, наиболее важные системы

Критические
случаи,
низкозначимые компьютеры

Прозрачность и управляемость

Не пропустить момент появления угрозы

Поручите представителям подразделения Майкрософт в России разработать план обеспечения безопасности
Используйте руководства, продукты и учебные материалы по безопасности, разработанные корпорацией Майкрософт. Многие теперь на русском языке!
Создайте систему многоуровневой защиты, используя передовые технологии безопасности
Регулярно изучайте обновления по безопасности, знакомьтесь с новостями и посещайте семинары по безопасности
www.microsoft.com/rus/security

параллельных соединений
100+ тыс. атак в день
WindowsUpdate
200 млн. скачиваний в день
12 тыс.запросов в секунду
1 млн. параллельных соединений
80+ Gbit в секунду – пиковые нагрузки

Web Site Availability Benchmarking измерено Keynote Systems, Inc.

Microsoft.com в течение 3-х лет подряд – самый устойчивый сайт

and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.