Mød Microsoft for PartnersMød Microsoft for PartnersSikkerhed – hvad kan du gøre som Sikkerhed – hvad kan du gøre som partner for at hjælpe dine kunderpartner for at hjælpe dine kunder

Torben MarcussenTorben MarcussenMicrosoft DanmarkMicrosoft Danmark

Alle bekymrer sig – hvorfor?Alle bekymrer sig – hvorfor?Fordi der Fordi der erer værdi i elektronisk form værdi i elektronisk form

Værdi og risiko vil altid hænge uløseligt sammen!Værdi og risiko vil altid hænge uløseligt sammen!Internettet giver to grundlæggende aktiver for en kriminelInternettet giver to grundlæggende aktiver for en kriminel

MobilitetMobilitetAnonymitetAnonymitet

Sikkerhed er så pokkers svært fordiSikkerhed er så pokkers svært fordiAngriberen har mange ressourcer og skal kun have succes én gangAngriberen har mange ressourcer og skal kun have succes én gangForsvareren er begrænset ved at skulle håndhæve regler og Forsvareren er begrænset ved at skulle håndhæve regler og forretningsmålforretningsmål

Kilde: Videnskabsministeriet. Datasikkerheden i Danmark 2002. Kilde: Videnskabsministeriet. Datasikkerheden i Danmark 2002. http

://www.videnskabsministeriet.dk/fsk/publ/2003/datasikkerhed2002/

Sikkerhed; en dynamisk størrelseSikkerhed; en dynamisk størrelse

82 HK, Topfart 150 Km/tBenzin Blyholdig Oktan 983 punkts faste seler på forsæde2 kreds bremserLamineret forrude

145 HK, Topfart 215 Km/tBenzin Blyfri Oktan 953 punkts rulleseler + både for og bag2 kreds bremser, ABSBremse assistent Antiudskridningssystem (ESP)Laminerede ruderAirbags, både puder og gardinerSikkerheds-ratstammeForstærkninger i døreDeformerbare sikkerheds zonerNakkestøtter

Ford Taunus 15M. Ford Taunus 15M. 19701970 Ford Mondeo 2,0. Ford Mondeo 2,0. 20042004

Sikkerhed; en dynamisk Sikkerhed; en dynamisk størrelsestørrelseCERT rapporterede sårbarheder 1995-2002CERT rapporterede sårbarheder 1995-2002

1995 1996 1997 1998 1999 2000 2001 2002

S1

0

500

1000

1500

2000

2500

3000

3500

4000

4500

Win

dow

s N

T 3.

51W

indo

ws

NT

3.51

Win

dow

s N

T 4.

0W

indo

ws

NT

4.0

Win

dow

s 20

00 S

erve

rW

indo

ws

2000

Ser

ver

Win

dow

s Se

rver

200

3W

indo

ws

Serv

er 2

003

Hvem er de?Hvem er de?HackerHacker finder huller for udfordringens skyld finder huller for udfordringens skyldCrackerCracker udnytter systemerne han/hun kommer ind på udnytter systemerne han/hun kommer ind på

‘Forfatter’

National interesseNational interesse

Personlig gevinstPersonlig gevinst

Se hvad jeg kanSe hvad jeg kan

NysgerrigNysgerrig

Script-KiddieScript-Kiddie Hobby-Hobby-HackerHacker

EkspertEkspert SpecialistSpecialist

Vandal

Tyv

Spion

Trespasser

……og de er hurtigere og bedreog de er hurtigere og bedreDays of risk er i dag en altafgørende parameterDays of risk er i dag en altafgørende parameter

National InteresseNational Interesse

Personlig gevinstPersonlig gevinst

Se hvad jeg kanSe hvad jeg kan

NysgerrigNysgerrig

Hobby-Hobby-HackerHacker

EkspertEkspert SpecialistSpecialist

Største Største område i område i volumenvolumen

Største tab i dkk.Største tab i dkk.

Script-KiddieScript-Kiddie

Største beløb Største beløb anvendtanvendt

Hurtigst Hurtigst voksende voksende segmentsegment

‘Forfatter’Vandal

Tyv

Spion

Trespasser

Microsoft’s tilgang til sikkerhedMicrosoft’s tilgang til sikkerhedTe

knisk

Tekn

isk‘‘ S

ocia

lt’So

cialt’

Sikker ved deploymentSikker ved deploymentAutomatisk konfigurationAutomatisk konfigurationIdentity & access mgmtIdentity & access mgmtProces: “How to’s,” Proces: “How to’s,” arkitektur guidesarkitektur guides

Sikker pr. designSikker pr. designMindske sårbarhederMindske sårbarhederTræning af udviklereTræning af udviklereKode gennemgangKode gennemgangNy arkitektur mht. IISNy arkitektur mht. IIS

Sikker pr. defaultSikker pr. default

19 Services slukket19 Services slukketSikre default indstillingerSikre default indstillingerReducerede privilegier Reducerede privilegier via nye accountsvia nye accounts

KommunikationKommunikationForbedret kommunikationForbedret kommunikationArkitektur WebcastsArkitektur WebcastsBred træning rettet modBred træning rettet modhhv. kunder og partnerehhv. kunder og partnere

Definér kvalitet!Definér kvalitet!

Eksempel på SDEksempel på SD33 i aktion – MS03-007 i aktion – MS03-007Kritisk fejlrettelse til Windows Server 2000Kritisk fejlrettelse til Windows Server 2000

Den underliggendeDen underliggendeDLL (NTDLL.DLL) er DLL (NTDLL.DLL) er ikke længere sårbarikke længere sårbar

Rettet i sikkerhedsreview af kodeRettet i sikkerhedsreview af kode

HvisHvis den var den var installeret …installeret … IIS 6.0 har ikke DAV aktiveret som standardIIS 6.0 har ikke DAV aktiveret som standard

HvisHvis den havde DAV den havde DAV aktiveret …aktiveret …

Maximum URL længde i IIS 6.0 er 16kb Maximum URL længde i IIS 6.0 er 16kb som standard (>64kb krævet) som standard (>64kb krævet)

HvisHvis den var sårbar … den var sårbar … IIS 6.0 ikke installeret som standard på IIS 6.0 ikke installeret som standard på Windows Server 2003Windows Server 2003

HvisHvis den kom så langt den kom så langt og der og der varvar en aktuel en aktuel “Buffer Overrun”“Buffer Overrun”

Ville have forekommet i Ville have forekommet i w3wp.exew3wp.exe som som nu kører/eksekveres som en ‘network nu kører/eksekveres som en ‘network service’service’

Kan kvalitet måles?Kan kvalitet måles?An

tal k

ritisk

e og

vig

tige

bulle

tiner

Anta

l krit

iske

og v

igtig

e bu

lletin

er

Dage efter RTMDage efter RTM

Secure by designSecure by designSecure by defaultSecure by default

Nå ja … sikkerhed er iøvrigt et Nå ja … sikkerhed er iøvrigt et problem for problem for helehele industrien industrien

Undersøgelse af en række Undersøgelse af en række producenter af producenter af operativsystemeroperativsystemer

Udsendte antal Udsendte antal sikkerhedsbulletiner ha. sikkerhedsbulletiner ha. huller i operativsystemhuller i operativsystem

Engarde er bedst i hhv. Engarde er bedst i hhv. 2002 og 2003 med 2002 og 2003 med Microsoft som nr. 2 i begge Microsoft som nr. 2 i begge årårListen er Listen er ikkeikke komplet komplet

Antal bulletiner som Antal bulletiner som ‘universel indikator’ er ‘universel indikator’ er unuanceretunuanceret

33 3343 38

50 5162 68

86

119

87

120 124

184

0

20

40

60

80

100

120

140

160

180

200

20022003

Hvad gør vi og hvad kan du Hvad gør vi og hvad kan du gøre som partnergøre som partner

Det handler om at (I kan) Det handler om at (I kan) sikre kundens systemersikre kundens systemer

Baseline assessmentBaseline assessment

UddannelseUddannelse

OpdateringOpdatering

Teknologier for Teknologier for udbedring af udbedring af lokaliserede lokaliserede sårbarhedersårbarheder

Baseline assessmentBaseline assessmentEr en sikkerhedsanalyse noget I Er en sikkerhedsanalyse noget I leverer?leverer?

VurderingVurdering1.1. Vurdering og værdifastsættelse af kundens aktiverVurdering og værdifastsættelse af kundens aktiver2.2. Identificér og prioriter kundens sikkerheds risici Identificér og prioriter kundens sikkerheds risici 3.3. Risiko tracking og planlægning; design af politikker Risiko tracking og planlægning; design af politikker

for kundenfor kundenUdvikling og implementeringUdvikling og implementering1.1. Teknikker til udbedring af risikoTeknikker til udbedring af risiko2.2. Fangst af viden om sikkerhed og sårbarhed hos Fangst af viden om sikkerhed og sårbarhed hos

kundenkundenDriftDrift

Re-vurdering af aktiver og sikkerheds risikoRe-vurdering af aktiver og sikkerheds risikoStabilisér og udrulning af nye eller ændrede Stabilisér og udrulning af nye eller ændrede modtrækmodtræk

God dybdegående guide: Microsoft Solutions Guide for Securing Windows 2000

Baseline assessmentBaseline assessmentEksempel på vurdering og Eksempel på vurdering og værdifastsættelseværdifastsættelsePrioritering af kundens aktiver (Skala 1 til 10)Prioritering af kundens aktiver (Skala 1 til 10)11.. Server leverer grundlæggende funktionalitet, Server leverer grundlæggende funktionalitet,

men har ingen finansiel effekt på forretningenmen har ingen finansiel effekt på forretningen33.. Server har vigtig information, men data kan Server har vigtig information, men data kan

hurtigt og nemt reetablereshurtigt og nemt reetableres55.. Server indeholder vigtige data, der vil tage Server indeholder vigtige data, der vil tage

noget tid at reetablere (2-5 timer)noget tid at reetablere (2-5 timer)88.. Server indeholder information der er Server indeholder information der er

væsentlig I relation til virksomhedens væsentlig I relation til virksomhedens forretningsmål. Tabet af udstyr/service vil forretningsmål. Tabet af udstyr/service vil have stor effekt for alle brugerehave stor effekt for alle brugere

1010..Server har en central betydning for Server har en central betydning for virksomhedens forretning. Tabet af udstyr og virksomhedens forretning. Tabet af udstyr og data data vilvil have direkte effekt på virksomhedens have direkte effekt på virksomhedens evne til at agere på markedet.evne til at agere på markedet.

Baseline assessmentBaseline assessmentEksempel på analyse og prioritering af Eksempel på analyse og prioritering af risicirisici

DDamageamageRReproducibilityeproducibilityEExploitabilityxploitabilityAAffected Usersffected UsersDDiscoverabilityiscoverability

Sårbarhed = (Prioritet af Sårbarhed = (Prioritet af aktiv*trusselsrangering)aktiv*trusselsrangering)

En ramme for at levere En ramme for at levere sikkerhedsikkerhedDefense in Depth anvender en lagdelt tilgangDefense in Depth anvender en lagdelt tilgang

Evnen til at identificere en angriber øgesEvnen til at identificere en angriber øgesAngribers chance for succes reduceres implicitAngribers chance for succes reduceres implicit

Politikker, procedurer og årvågenhed

Hardening af OS, patch Hardening af OS, patch management, authentication, HIDSmanagement, authentication, HIDS

Firewalls, VPN karantæneFirewalls, VPN karantæne

Vagter, låse, tracking enhederVagter, låse, tracking enheder

Netværkssegmenter, IPSec, NIDSNetværkssegmenter, IPSec, NIDS

Hardening af applikation, antivirusHardening af applikation, antivirus

ACL, krypteringACL, kryptering

Bruger uddannelseBruger uddannelse

Fysisk sikkerhedPerimeter netværk

Interne netværkHost

ApplikationData

Defense in depth antager at Defense in depth antager at forrige lag fejlerforrige lag fejler

Teknologi er en Teknologi er en deldel af ligningen af ligningenAnalyse og risikovurdering af en virksomheds Analyse og risikovurdering af en virksomheds sikkerhedsniveau; procesforståelse bør stå centraltsikkerhedsniveau; procesforståelse bør stå centralt

Produkter mangler Produkter mangler sikkerheds sikkerheds funktionalitetfunktionalitetProdukter har fejlProdukter har fejlPatch management Patch management er en udfordringer en udfordring

Procedurer for Procedurer for risikoanalyserisikoanalyseRoller og ansvarRoller og ansvarAudit, sporing Audit, sporing Udbedring og opfølgningUdbedring og opfølgning

IT administratorer ’hænger’ i gammel videnIT administratorer ’hænger’ i gammel videnKrav stiger og IT budget er uændretKrav stiger og IT budget er uændretMennesker laver fejl!Mennesker laver fejl!

MenneskerMennesker

Teknologi

TeknologiProce

sPro

cesProcesProces og og MenneskerMennesker

er under ét langt den er under ét langt den ‘dyreste’ del for ‘dyreste’ del for virksomheden ha. virksomheden ha. sikkerhedsikkerhed

OpdateringOpdatering1. Vurdering af miljø der skal patches1. Vurdering af miljø der skal patches

Periodiske opgaverPeriodiske opgaver•Lav og vedligehold en system standardLav og vedligehold en system standard•Gennemgå infrastruktur/konfigurationGennemgå infrastruktur/konfiguration

Pågående opgaverPågående opgaver•Find aktiverFind aktiver•Forespørg klienterForespørg klienter

1. Vurdering1. Vurdering 2. Identifi-2. Identifi-kationkation

4. Udrul-4. Udrul-ningning

3. 3. Evaluering Evaluering og planl.og planl.

2. Identificér nye Patches2. Identificér nye Patches

OpgaverOpgaver• Identificér patchesIdentificér patches• Fastslå deres relevansFastslå deres relevans• Fastslå ægthedFastslå ægthed

3. Evaluering og 3. Evaluering og planlægning af patch planlægning af patch udrulningudrulning

OpgaverOpgaver• Foretag risiko vurderingForetag risiko vurdering• Planlæg release proces, Planlæg release proces,

herunder testherunder test

4. Udrul patch4. Udrul patch

OpgaverOpgaver•Distribuér og installér patchDistribuér og installér patch•Rapportér fremskridtRapportér fremskridt•Håndtér undtagelserHåndtér undtagelser

Teknologier for udbedringTeknologier for udbedringVærktøjskasser til flere formål og miljøerVærktøjskasser til flere formål og miljøer

Analyse værktøjerAnalyse værktøjer Microsoft Baseline Security Analyzer (MBSA)Microsoft Baseline Security Analyzer (MBSA) Office Inventory ToolOffice Inventory Tool

Online Update Online Update ServicesServices

Windows UpdateWindows Update Office UpdateOffice Update

Management Management værktøjerværktøjer

Automatic Updates (AU) feature in WindowsAutomatic Updates (AU) feature in Windows Software Update Services (SUS)Software Update Services (SUS) Systems Management Server (SMS)Systems Management Server (SMS)

Foreskreven guidanceForeskreven guidance

De mere grundlæggende procesmodeller jvf. De mere grundlæggende procesmodeller jvf. tidligere tidligere

Patch Management Using SUSPatch Management Using SUS Microsoft Guide to Security Patch ManagementMicrosoft Guide to Security Patch Management Patch Management Using SMSPatch Management Using SMS

Afrunding og perspektiverAfrunding og perspektiverTe

knisk

Tekn

isk‘‘ S

ocia

lt’So

cialt’

SMS 2003SMS 2003Udvidet support på NT4Udvidet support på NT4Overgang til månedlige patchfrigivelserOvergang til månedlige patchfrigivelser

Windows XP Service Pack 2Windows XP Service Pack 2Software Update Services Software Update Services 2.02.0Microsoft UpdateMicrosoft UpdateISA Server 2004ISA Server 2004Windows Server 2003 Service Pack 1Windows Server 2003 Service Pack 1

Forbedringer til opdateringer Forbedringer til opdateringer

Partner aktiviteterPartner aktiviteterHeldags sikkerhedstræningHeldags sikkerhedstræningE-learning kurser (også rettet til E-learning kurser (også rettet til kunder)kunder)

Active Protection TechnologyActive Protection TechnologyExchange Perimeter ServicesExchange Perimeter Services

Roadmap og aktiviteterRoadmap og aktiviteter20032003

1H 041H 04

LokaltLokalt

2H 042H 04

FremtidFremtid

Opbyg kompetencen til at levere et sikkerheds Opbyg kompetencen til at levere et sikkerheds auditaudit(Gen-) brug Microsoft sikkerhedsdesigns(Gen-) brug Microsoft sikkerhedsdesigns

Konvertér Jeres NT4 kunderKonvertér Jeres NT4 kunder

Træk på vores partner øko-Træk på vores partner øko-system mht. sikkerhedsystem mht. sikkerhed

Hvad bør I som partnere Hvad bør I som partnere gøre?gøre?Konkret i relation til sikkerhedKonkret i relation til sikkerhed

Tilbyde basale sikkerhedsservicesTilbyde basale sikkerhedsservices

Når sikkerhed er adresseret begynder den Når sikkerhed er adresseret begynder den egentlige diskussionegentlige diskussion

KundenKunden

??????????

??

??

?

?Generisk funktionalitetGenerisk funktionalitet

Sikkerheds/Directory ServicesNetværksadgangsservices

Fil- og Print ServicesWeb Services

Kommunikations ServicesApplikations Services

Terminal Services

Integreret udviklingsmiljøIntegreret administration

Relationelt lager/datastyring

E-handelProduktivitet

MobilitetSamarbejde

OS

Forretningsløsning

1.1. Hvad vil kundenHvad vil kunden med med en en serverinfrastruktur? serverinfrastruktur? Nu og på længere Nu og på længere

sigtsigt2.2. Hvilke leverandørerHvilke leverandører overvejer de?overvejer de?3.3. Hvordan vil I som Hvordan vil I som

partner partner levere levere løsningenløsningen? ?

Jeres særlige Jeres særlige kompetencer mht. kompetencer mht. Microsoft Microsoft teknologierteknologierJeres særlige Jeres særlige vertikal vertikal kompetencerkompetencer

Alt-i-én pakkeSamme stærke fundametBygget til mindre virksomhederMeget for pengene

Microsoft platformMicrosoft platform

Visual Studio.NETSMS 2000, MOM

SQL Server

Exchange 2003Office System

CS2000Exchange, SPTS

Kerberos

Distributed File Service STS

.NET FrameworkMSMQ Transaction Service

ASP.NET

Smart Card

Windows Media Services

IIS

Active DirectoryPKIVPN RAS

WMI

Generisk funktionalitetGenerisk funktionalitet

Sikkerheds/Directory ServicesNetværksadgangsservices

Fil- og Print ServicesWeb Services

Kommunikations ServicesApplikations Services

Terminal services

Integreret udviklingsmiljøIntegreret administration

Relationelt lager/datastyring

E-handelProduktivitet

MobilitetSamarbejde

OS

Forretningsløsning

...og her er budskaberne også ...og her er budskaberne også konkrete fra bund til topkonkrete fra bund til top

KundenKunden

??????????

??

??

?

?