Embed Size (px)
DESCRIPTION
Опыт построения глобальной системы создания защищенных информационных систем. Владимир Мамыкин Директор по информационной безопасности Microsoft в России. Инфофорум 17 сентября 2014. История.... 2002 год. Массовые эпидемии вирусов в сетях из продуктов Майкрософт. - PowerPoint PPT Presentation
Citation preview
Опыт построения глобальной системы создания защищенных информационных систем
Владимир Мамыкин Директор по информационной безопасности Microsoft в России Инфофорум
17 сентября 2014
Поэтому:• Билл Гейтс принимает решение о создании
специального подразделения в структуре Майкрософт, которое должно изменить подход к созданию продуктов и разработать стратегию создания защищенных информационных систем
• Создается центр «Trustworthy Computing»• Найм профессионалов по безопасности по
всему миру
• Массовые эпидемии вирусов в сетях из продуктов Майкрософт
• Выявлена основная проблема – создание продуктов ведется без учета возможных атак на него
История.... 2002 год
2003 2004 2006 2008 2009 2010 20122001 20132000 2002 2005 2007 2011
TwC Next
High Profile Viruses & Worms
High Profile Botnet Takedowns
Windows XP Access Control
Microsoft Malware Protection Center Established
Windows 8 UEFI Secure Boot
1.14 Billion World Internet Users
Windows Vista BitLocker & UAC
Bill Gates TwC Memo
Security Development Lifecycle (SDL) Debut
Targeted Attacks & Persistent Adversaries
Windows 7, IE8, Security Essentials Released
389 Million World Internet Users
2.4Billion+ World Internet Users
Digital Identity Theft & Misuse
Основные вехи
• Разработка модели угроз для каждого нового продукта
• Разработка архитектуры безопасности продукта• Непрерывное тестирование качества кода в
том числе с привлечением третьих компаний
• Тренинги для программистов как писать софт без уязвимостей
• Разработка методологии SDL
SDL Secure Development Lifecycle: создание защищенного ПО
Worldwide Public Sector
Digital Crimes
UnitMicrosoft
ITMicrosoft
Consulting Services
Criminal Law Enforcement,
Government, Industry
Solutions, Initiatives, Innovations Policy, Innovation
Risk Assessment, Cybersecurity
Services
Trustworthy
ComputingSecurity, Reliability,
Privacy
Secure Development
& Secure OperationsTwC Network
Security
Microsoft Security Response Center
Global Security Strategy & Diplomacy
Product Life Cycle
Release
ConceptionEcosystem & Policy Innovation
InternalExternal
Защита
Обнаружение
Ответ
• Security Development Lifecycle (SDL)• Operational Security Assurance (OSA)• Identity & Access Management • Advisory Services and Risk Assessments
• Microsoft Malware Protection Center (MMPC)• Microsoft Active Protections Program (MAPP) • Advanced Tools & Technologies• Remote Security Incident Reporting
• Microsoft Security Response Center (MSRC)• Onsite Security Incident Response Teams• Fighting IP Crimes, Fraud, and Child Exploitation • Policy & Advocacy
Обязательства Майкрософт
TrustworthyComputing
Worldwide Public Sector
Digital Crimes
Unit
Trustworthy Computing (TwC)
Microsoft IT
Microsoft Consulting Services
Criminal Law Enforcement,
Government, Industry
Solutions, Initiatives, Innovations Policy, Innovation
Risk Assessment, Cybersecurity
Services
Microsoft Security
Response Center (MSRC)
Fundamentals, Innovation, PartnershipsOperational
Security Assurance (OSA)
Government Security Program (GSP)
Global and Security Strategy and Diplomacy (GSSD)
Microsoft Malware
Protection Center (MMPC)
Microsoft Security
Engineering Center (MSEC)
Security Development Lifecycle (SDL)
DigitalCrimes Unit
Worldwide Public Sector
Digital Crimes Unit (DCU)
Microsoft IT
Microsoft Consulting Services
Solutions, Initiatives, InnovationsPolicy, Innovation
Risk Assessment, Cybersecurity
Services
Trustworthy
ComputingSecurity, Reliability,
Privacy
Criminal Law Enforcement
Proactive Disruption
Malicious Software Crimes
IP Crimes
Child Exploitation
Government Industry Partners
Microsoft Consultin
g Services
Worldwide Public Sector
Digital Crimes
Unit
Consulting Services
Microsoft IT
Criminal Law Enforcement,
Government, Industry
Solutions, Initiatives, InnovationsPolicy, Innovation
Trustworthy
ComputingSecurity, Reliability,
Privacy
Protect Microsoft & Showcase Learnings
Extensive Reach with World-Class Architects, Consultants, & Engineers
Remote Security Incident Report
Online Security Incident Response
Security Solutions & Consulting
Cybersecurity Services
Advanced Tools & Technologies
Advisory Services & Risk Assessments
• Майкрософт в 2002 разработал программу GSP (Government Security Program) предоставления исходных кодов своих программ Правительствам для анализа качества кодов и проверки отсутствия в них «закладок»
• В 2002 программа GSP была подписана с НТЦ Атлас и согласована с ФСБ (ФАПСИ), она действует и в настоящее время• Анализ исходных кодов НЕ означает предоставления
доступа к данным, хранящимся на компьютерах, в том числе к персональным данным
• В НТЦ «Атлас» с 2003 года на постоянной основе работает лаборатория по исследованию исходных кодов
• Сертификация в ФСБ основана на изучении исходных кодов, предоставленных по программе GSP
Предоставление исходных кодов для Государства
ДоWindows 8Windows Server 2012 иSQL Server 2012
Сертифицировано более 60 продуктовВсе продукты сертифицированы «как есть», без изменений, и могут быть использованы для построения автоматизированных систем уровня защищенности 1Г и для систем обработки персональных данных
От Windows XPWindows Server 2003 иантивирусов Forefront
Сертификация во ФСТЭК
Windows Server 2012 R2
Закончена сертификация во ФСТЭКWindows 8.1
SharePoint Server 2013
Office 2013
Exchange Server 2013, Lync Server 2013 и многие другие продукты
Exchange Server 2010
Сертификация в ФСБ
Windows Server 2012 R2
Windows 7
SQL Server 2008
Windows Server 2003 Enterprise
Windows XP Professional
Windows 8 и 8.1
Lync 2010
Публичные облачные сервисы Microsoft сертифицированы по самым строгим стандартам безопасности (организационным):
Защищенные облака
EU Safe Harbor EU Model Clauses
ISO 27001 HIPAA FISMA
В частных облаках надо использовать уже сертифицированные ФСТЭК и ФСБ продукты
На ряде критически важных для государства объектов обработка сведений, составляющих государственную тайну, уже много лет ведется на продуктах Майкрософт с использованием модулей, разработанных российскими партнерами
Некоторые примерыПри проведении Олимпиады в Сочи официальный сайт Олимпийских игр работал с использованием облачных технологий Майкрософт Azure
Правительство России теперь стало использовать планшеты Samsung с сертифицированной ФСБ Windows 8
Наши Заказчики могут быть уверены, что используя продукты Майкрософт они сводят свои законодательные и технологические риски к минимально возможным потому, что
Майкрософт предоставляет исходные коды продуктов для исследования
ВЫВОДЫ
У Майкрософт уже есть ПЛАТФОРМА сертифицированных по российским требованиям продуктов, аналогов которой нет у конкурентов
Майкрософт продолжает сертификацию продуктовПродукты Майкрософт имеют минимальное число уязвимостей в своих классах (см. следующий слайд)
В продуктах Майкрософт может использоваться российская криптография, разработанная партнерами
Уязвимости на 01 сентября 2014• Sun Solaris 10.х 1724• Red Hat Enterprise Linux Server 5 2718• FreeBSD 6.x 86• Microsoft Windows Server 2008 499• Microsoft Windows Server 2012 220
• Apple Macintosh OS X – 2118 • Red Hat Enterprise Linux Desktop 5 3016• Ubuntu Linux 8.04 (выпуск 2008 год) 1687 (находят 23 уязв/мес)• Ubuntu Linux 12.04 (выпуск 2012 год) 2006 (находят 60 уязв/мес) • Windows XP Pro (выпуск 2001 год) 668 (находят 4 уязв/мес)• Windows 7 (выпуск 07.2009) 359 (находят 6 уязв/мес)• Windows 8 (выпуск 08.2012) 222 (находят 13 уязв/мес)• Windows 8.1 65• Oracle Database 11.x 382• IBM DB2 9.x 136• MySQL 5.x 250• Microsoft SQL Server 2008 6• Microsoft SQL Server 2012 3
источник: http://secunia.com
Спасибо!Владимир МамыкинДиректор по информационной безопасности
