La gestione della La gestione della sicurezza in un ente sicurezza in un ente pubblicopubblico

Carlo MezzanotteCarlo MezzanotteDirettoreDirettore Servizi SistemisticiServizi SistemisticiMicrosoft ItaliaMicrosoft Italiacarlomez@microsoft.comcarlomez@microsoft.com

Elementi chiaveElementi chiaveTecnologia Processi

Persone

ComunicazioniComunicazioniNotificheNotifiche tempestivetempestive susu vulnerabilitvulnerabilitààNotificheNotifiche tempestivetempestive didi nuovenuove fixfixBest practice & trainingBest practice & training

SicurezzaSicurezza by Designby DesignGarantire unGarantire un’’architettura sicuraarchitettura sicuraCreare codice sicuroCreare codice sicuroIndividuare le vulnerabilitIndividuare le vulnerabilitàà nei prodottinei prodotti

SicurezzaSicurezza by Defaultby DefaultRidurre lRidurre l’’ambito di vulnerabilitambito di vulnerabilitàà a attacchia attacchiBloccare le funzionalitBloccare le funzionalitàà in disusoin disusoRidurre le autorizzazioni di condivisioneRidurre le autorizzazioni di condivisione

SicurezzaSicurezza in Deploymentin DeploymentBest practice Best practice didi sicurezza sicurezza Security patch e auditing Security patch e auditing proattivoproattivoStrumentiStrumenti anti virus e anti virus e didi intrusion detectionintrusion detection

Patch Management:Patch Management:unauna componentecomponente

chiavechiave

SicurezzaSicurezzaintegrataintegrata nelnelprocessoprocesso didisvilupposviluppo e e

test test deidei prodottiprodotti

CriteridisicurezzaStringentiper ilrilascio dei

Prodotti

FunzionalitFunzionalitàà didisicurezza sicurezza BuiltBuilt--in in neinei ProdottiProdotti

Rid

uzio

neR

iduz

ione

delle

delle

vuln

erab

ilit

vuln

erab

ilit àà

nei

nei

prod

otti

pr

odot

ti

VulnerabilitàVulnerabilità critichecritiche o o importantiimportanti neinei primiprimi ……

33 66

…90 …90 giornigiorni …180 …180 giornigiorni

88 2121TwCTwC??

SiSiNoNo

Per Per alcunialcuni prodottiprodotti giàgià rilasciatirilasciati e e moltomolto diffusidiffusi::

ObbligatorioObbligatorio per per tuttitutti i i nuovinuovi prodottiprodotti::

Qualità nei prodottiTrustworthy Computing Release ProcessQualitàQualità neinei prodottiprodottiTrustworthy Computing Release ProcessTrustworthy Computing Release Process

Bulletins sinceBulletins sinceTwC releaseTwC release

Shipped July 2002, 16 months ago (as of Nov. 2003)Shipped July 2002, 16 months ago (as of Nov. 2003)

11Bulletins in 16 Bulletins in 16

month period prior month period prior to TwC releaseto TwC release

66Service Pack 3Service Pack 3

Bulletins sinceBulletins sinceTwC releaseTwC release

Shipped Jan. 2003, 10 months ago (as of Nov. 2003)Shipped Jan. 2003, 10 months ago (as of Nov. 2003)

22Service Pack 3Service Pack 3

1111

Bulletins in 10 Bulletins in 10 month period prior month period prior

to TwC releaseto TwC release

Windows XP SP2 Windows XP SP2 MiglioreMigliore protezioneprotezione delladella retereteMessaggisticaMessaggistica e e navigazionenavigazione del web del web piùpiù sicuresicureProtezioneProtezione delladella memoriamemoria avanzataavanzata

Windows Server 2003 SP1Windows Server 2003 SP1ConfigurazioneConfigurazione delladella sicurezzasicurezza RoleRole--basedbasedIspezioniIspezioni didi computer computer remotiremoti ((quarantenaquarantena))IspezioniIspezioni dell’ambientedell’ambiente internointerno

TecnologieTecnologie per la per la sicurezzasicurezza

Framework: Framework: Defense In DepthDefense In Depth

Portfolio Portfolio didicontromisurecontromisure per per ogniogni layerlayerImplementazioneImplementazionedelledelle contromisurecontromisureappropriate per appropriate per ciascunciascun layerlayerRiduzioneRiduzione delladellaprobabilitàprobabilità didi un un singolosingolo puntopunto didivulnerabilitàvulnerabilità

Internal NetworkInternal Network

PerimeterPerimeter

HostHost

ApplicationApplication

DataData

Physical SecurityPhysical Security

Policies, Procedures & AwarenessPolicies, Procedures & Awareness

Lockdown dei server, workstation e dell’infrastruttura di rete

Lockdown Lockdown deidei server, workstation e server, workstation e dell’infrastrutturadell’infrastruttura didi reterete

Design e deploy di una strategiaproattiva di gestione dellepatch

Design e deploy Design e deploy didi unauna strategiastrategiaproattivaproattiva didi gestionegestione delledellepatchpatchCentralizzazione della

gestione delle policy e del controllo degli accessi

CentralizzazioneCentralizzazione delladellagestionegestione delledelle policy e del policy e del controllocontrollo deglidegli accessiaccessi

CosaCosa fare?fare?

Le Patch Le Patch proliferanoproliferanoIl tempo Il tempo didi exploit exploit didi unaunavulnerabilitvulnerabilitàà diminuiscediminuisceGliGli exploit exploit diventanodiventano pipiùùsofisticatisofisticatiL’approccioL’approccio correntecorrente non non è è sufficientesufficiente

La Security è la nostra La Security è la nostra prioritàpriorità numeronumero 1 1

151151180180

331331

BlasterBlaster

Welchia/ Nachi

Welchia/ Nachi

NimdaNimda

2525

SQL Slammer

SQL Slammer

GiorniGiorni tratra la patch e la patch e un exploitun exploit

MigliorareMigliorare la la sicurezzasicurezzaLa La rispostarisposta ad ad unauna crisicrisi

Il Il processoprocesso didi Patch ManagementPatch Management1. 1. ValutazioneValutazione delldell’’ambienteambiente dada aggiornareaggiornare

TaskTaskA. A. Creazione/mantenimentoCreazione/mantenimento didi unauna baseline baseline deidei sistemisistemiB. B. DefinizioneDefinizione delladella infrastrutturainfrastruttura didi gestionegestionedeglidegli aggiornamentiaggiornamentiC. C. RevisioneRevisione delldell’’infrastrutturainfrastruttura//

configurazioneconfigurazione 1. 1. AssessAssess

2. 2. IdentifcazioneIdentifcazione

4. 4. DistribuzioneDistribuzione

3. 3. ValutazioneValutazione e e pianificazionepianificazione

2. 2. IdentificazioneIdentificazione di di nuovinuovi aggiornamentiaggiornamenti

TaskTaskA. A. IdentificazioniIdentificazioni deidei nuovinuovi aggiornamentaggiornamentB. B. ValutazioneValutazione delledelle rilevanza rilevanza delldell’’aggiornamentoaggiornamento

((èè inclusainclusa unun’’analisianalisi deidei rischirischi))C. C. VerificaVerifica delldell’’autenticitautenticitààe e integritintegritàà delldell’’aggiornamento aggiornamento

3. 3. ValutazioneValutazione e e pianificazionepianificazione della della distribuzionedistribuzione deglidegli aggiornamentiaggiornamenti

TaskTaskA. A. ApprovazioneApprovazione delladella distribuzione distribuzione deglidegli aggiornamentiaggiornamentiB. Risk assessmentB. Risk assessmentC. C. PianificazionePianificazione del del processo processo didi distribuzionedistribuzione

4. 4. DistribuzioneDistribuzione deglidegli aggiornamentiaggiornamenti

TaskTaskA. A. DistribuzioneDistribuzione e e installazioneinstallazione deglidegli aggiornamenti aggiornamenti B. Report B. Report sullosullo statostato didi avanzamento avanzamento C. C. GestioneGestione delledelle eccezioni eccezioni D. D. RevisioneRevisione delladella distribuzione distribuzione

ComponentiComponenti per la per la gestionegestione deglidegliaggiornamentiaggiornamenti

Windows UpdateWindows UpdateOffice UpdateOffice Update

ServiziServizi didiaggiornamento aggiornamento

OnlineOnlineCatalogoCatalogo Windows UpdateWindows UpdateCatalogoCatalogo Office DownloadOffice DownloadMicrosoft Download CenterMicrosoft Download Center

DepositiDepositi didiContenutiContenuti

Automatic Updates (AU) client in WindowsAutomatic Updates (AU) client in WindowsSoftware Update Services (SUS)Software Update Services (SUS)Systems Management Server (SMS)Systems Management Server (SMS)

StrumentiStrumenti didigestionegestione

Microsoft Guide to Security Patch ManagementMicrosoft Guide to Security Patch ManagementPatch Management Using SUSPatch Management Using SUSPatch Management Using SMSPatch Management Using SMS

GuideGuide

Microsoft Baseline Security Analyzer (MBSA)Microsoft Baseline Security Analyzer (MBSA)Office Inventory ToolOffice Inventory Tool

StrumentiStrumenti didiAnalisiAnalisi

FineFine 20042004OggiOggi

Windows Update And Office Windows Update And Office Update Update Microsoft UpdateMicrosoft Update

Microsoft UpdateMicrosoft UpdateUn Un servizioservizio Online e un repository Online e un repository deglidegli aggiornamenti aggiornamenti didi tuttitutti i i prodottiprodotti MicrosoftMicrosoftCostruitoCostruito sull’infrastrutturasull’infrastruttura SUSSUSOffriràOffrirà serviziservizi automaticiautomatici didiscansionescansione, , installazioneinstallazione deglidegliaggiornamenti e aggiornamenti e funzionifunzioni didireportisticareportistica

Office Update

SMSSMS

Windows Update

SUSSUS

Microsoft UpdateWindows Update

SpuntiSpunti di di riflessioneriflessioneCommon CriteriaCommon Criteria

GaranziaGaranzia di di sicurezzasicurezza ISO, ISO, riconosciutariconosciutaufficialmenteufficialmente dada 14 14 paesipaesi tratra cui cui l’Italial’ItaliaWindows 2000 è Windows 2000 è ilil primo primo sistemasistemaoperativooperativo commercialecommerciale cheche ha ha ottenutoottenuto la la certificazionecertificazione EAL4+FL3EAL4+FL3

Government Source Licensing Government Source Licensing Program (GSLP) Program (GSLP)

AccessoAccesso al al codicecodice sorgentesorgente di Windowsdi WindowsPossibilitàPossibilità di di usareusare strumentistrumenti di di debugging debugging integratiintegratiMaggioreMaggiore sicurezzasicurezza

Microsoft per Microsoft per eGovernmenteGovernment in in ItaliaItalia

IniziativaIniziativa realizzatarealizzata in in collaborazionecollaborazione con con HP per la PALHP per la PALSupportaSupportagratuitamentegratuitamente le PAL le PAL nelnel processoprocesso di di innovazioneinnovazionetecnologicatecnologicaTrasferisceTrasferisce skills al skills al settoresettore per per progettiprogettireplicabilireplicabili

RaccoltaRaccolta di di strumentistrumentisoftware e di software e di documentazionedocumentazione tecnicatecnicae e architetturalearchitetturale per per consentireconsentire aiai partner di partner di Microsoft e Microsoft e alleallepubblichepubblicheamministrazioniamministrazioni di di realizzarerealizzare progettiprogetti di di altaalta qualitàqualità in in manieramanierarapidarapida e e semplice semplice

FunzioniFunzioni didi sicurezzasicurezzanell’iniziativanell’iniziativa eGovernmenteGovernment

PostaPosta certificatacertificataEstendeEstende le procedure le procedure amministrativeamministrative allaallapostaposta elettronicaelettronicaControlloControllo delladella consegnaconsegna e e registrazioneregistrazioneRicevutaRicevuta didi ritornoritorno

Security Mobilization InitiativeSecurity Mobilization InitiativeTavole rotonde sulla sicurezzaTavole rotonde sulla sicurezza

Da fine marzo a metà maggioDa fine marzo a metà maggio3 incontri a Milano e 3 a Roma3 incontri a Milano e 3 a Roma

FormazioneFormazione e e risorserisorseWebcastWebcast e e seminariseminari

http://www.microsoft.com/seminar/events/security.mspxhttp://www.microsoft.com/seminar/events/security.mspxGuide Guide susu Microsoft.comMicrosoft.com

http://www.microsoft.com/security/guidancehttp://www.microsoft.com/security/guidanceSecurity Guidance Kit CDSecurity Guidance Kit CDMSDNMSDN SecuritySecurity CenterCenterGuide per Guide per sviluppatorisviluppatori

patterns and practicespatterns and practices“Building Secure ASP.NET Applications”“Building Secure ASP.NET Applications”“Improving Web Application Security”“Improving Web Application Security”

Microsoft PressMicrosoft Press“Writing Secure Code v 2.0”“Writing Secure Code v 2.0”

©© 2003 Microsoft Corporation. All rights reserved.2003 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. MICROSOFT This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.