Francesca Di Massimo Security Lead Microsoft Italia Catania 22 settembre 2006 La Strategia Microsoft per la sicurezza dei sistemi

L’impegno di Microsoft per la Sicurezza Secondo il CERT/CC (Centre of emergency response Team/Coordination Centre), il numero dei security incidents è cresciuto da 21,756 nel 2000 a 137,000 nel Perchè la sicurezza dei clienti è una “top priority” per Microsoft?

Prevenire i virus e il malware Avere aggiornamenti di sicurezza in maniera efficiente (distribuita e tempestiva) e contestualmente ridurre la frequenza degli aggiornamenti di sicurezza Implementare un approccio di difesa a più livelli (Defense in depth) Migliorare la conoscenza e la confidenza per gestire sistemi sicuri Le sfide della sicurezza

Benefici degli investimenti in sicurezza Riduzione dei tempi di fermo e dei costi associati alla non disponibilità dei sistemi Riduzione dei costi legati ad un inefficiente distribuzione degli aggiornamenti di sicurezza Riduzione delle perdite di dati dovute e virus o violazioni della sicurezza Aumento della protezione delle proprietà intellettuali Ottimizzazione dell’infrastruttura

Difesa a più livelli L'utilizzo di un approccio di difesa a più livelli: Aumenta il rischio per un attaccante di essere rilevato e scoperto Riduce le probabilità di successo di un attacco Criteri, procedure e consapevolezza Sicurezza fisica Perimetro Rete interna Host Applicazione Dati Mitigazioni Cosa attualmente può ridurre il rischio? Definizione di rischio Impatto Qual è l’impatto sul business? Probabilità Quanto verosimilmente il pericolo può attuarsi? Asset Cosa si vuole proteggere? Pericolo Cosa temi possa accadere? Vulnerabilità Come il pericolo può verificarsi?

Difesa a più livelli Criteri, procedure e consapevolezza Personale di sicurezza, serrature e dispositivi di controllo Formazione degli utenti Sicurezza fisica Perimetro Rete interna Host Applicazione Dati Protezione del OS, patch, antivirus, Firewall, VPN con quarantena Rete segmentata, IPSec, Protezione delle applicazioni, Controllo dell'accesso, crittografia

Criteri, procedure e consapevolezza Penso dovrei usare il mio nome come password. Devo configurare un firewall. Quali porte dovrei bloccare? Penso dovrei tenere la porta della sala server aperta: è più semplice. Hanno bloccato il mio sito Web preferito. Per fortuna ho un modem. Anche io gestisco una rete. Come configuri il firewall? Non mi viene una buona password. Quale usi tu? Qualcuno sa dov’è la sala server? Bel modem. Che numero ha questa linea?

Cultura della sicurezza Mancanza di cultura della sicurezza Password deboli Admin password Admin.R386W

Criteri, procedure e consapevolezza La formazione sulla sicurezza aiuta i dipendenti a supportare le policy di sicurezza: Policy di configurazione dei firewall Policy di accesso fisico ai sistemi Policy di richiesta/uso dei device Policy sulla gestione delle password Policy sulla segretezza delle informazioni

Chiudere le porte e installare allarmi Assumere personale di sicurezza Stabilire policy di accesso Controllare gli accessi Sicurezza fisica Limitare i device di inserimento/salvataggio dei dati Usare sistemi di accesso remoto Tutti gli asset di un’organizzazione devono avere sicurezza fisica

Il perimetro di rete può includere connessioni a: Internet Uffici remoti Partner Utenti remoti Reti wireless Applicazioni Internet La compromissione del perimetro di rete può determinare: Attacchi alla rete aziendale Attacchi agli utenti remoti Attacchi dai partner Attacchi da uffici remoti Attacchi ai servizi Internet Attacchi da Internet Protezione del perimetro di rete: Firewall (es. ISA Server 2004) Blocco delle porte di comunicazione Traslazione di porte e indirizzi IP Reti private virtuali (VPN) Protocolli di tunnell VPN con quarantena Partner Ufficio remoto Difesa del perimetro LAN Utente remoto Internet Ufficio centrale LAN Servizi Internet LAN Rete Wirel ess

Difesa della rete interna Accesso non autorizzato ai sistemi Accesso a tutto il traffico di rete Accessi non autorizzati alla rete wireless Porte di comunicazione inattese Sniff dei pacchetti di rete Rete wireless Vendite Finance Risorse umane Marketing

Richiedere mutua autenticazione Segmentare la rete Criptare le comunicazioni in rete Restringere il traffico anche se la rete è segmentata Firmare i pacchetti di rete Implementare i filtri IPSec per restringere il traffico verso i server Difesa della rete interna

Difesa degli host Configurazioni errate del sistema operativo Falle nel sistema operativo Distribuzioni di virus Accessi non controllati Singoli computer sulla rete Spesso con ruoli o funzioni specifiche Si deve bilanciare tra usabilità e sicurezza

Rafforzare il sistema operativo di client e server Disabilitare servizi non necessari Controllare accessi e tentati accessi Installare e mantenere antivirus e anti- spyware Usare firewall (es. Windows Firewall) Installare corretti di sicurezza e service pack Difesa degli host

Difesa del livello applicativo Perdita di funzionalità applicativa Esecuzione di codice maligno Uso estremo e malevolo – Attacchi DoS Uso non desiderato di applicazioni Eseguire le applicazioni con bassi privilegi Abilitare solo funzioni e servizi necessari Installare aggiornamenti di sicurezza per tutte le applicazioni Installare ed aggiornare i software antivirus Usare le più aggiornate pratiche per lo sviluppo delle applicazioni Usare le Software Restriction Policy di Windows Server 2003

Documenti File e Directory File applicativi Vista, modifica, o rimozione di informazioni Interrogazione di directory e file Sostituzione o modifica di file applicativi Difesa del livello dati

Usare una combinazione di controllo degli accessi e criptatura Installare i file critici in posizioni diverse rispetto a quelle di default Eseguire backup regolari (e prove di ripristino) Criptare i file con EFS Proteggere documenti e posta con Windows Rights Management Difesa del livello dati

L’impegno di Microsoft per la sicurezza Una piattaforma sicura rafforzata da prodotti di sicurezza, servizi e formazione per supportare i clienti Piattaforme sicure Innovazioni nella sicurezza Guide ed informazioni basate su scenari Processi di Incident Response Trasferimento di conoscenza e skill Collaborazione e Partnership

Gli investimenti di Microsoft: i fondamenti della sicurezza Il Security Development Lifecycle sviluppatori formati sulla scrittura di codice sicuro Modelli di simulazione delle minacce Riduzione del 66% delle vulnerabilità critiche Il Security Response Center 24 ore al giorno Rilevazione vulnerabilità e sviluppo update IDC 27 gennaio: “MSRC benchmark del mercato” Aggiornamenti di sicurezza e strumenti Windows update Bollettini e advisory di sicurezza Malicious software remov al tool

* As of April 11, 2006 Bulletins since TwC release Bulletins in period prior to release 16 3 SQL Server 2000 SP3 released 1/17/ Released 05/31/2001 Released 11/17/2003 Bulletins 876 Days After Product Release Days After Product Release 92 Released 11/29/2000 Released 09/28/ Focus Yielding Results Alcuni risultati

Formazione Fornire informazioni distribuite e tempestive per aiutarvi a proteggere vostri sistemi e per preparavi ad affrontare le minacce emergenti Security Guidance Center per Small Business IT pros Small business center Sito security Corso Security smallbusiness.microsoftelearning.com/italy/eLearning/courseContent.aspx?co urseId=55705 Bollettini sulla Sicurezza Webcast Microsoft Risk Assessment Tool

Formazione: alcuni dati per l’Italia Visitatori del sito Small Business: visitatori mensili Visitatori del sito Security Guidance Center: visitatori mensili Download del tool gratuito MSAT: (un anno) Strumenti di notifica Bollettini sulla sicurezza Security advisory Microsoft Security Notification Service Bollettini in formato RSS feed per i privati MSN Messenger Alerts Blog del Microsoft Security Response Center Webcast mensili t Newsletter technet

Considerate prima le vostre esigenze © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.