Marcos Santos Microsoft Portugal Segurança Microsoft Progresso, Visão e Estratégia

O que é a Segurança? 1. Estado ou sentimento de Segurança : O estado de estar a salvo e protegido 2. Despreocupação sobre uma possível perda: A certeza de que qualquer coisa de valor não será roubada 3. Algo que dê Segurança: Algo que proporcione um sentimento de protecção contra perda, ataque ou acto maldoso 4. Estar a salvo: Protecção contra ataques (uma questão de segurança nacional) 5. Precauções para se manter a salvo: Medidas tomadas para manter alguém ou algo a salvo de crimes, ataques ou perigos (medidas de segurança) Encarta« World English Dictionary ® & (P) 2004 Microsoft Corporation. All rights reserved. Desenvolvido por Microsoft by Bloomsbury Publishing Plc.

Façamos um paralelo com a História… A Segurança Automóvel

Evolução da Segurança Automóvel 1º Automóvel foi inventado por um oficial Francês de nome Capitão Nicolas-Joseph Cugnot em 1769 O primeiro automóvel a ser produzido em grande escala e cuja utilização se tornou mais banal foi o Ford Modelo T em 1908 e que chegou a vender 15 milhões de unidades

Evolução da Segurança Automóvel 1º automóvel com Cintos de Segurança apareceu em A primeira legislação sobre obrigatoriedade de utilização de cintos de Segurança surgiu na Austrália em 1971 No inicio dos anos 70 a Segurança automóvel começou a desempenhar um papel importante e surgiram os primeiros Crash Tests

Evolução da Segurança Automóvel Em 1978 a Mercedes lançou o 1º modelo a incorporar um sistema anti-bloqueio de travagem (ABS) Em 1981 a mesma marca coloca no mercado o 1º veículo com Airbag para o condutor Nos finais dos anos 80 apareceram os 1ºs alarmes para carros

A evolução da Segurança do PC GHz ou mais nos processadores4 GHz ou mais nos processadores 100 GB de disco100 GB de disco 1GB de memória RAM1GB de memória RAM InternetInternet Aplicações corporativas, totalmente interligadasAplicações corporativas, totalmente interligadas Ameaças: código mal intencionado, worms e spywareAmeaças: código mal intencionado, worms e spyware Segurança é requisito obrigatórioSegurança é requisito obrigatório 1995 Processador a 90 MHzProcessador a 90 MHz 200 MByte de disco200 MByte de disco 32 MByte de memória RAM32 MByte de memória RAM Aplicações isoladas, muito pouca dependência na conectividadeAplicações isoladas, muito pouca dependência na conectividade Ameaças: duas aplicações podem causar danos uma à outraAmeaças: duas aplicações podem causar danos uma à outra Segurança começa a ser faladaSegurança começa a ser falada 1989 NT tem um 1 ano de idade Não existe a World Wide Web TCP/IP não era, por omissão, o protocolo de comunicação Virology 101 publicado, Morris Worm tem apenas um ano Autenticação significava palavras passe 2001 NT tem 13 anos de idade Muita gente a aderir à Internet TCP/IP é o protocolo de comunicação Troca de ficheiros torna-se muito popular Autenticação significa esquema de Chave Pública

Qual é a solução? Tecnologia sozinha não vai resolver o problema Ferramentas são apenas um componente mas não o ponto final Pessoas e processos são igualmente ou mais importantes

Segurança num mundo complexo Segurança não é mais do que um processo que tenta manter seguro um sistema complexo com múltiplas entidades: Pessoas (cultura, conhecimento) Processos (procedimentos, regras) Tecnologia (hardware, software, redes) As entidades interagem entre si das mais diferentes e imprevisíveis formas A Segurança falha se nos concentrarmos em parte do problema

Segurança é importante? O custo de implementar medidas de segurança não é trivial; no entanto, é uma pequena fracção do custo real de um incidente de segurança.

Quanta Segurança? Determinar a segurança adequada considerando: Ameaças que estão a enfrentar Estar preparado para aceitar riscos O valor dos bens Não esquecer de considerar custos administrativos ou valores perdidos em desempenho e utilização Segurança absoluta é inatingível Numa boa solução: Apenas a pessoa certa tem acesso em qualquer momento à informação certa, com o melhor desempenho e ao mais baixo custo possível Segurança Produtividade Custo Existe sempre um intercâmbio entre segurança, custo e produtividade

Os bens para proteger Dados Números de cartão de crédito Planos de Marketing Código fonte Informação sobre Salários Serviços Web sites Acesso à Internet Controladores de Domínio Sistemas ERP Comunicações Inícios de sessão Transacções/ Pagamentos Cópia de um plano estratégico Enviar uma mensagem

Quais são as ameaças? Ameaças à Segurança Desastres Naturais (Inundações, Sismos, Furacões) Humanos Não Maliciosos (Empregados ignorantes ou mal informados) Maliciosos Empregados Internos desgostosos ou revoltados Pessoas externas como Hackers, criminosos, concorrência ou governos

Quais os principais motivos? Motivos pessoais Retaliar ou vingar-se Declaração politica ou terrorismo Pregar uma partida Exibicionismo Aproveitamento Económico Roubar informação Chantagem Fraude Financeiro Provocar danos Alterar, corromper ou apagar a informação Paragem de um serviço Denegrir a imagem pública

Quais são os métodos? Fazer o Crack das Palavras Passe Vírus Cavalos de Tróia Worms Ataques de Paragem de Serviço Impersonificação de s Repetição de pacotes de rede Modificação de pacotes de rede Engenharia Social Ataques de intrusão Spoofing da rede Apoderar da Sessão São apenas exemplos, muitos mais métodos são possíveis

Quais são as Vulnerabilidades? Tecnologia Planos, Politicas & procedimentos O factor humano Produtos têm poucas funcionalidades de Segurança Produtos têm bugs Várias situações não são endereçadas pelos standards técnicos Desenhado a pensar na Segurança Funções e responsabilidades Auditar, Identificar, fazer o seguimento Planos de Emergência Manter-se actualizado Falta de conhecimento Falta de empenho Erros Humanos

Plataforma de Protecção Dados Serviços Comuni- cações Prevenção Detecção Reacção Tecnologia Planos, Politicas & procedimentos O factor humano Aproveitamento Económico Provocar danos Motivos pessoais

A visão da Segurança… Estabelecer confiança nas Tecnologias de Informação para a realização do seu potencial num mundo interligado

Interacção aberta, transparente com clientes Liderança na Industria Adesão aos Open Standards Previsível, consistente e disponível Fácil de configurar e gerir ResilienteRecuperável Colocado à prova Seguro contra ataques Proteger a confidencialidade, integridade dos dados e sistemas Capacidade de Gestão Proteger contra comunicação indesejada Controle de informação privada Produtos e serviços online com princípios correctos Boas Práticas Segurança Privacidade Confiança

Uma plataforma Segura reforçada por produtos e serviços seguros e orientação para manter os clientes seguros Excelência no fundamental Inovações Conteúdos e ferramentas em cenários Resposta a incidentes Informação e educação Colaboração e parceria Ênfase na Segurança Estratégia Investimentos em em Tecnologia Tecnologia Orientação Prescritiva ParceriaComIndústria

Ciclo de vida de desenvolvimento Centro de resposta de Segurança Melhores actualizações e ferramentas Segurança: Básico/Fundamental Desenho Segurança Desenvlvimen Seguro Revisão Final Segurança Teste Segurança

* Até 31 Augusto de 2005 Boletins desde lançamento TwC Service Pack 3 Boletins do período anterior Dias depois do produto disponibilizado 2003 Lançamento 31/05/2001 Lançamento 17/11/ Dias depois do produto disponibilizado Dias depois do produto disponibilizado 69 Lançamento 29/11/2000 Lançamento 28/ Boletins Importantes + Críticos emitido depois do produto disponibilizado Apostar na qualidade…

Microsoft Baseline Security Analyzer 2.0 Microsoft Update Actualizações Automáticas Avanços na actualização de Software Utl Doméstico Pequena Empresa Média Empresa Grande Empresa

Fonte: Boletins de Segurança dos fornecedores até 30/9/ Jul20Agosto69 Totais: Microsoft = 32 Red Hat = Jun e Setembro Abril Maio Visão da Industria Vulnerabilidades corrigidas em boletins em 2005 Windows Server 2003 vs. Red Hat Enterprise Linux 3 Windows Server 2003 vs. Red Hat Enterprise Linux 3

Servidor Web e Base de Dados Vulnerabilidades Servidor Web Windows Server 2003 Red Hat Minimo Red Hat Normal AltaOutras Visão da Industria Alta Outras WS 2003/ SQL Server Red Hat/ MySQL Red Hat/ Oracle Vulnerabilidades Servidor Base de Dados

Windows Services Hardening Windows Firewall Protecção contas de utilizadores Arranque Seguro IPSec

Orientação Prescritiva Actualizações Segurança Formações Segurança Consciencialização e informação

Cumprimento da Lei Alertar Utilizadores Domésticos Organismos Locais Parceria com a Industria

Programa de Segurança para Governos Acesso ao código fonte do Windows por parte do Governo 62 países Africa do Sul, Austrália, Áustria, Bulgária, China, Finlândia, NATO, Noruega, Portugal, Rússia, Taiwan, Turquia, UK Objectivos Primários Transparência Maior confiança Parceria

Restritiva CoreComplementar Permissiva WiX WTL FlexWiki License Value IronPython Starter Kits Rotor Iniciativa Shared Source Partilha do código fonte 1,500,000 programadores Diferentes tipos de licenças

As organizações utilizam o Shared Source para… Citigroup – Windows Enterprise Desenvolvimento e resolução de problemas de uma aplicação UBS - Windows Enterprise Auditorias de Segurança e desenvolvimento de aplicações Phil Webster, cSwing – Windows MVP Ajuda na comunidade MIPS – CE Premium Melhorar o serviço de suporte Universidade de Pisa, Italia Investigação avançada e utilização na sala de aula

Desenvolvimento de código seguro Aplicar padrões de criação e programação de segurança Ferramentas para eliminar falhas de código: PREfast, FxCop, /GS Switch, AppVerifier, entre outras Monitorizar e bloquear novas técnicas de ataque

Colaboração Descobrir vulnerabilidades no software Divulgar de forma responsável Colaboração com entidades competentes

Investigadores de Segurança Descobrir vulnerabilidades Colaborar para corrigir vulnerabilidades Divulgação com responsabilidade Menos investigadores divulgão de forma irresponsável, melhoramento contínuo Programadores de exploração Re-engenharia dos Patches e código pós- exploração na Web Criar um consenso na comunidade de que a divulgação não é boa Oferecer ajuda Mais especialistas da indústria estão a protestar contra os códigos de exploração Criadores de Worms Hacker usam worms com código pós-exploração e kits de ferramentas de worms Trabalhar junto com a polícia Auxiliando no trabalho técnico Duas prisões relacionadas com Blaster worm O Processo de Exploração O que a Microsoft está a fazer Resultados:

O que estamos a fazer ? Disponibilidade de software para utilização por parte de alunos e professores. Salas Microsoft na Universidade Disponibilização das sources Windows

Guias e Formação Parcerias ( utilizadores) Millennium BCP ( ) TVCabo ( ) Formação Promoções para clientes e parceiros Roadshow por todo o país Web site de Segurança 20,000 Unique users mensais 42,000 Page Views Iniciativas locais Formar e informar o maior número de utilizadores possível

Uma plataforma Segura reforçada por produtos e serviços seguros e orientação para manter os clientes seguros Excelência no fundamental Inovações Conteúdos e ferramentas em cenários Resposta a incidentes Informação e educação Colaboração e parceria Conclusão Estratégia Investimentos em em Tecnologia Tecnologia Orientação Prescritiva ParceriaComIndústria

© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.