Asegúr@IT IV - Microsoft y Seguridad

2.746 visualizaciones

Publicado el

Charla impartida por Héctor Sánchez Montenegro el día 27 de Octubre de 2008 en Getafe (Madrid), dentro de la conferencia Asegúr@IT IV sobre los avances y preocupaciones de Microsoft en temas de seguridad informática.

Publicado en: Tecnología
0 comentarios
2 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
2.746
En SlideShare
0
De insertados
0
Número de insertados
1.009
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
2
Insertados 0
No insertados

No hay notas en la diapositiva.
  • Asegúr@IT IV - Microsoft y Seguridad

    1. 1. Construcción Segura de Tecnología Hector Sanchez Montenegro National Technology Officer Microsoft Ibérica
    2. 2. Los 10 peores trabajos del mundo <ul><li>USA Today. Popular Science. </li></ul><ul><ul><li>http://www.usatoday.com/tech/science/2007-06-10-popular-science_N.htm#uslPageReturn </li></ul></ul>
    3. 3. Di conmigo: “Nunca me quejaré de mi trabajo”
    4. 4. <ul><li>LANs </li></ul><ul><li>Primeros Virus PC </li></ul><ul><li>Virus Boot sector </li></ul><ul><li>Crear notoriedad </li></ul><ul><li>Lenta propagación </li></ul><ul><li>Era Internet </li></ul><ul><li>Virus Macro </li></ul><ul><li>Virus Script </li></ul><ul><li>Crear notoriedad </li></ul><ul><li>Rápida Propagación </li></ul><ul><li>Banda Ancha </li></ul><ul><li>Spyware, Spam </li></ul><ul><li>Phishing </li></ul><ul><li>Botnets </li></ul><ul><li>Rootkits </li></ul><ul><li>Motivos Financieros </li></ul><ul><li>Impacto de Internet </li></ul><ul><li>Hyper jacking </li></ul><ul><li>Peer to Peer </li></ul><ul><li>Ingeniería Social </li></ul><ul><li>Vuln. Aplicaciones </li></ul><ul><li>Motivos Financieros </li></ul><ul><li>Ataques Dirigidos </li></ul>
    5. 5. Lección 1 – La evaluación de productos es buena práctica <ul><li>El análisis y el escrutinio externo, beneficia a los usuarios </li></ul><ul><li>Creemos en ello: </li></ul>+ Hyper-V en EAL4+ Producto EAL Certificate Server 2003 EAL4+ Exchange Server 2003 Enterprise Edition EAL4+ Groove Workspace EAL2+ Internet Security and Acceleration Server 2004 EAL4+ Internet Security and Acceleration Server 2004 Edition & Service Pack 2 EAL4+ ISA Server 2000 with Service Pack 1 and Feature Pack 1 EAL2+ SQL Server 2005 Database Engine Edition (English) SP1 EAL1 Windows 2000 Professional Server & Advanced Server EAL4+ Windows 2003 and Microsoft Windows XP EAL4+ Windows 2003/XP with x64 Hardware Support EAL4+ Windows Mobile 5.0 MSFP EAL2+ Windows Mobile 6 EAL2+ Windows Rights Management Services (RMS) 1.0 SP2 EAL4+ Windows Server 2003 and Microsoft Windows XP EAL4+ Windows Server 2003 Certificate Server EAL4+ Windows Server 2003 SP2 including R2 Standard, Enterprise & Itanium Editions, EAL4+ Windows XP Professional SP2 & x64 SP2, Windows XP Embedded SP2 EAL4+ Producto EAL Internet Security and Acceleration Server 2006 EAL4+ Windows Mobile 6.1 EAL2+ SQL Server 2005 SP2 Database Engine EAL4+ Exchange Server 2007 SP1 x64 EAL4+ SQL Server 2008 Database Engine EAL1+ Vista SP1/Windows Server 2008 EAL1+ Vista SP1/Windows Server 2008 EAL4+ OpenXML SDK v1.0 EAL1
    6. 6. Lección 1 – La evaluación de productos es buena práctica <ul><li>Microsoft: Primera multinacional no española en someter tecnología a evaluación CC en base al Esquema de Certificación Español </li></ul>
    7. 7. <ul><li>Rights Management Services (RMS) </li></ul><ul><ul><li>SharePoint, Exchange, Windows Mobile integration </li></ul></ul><ul><li>Encrypting File System (EFS) </li></ul><ul><li>Bitlocker </li></ul>Lección 2 – Las características de seguridad son imprescindibles <ul><li>User Account Control </li></ul><ul><li>Network Access Protection (NAP) </li></ul><ul><li>IPv6 </li></ul><ul><li>IPsec </li></ul><ul><li>Windows CardSpace </li></ul><ul><li>Native smart card support </li></ul><ul><li>GINA Re-architecture </li></ul><ul><li>Certificate Services </li></ul><ul><li>Credential roaming </li></ul><ul><li>Security Development Lifecycle (SDL) </li></ul><ul><li>Kernel Patch Protection </li></ul><ul><li>Kernel-mode Driver Signing </li></ul><ul><li>Secure Startup </li></ul><ul><li>Windows Service Hardening </li></ul><ul><li>x64 Hardware Integration </li></ul><ul><li>Windows Defender </li></ul><ul><li>IE Protected Mode </li></ul><ul><li>Address Space Layout Randomization (ASLR) </li></ul><ul><li>Data Execution Prevention (DEP) </li></ul><ul><li>Bi-directional Firewall </li></ul><ul><li>Windows Security Center </li></ul>
    8. 8. <ul><li>Security Development Lifecycle (SDL) </li></ul><ul><li>Windows Server Virtualization (Hypervisor) </li></ul><ul><li>Role Management Tool </li></ul><ul><li>OS File Integrity </li></ul><ul><li>Network Access Protection (NAP) </li></ul><ul><li>Server and Domain Isolation with IPsec </li></ul><ul><li>End-to-end Network Authentication </li></ul><ul><li>Windows Firewall With Advanced Security </li></ul><ul><ul><li>On By Default </li></ul></ul>Lección 2 – Las características de seguridad son imprescindibles <ul><li>Read-only Domain Controller (RODC) </li></ul><ul><li>Active Directory Federation Services (ADFS) </li></ul><ul><li>Administrative Role Separation </li></ul><ul><li>PKI Management Console </li></ul><ul><li>Online Certificate Status Protocol </li></ul><ul><li>Rights Management Services (RMS) </li></ul><ul><li>Full volume encryption (Bitlocker) </li></ul><ul><li>USB Device-connection rules with Group Policy </li></ul><ul><li>Improved Auditing </li></ul><ul><li>Windows Server Backup </li></ul>
    9. 9. Lección 3.- Las configuraciones adecuadas son imprescindibles NATO Accelerates Windows Vista Deployment Using the Windows Vista Security Guide Posted: 10/09/2008 As NATO prepared to migrate its desktop and laptop computers from Windows® 2000 to Windows Vista®, it needed to make choices about how to create a security baseline based on the configurable security settings in the new operating system. In the past, this process could delay the adoption of a new operating system by up to 18 months after it had been released. NATO avoided this delay by using the Windows Vista Security Guide to deploy its security baseline prior to the release of the product and to benefit from the guidance on deploying specialized security systems. La OTAN acelera la implementación de Windows Vista gracias a las guías de seguridad 10/09/2008 Habiendo decidido la OTAN migrar sus equipos de escritorio y portátil desde Windows ® 2000 a Windows Vista ®, tomó decisiones acerca de cómo crear una línea de base de seguridad de acuerdo con los parámetros configurables de este nuevo sistema operativo. En el pasado, este proceso podría retrasar la adopción de un nuevo sistema operativo hasta 18 meses después de haber sido liberado. La OTAN evita este retraso mediante la guía de seguridad de Windows Vista, para implementar su base de seguridad antes del lanzamiento del producto.
    10. 10. Socio tecnológico de la OTAN Infosec technical center (NITC) <ul><li>Government Security Program (idéntico al firmado con el CCN Español) </li></ul><ul><ul><li>Cooperación en la securización de sistemas Vista, Office e Hyper-V </li></ul></ul><ul><ul><li>http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid=4000002826 </li></ul></ul><ul><ul><li>=> Acceleración en la adopción de tecnología </li></ul></ul><ul><li>Security Cooperation Program (Idéntico al firmado en España con INTECO y CCN-CERT) </li></ul><ul><ul><li>Cooperación con NATO Computer Incident Response Capability en Cyber defence and Security Portal http://www.ncirc.nato.int/ </li></ul></ul><ul><ul><li>=> Incremento de la inteligencia y alerta en seguridad </li></ul></ul><ul><li>Clasificación de Datos </li></ul><ul><ul><li>Cooperación en la definición de estandares XML para eqtiquetado </li></ul></ul><ul><ul><li>=> Drive industry to embed security meta-data in products </li></ul></ul><ul><li>Common Criteria </li></ul><ul><ul><li>Common criteria evaluación de productos relevantes p.e. Hyper-V </li></ul></ul><ul><ul><li>Colaboración en la mejora de futuras versiones de CC </li></ul></ul><ul><ul><li>=> Security evaluations that are relevant </li></ul></ul><ul><li>SDL </li></ul><ul><ul><li>Compartición de mejores prácticas de SDL y formación </li></ul></ul><ul><ul><li>=> Émbeber SDL en la capacidad de desarrollo </li></ul></ul>
    11. 11. Lección 3.- Las configuraciones adecuadas son imprescindibles Pero …
    12. 12. Lección 4 –Evaluación y características no son suficientes <ul><li>Dos líneas de código dieron lugar al gusano “Blaster” </li></ul><ul><ul><li>Mas de 1,500,000 de sistemas infectados </li></ul></ul><ul><ul><li>3,370,000 llamadas de soporte en Sep02 (un virus normal trae 350,000) </li></ul></ul><ul><ul><li>Pánico generalizado </li></ul></ul><ul><ul><li>Presente en un producto evaluado Common Criteria EAL4+ </li></ul></ul>while (*pwszTemp != L'apos;) *pwszServerName++ = *pwszTemp++; <ul><li>¿Sabeis que es esto? </li></ul>“ Blaster”
    13. 13. Lección 5 – La seguridad efectiva requiere un proceso robusto de desarrollo <ul><li>Está bien la correción posterior pero … </li></ul><ul><li>La aproximación más efectiva es construir sobre procesos que: </li></ul><ul><ul><li>Reduzcan el número de vulnerabilidades </li></ul></ul><ul><ul><li>Que reduzcan la severidad de aquellas que no se han evitado </li></ul></ul><ul><ul><li>ANTES del lanzamiento </li></ul></ul>
    14. 14. Desarrollar software seguro requiere: Compromiso ejecutivo  SDL política obligatoria en Microsoft desde 2004 Lección 5 – La seguridad efectiva requiere un proceso robusto de desarrollo <ul><li>Formación especializada </li></ul><ul><li>Analisis de riesgos de seguridad y privacidad </li></ul><ul><li>Definir criterios de calidad </li></ul><ul><li>Modelo de Amenazas </li></ul><ul><li>Análisis de superficie de ataque </li></ul><ul><li>Especificar herramientas </li></ul><ul><li>Forzar eliminación de funciones </li></ul><ul><li>Análisis estadístico </li></ul><ul><li>Testeo Dinamico/Fuzz </li></ul><ul><li>Verificacion modelos de ataque y superficie de riesgo </li></ul><ul><li>Plan de respuesta </li></ul><ul><li>Revisión final de seguridad </li></ul><ul><li>Release archive </li></ul><ul><li>Ejecución de Respuesta </li></ul>Mejora continua del proceso  ciclos de 6 meses
    15. 15. Vulnerabilities disclosed and fixed Quarterly totals, 2000-2006** Lección 5 – La seguridad efectiva requiere un proceso robusto de desarrollo **Source: Which database is more secure? Oracle vs. Microsoft, David Litchfield, NGS Software, 21-November-2006 *Source: http://blogs.csoonline.com/blog/jeff_jones
    16. 16. Windows Vista – Primeros 12 meses http://blogs.csoonline.com/blog/jeff_jones Lección 5 – La seguridad efectiva requiere un proceso robusto de desarrollo
    17. 17. Windows Vista en 2007 <ul><li>Windows Vista en 2007 </li></ul><ul><ul><li>20% menos vulnerabilidades que Windows XP </li></ul></ul><ul><ul><li>74% menos vulnerabilidades que Ubuntu </li></ul></ul><ul><ul><li>47% menos vulnerabilidades que Red Hat </li></ul></ul>Source: http://blogs.csoonline.com/blog/jeff_jones Lección 5 – La seguridad efectiva requiere un proceso robusto de desarrollo
    18. 18. Windows Server @ 90 Dias <ul><li>RH Vulnerabilities: 95 (all), 57 (default), 38(core) </li></ul><ul><li>RH Patch Events: 18 (all), 14 (default), 14 (core) </li></ul>Source: internal study by Jeff Jones Lección 5 – La seguridad efectiva requiere un proceso robusto de desarrollo
    19. 19. Source: http://blogs.csoonline.com/blog/jeff_jones Lección 5 – La seguridad efectiva requiere un proceso robusto de desarrollo “ We actually consider Microsoft to be leading the software [industry] now in improvements in their security development life cycle [SDL].” John Pescatore Vice President and Distinguished Analyst Gartner, Inc (www.crn.com, Feb 13 th 2006)
    20. 20. <ul><li>MS08-067 </li></ul>
    21. 21. <ul><li>Liberación de procedimientos y herramientas de SDL en Noviembre 2008 </li></ul><ul><li>http://www.microsoft.com/sdl </li></ul><ul><li>SDL ProNetWork </li></ul><ul><ul><li>Socios formados por Microsoft en la aplicación intensiva de SDL </li></ul></ul><ul><li>SDL Optimization model </li></ul><ul><li>SDL Threat Modeling Tool 3.0 </li></ul><ul><ul><li>-Automation. Guidance and feedback in drawing threat diagrams </li></ul></ul><ul><ul><li>-STRIDE Framework. Guided analysis of threats and mitigations </li></ul></ul><ul><ul><li>-Integration. Bug-and issue-tracking systems </li></ul></ul><ul><ul><li>-Reporting capabilities. Security activities and testing in the verification phase </li></ul></ul>
    22. 22. Pregunta… 2001 2008 Pregunta : “…Suponemos que a lo largo de los años te habrás encontrado en más de una situación &quot;hostil&quot; a la hora de dar conferencias como responsable de seguridad de Microsoft, por ser objeto de crítica tanto por parte de ponentes (nosotros hemos participado en alguno) como de público. ¿Has observado alguna evolución en las críticas durante estos años o son recurrentes? Respuesta: “…En el 2001 me sentía que Microsoft me daba una navajita cortaúñas y me decía: Ale chaval, haz lo que puedas. Ahora sinceramente siento que la &quot;navajita cortaúñas&quot; se convirtió en un bazoca.
    23. 23. Common Criteria y proceso de desarrollo Korea-Septiembre 2008 <ul><li>Aproximación de Common Criteria al proceso de desarrollo </li></ul><ul><ul><li>Visión limitada del proceso de desarrollo </li></ul></ul><ul><ul><li>Sin control efectivo del proceso de identificación y eliminación de errores de diseño y codificación </li></ul></ul><ul><li>Evaluaciones actuales se centran en: </li></ul><ul><ul><li>Aspectos concretos del producto </li></ul></ul><ul><ul><li>Rango específico de configuraciones </li></ul></ul><ul><li>Tener en cuenta el impacto de procesos de desarrollo tales como el SDL </li></ul><ul><ul><li>Proporciona mayor seguridad para lanzamientos puntuales </li></ul></ul><ul><ul><li>Proporcionará mayor seguridad para los “parches” </li></ul></ul><ul><ul><li>Proorcionará mayorer garantias para un rango mas amplio de configuracioes </li></ul></ul><ul><li>Posibles direcciones de CC v4 son esperanzadoras! </li></ul><ul><ul><li>“ Evidence Based Approaches” </li></ul></ul><ul><ul><li>“ Predictive Assurance” </li></ul></ul>
    24. 24. Los ataques se mueven hacia la “capa de Aplicación” <ul><li>~90% explotables remotamente </li></ul><ul><li>~60% en aplicaciones WEB </li></ul>Sources: IBM X-Force, Symantec 2007 Security Reports 2004 2005 2006 2004 2005 2006 Sistemas Operativos Aplicaciones Source: Microsoft Security Intelligence Report 2007
    25. 25. El “Long Tail” de las vulnerabilidades de seguridad… Sources: IBM X-Force 2007 Security Report “ Why try to chase a difficult overflow out of Vista when you have Acrobat Reader installed, some antivirus software with shoddy file parsing, and the latest iTunes?” Halvar Flake Security Researcher Microsoft BlueHat Conference September 2007
    26. 26. www.microsoft.com/sir
    27. 27. Security Intelligence Report Data sources <ul><li>Malicious Software y Potentially Unwanted Software </li></ul><ul><ul><li>Datos de varios cientos de millones de ordenadores </li></ul></ul><ul><ul><li>MSRT tiene una base de usuarios de mas de 450 millones de ordenadores únicos </li></ul></ul><ul><ul><li>Durante segunda mitad 2007, MSRT se ejecutó 2,5 billones de veces </li></ul></ul><ul><ul><li>Desde Enero 2005 MSRT se ha ejecutado mas de 10 billones de veces </li></ul></ul>
    28. 28. Malicious y Potentially Unwanted Software Geographic distribution of malware – MSRT
    29. 29. Malicious And Potentially Unwanted Software Malware infections by operating system <ul><li>Windows Vista tiene menos malware que sus predecesores </li></ul><ul><ul><li>60.5% menos malware que Windows XP SP2 </li></ul></ul><ul><ul><li>87% menos malware que Windows XP SP1 </li></ul></ul><ul><ul><li>91% menos malware que Windows XP sin Service Packs </li></ul></ul>1H07 (Normalized) 2H07 (Normalized)
    30. 30. Malicious y Potentially Unwanted Software Infecciones de Malware por categoría <ul><li>The MSRT detectó aumentos en 5 de las 7 categorías seguidas en 2H 2007 </li></ul><ul><li>Destaca el aumento de un 300% de los Trojan downloaders y droppers </li></ul>MSRT disinfections by category, 2H05–2H07 MSRT disinfections by category, 2H05–2H07, in percentages
    31. 31. Software Vulnerability Disclosures Complejidad <ul><li>Disclosure de vulnerabilidades de alta comlejidad, permanecen a un ritmo bajo </li></ul><ul><li>En 2H07 se observa una tendencia a disminuir las vulnerabilidades de baja complejidad </li></ul>Industry-wide vulnerability disclosures by access complexity, 1H05–2H07
    32. 32. Top 10 Potentially unwanted software detections by country/region
    33. 33. Conclusion <ul><li>Nuestra experiencia: la seguridad “efectiva” no viene de una única solución “silver bullet” </li></ul><ul><ul><li>Evaluación </li></ul></ul><ul><ul><li>Características de seguridad </li></ul></ul><ul><ul><li>Procesos y Configuraciones </li></ul></ul><ul><li>Todos necesarios, pero ninguno individualmente suficiente </li></ul><ul><li>SDL ha supuesto grandes progresos en la seguridad de productos Microsoft </li></ul><ul><li>Evaluaciones de seguridad que tengan en cuenta procesos como el SDL, resultan en un software con mayores garantias </li></ul><ul><li>Prometedores desarrollos en torno al emergente Common Criteria v4 </li></ul>
    34. 34. Muchas gracias

    ×