Keynote Frank FischerManager TechnologieberaterMicrosoft Deutschland GmbH

Keynote

Frank FischerManager TechnologieberaterMicrosoft Deutschland GmbHFrank.Fischer@microsoft.com

Thomas Caspers

Bundesamt für Sicherheit im der Informationstechnik

http://www.thedailywtf.com/forums/65974/ShowPost.aspx

Agenda

Sicherheit – Wo stehen wir heute? Aus deutscher Sicht

Thomas Caspers, Bundesamt für Sicherheit in der Informationstechnik

Aus Sicht MicrosoftHeute - Morgen

Um was geht es? Um Alles.

Hardware

App.Plattf.

Applikation

Benutzer

Kom

mu

nik

atio

n

Beispiele:PhishingSQL InjectionBuffer OverflowSniffing„Ping of Death“…

Zwei Zeilen Code…(Blaster) Zwei Zeilen C Code in RPCSS

(Siehe Vortrag von Dirk Primbs) Führten zu…

>1,500,000 infizierten Rechnern (AUA!!) >3.300.000 Support-Anrufen im Sept. 2003

(Vergleich: Ein “normaler” Virus zu 350.000) Viel negativer Presse

“This [is] going to raise the level of frustration to the point where a lot of organizations will seriously contemplate alternatives to Microsoft.” Gartner

"There's definitely caution warranted here. [Microsoft's security] efforts were sincere, but I am not sure if they were sincere enough." Forrester

Der SpiegelDer Spiegel

SANS NewsBites Vol3/19 (2001)Steve Ballmer, Microsoft's CEO, walked into a meeting with a dozen customers a few days ago and said disgustedly, "You would think we couldfigure out how to fix buffer overflows by now." …Steve is right about buffer overflows. Enough is enough. It is time to bring accountability to the programming profession. We hope thatMicrosoft will take the lead, guaranteeing all its internal programmers get basic secure programming skills training and that the company helps train developers outside of Microsoft. …Programmers have been taught simple tests to avoid buffer overflows at least since 1960.Some of them have forgotten the basics. It's time to give them a reasonto remember.

Was sollte man von Microsoft erwarten dürfen…

Eine Anleihe von Dr. Jürjens, TU München

Es war mal eine Mail…

…die Idee…

SDSD33 + Communications + Communications

Klare Aussage zu SecurityKlare Aussage zu SecurityHervorragende DokumentationHervorragende DokumentationMicrosoft Security Response Center Microsoft Security Response Center

Einige einfache Grundregeln

Secure Secure by Designby Design

Secure Secure by Defaultby Default

Secure in Secure in DeploymentDeployment

CommunicationsCommunications

Sichere ArchitekturSichere Architektur““Threat Modeling”Threat Modeling”Verbessern der Code-QualitätVerbessern der Code-Qualität

Veringern der AngriffsoberflächeVeringern der AngriffsoberflächeNicht verwendete Features ausschaltenNicht verwendete Features ausschaltenAuf minimale Privilegien achtenAuf minimale Privilegien achten

Schützen, entdecken, verteidigen, Schützen, entdecken, verteidigen, erholen, verwaltenerholen, verwaltenProzess: “How to’s”, ArchitekturleitlinienProzess: “How to’s”, ArchitekturleitlinienMenschen: TrainingMenschen: Training

Fortschritte ??

4242

1313

365365

Change Management

Work Item Tracking

Reporting

Project Site

Visual Studio

Team Foundation

Integration Services

Project Management

Pro

cess

an

d A

rch

itect

ure

Pro

cess

an

d A

rch

itect

ure

G

uid

an

ceG

uid

an

ce

Vis

ual S

tud

io In

du

stry

V

isu

al S

tud

io In

du

stry

Part

ners

Part

ners

Dynamic Code Analyzer

Visual Studio

Team Architect

Static Code Analyzer

Code Profiler

Unit Testing

Code Coverage

Visio and UML Modeling

Team Foundation Client

Visual Studio 2005 Professional

Class Modeling

Load Testing

Manual Testing

Test Case Management

Application Modeling

Logical Infra. Modeling

Deployment Modeling

Visual Studio

Team DeveloperVisual Studio

Team TestApplication Modeling

Logical Infra. Modeling

Deployment Modeling

Class Modeling

Visual Studio Modeler…

In Zukunft… Richtung End-User

Project Strider (MS Research)http://research.microsoft.com/csm/

Richtung ToolsProject Gleipnirhttp://research.microsoft.com/research/sv/Gleipnir/

Richtung Malware-DefenseProject Shieldhttp://research.microsoft.com/research/shield/

…

Praxis-Beispiel: SDL und MSN

Implement

Test

Design

SDL

Stage

ManageDeploy

“Build it”

“Run it”

Stage Einbindung des Op-Teams Abarbeiten des

dokumentierten Veröffentlichungsprozesses

Physisch und logisch getrennt vom Live-System

Keine Live-Daten “Verbiete alles was nicht

explizit erlaubt ist”

Manage

Stage

Deploy

Deploy Integrität des Codes wird

überwacht Sicherheitsanforderungen der

Plattform werden umgesetzt Strenge Umsetzung der

Prozessvorgaben Inventarisierung komplett

Manage

Stage

Deploy

Manage Werkzeuge Fernverwaltung Überwachung der Systeme Support Incident Response Center Patch-Management Least privilege

Manage

Stage

Deploy

Lesestoff

Wie geht es weiter…

Ihr Potenzial. Unser Antrieb.