Government Security Director Bad Godesberg, den 23. Juni 2009
20
Ein Grußwort von Gerold Hübner Government Security Director Microsoft Corporation Bad Godesberg, den 23. Juni 2009
Transcript of Government Security Director Bad Godesberg, den 23. Juni 2009
Ein Grußwort vonGerold HübnerGovernment Security DirectorMicrosoft Corporation
Bad Godesberg, den 23. Juni 2009
15 Jahre – eine lange Zeit in der IT!Grundschutz ist wichtiger denn je!
Angriff und Verteidigung sehen heute anders aus!
Defacements Worms Botnets
Defacements Worms Botnets Targeted Attacks
Incident Categories
Label Used in SIR Definition Maps to datalossdb.org BreachType
Stolen equipment Stolen computers, disks, tapes or documents Starts with “stolen”
“Hack” Reported as some type of computer intrusion where the data is not available to the public
Hack
Lost equipment Reported as lost computers, disks, tapes or documents
Starts with “lost”
Accidental Web Accidental exposure on a Web site, available to the public with a Web browser
Web
Fraud Frauds and scams, perpetrated by insiders or outsiders; this includes disputed cases , on
which we take no position
Starts with “fraud”
Snail mail Information exposed by physical mail, eitherthe wrong recipient or data visible outside the
envelop
Snail mail
E-Mail E-Mail sent to an unintended/unplannedrecipient
Disposal Improper disposal of any sort Starts with “disposal”
Malware Malware was blamed Virus
Missing A laptop or laptops gone missing without explanation
Starts with “missing”
Study of publicly reported security breaches worldwide Hacking and viruses less than 20% of all notifications in 2H0850% of breaches in 2H08 resulted from stolen equipment
Security breach incidents by type, expressed as percentages of the total, 2H07-2H08
0%
10%
20%
30%
40%
50%
2H07
1H08
2H08
IT-Landschaften werden immer größer und undurchschaubarerBetrieb von IT-Produkten erfordert immer mehrFachwissenSelbst Fachleute können kaum noch nachvollziehen was “unter der Haube” passiertUnprofessionalität in der IT wird teuer!
Und: Das BVerfG (2 BvC 3/07 vom 3.3.2009) steuert schon gegen -lässt keine Wahlcomputer zu, wenn „Wahlhandlung und Ergebnisermittlung [nicht] zuverlässig und ohne besondere Sachkenntnis überprüft werden können.“
Ganzheitliche, strukturierteVorgehensweiseProzesse als Regelkreise-> plan – do – check - actÜberprüfbarkeit, NachvollziehbarkeitAutomatisierung wo immer möglichIT-Produkte und Guidance aufeinanderabgestimmtKosten-Nutzen Optimierung
… auch von MicrosoftKeine Konkurrenz -> Ergänzung!Dokumentiert die Wichtigkeit und Erforderlichkeit von Guidance
Network SecurityMicrosoft Forefront Integration Kit for Network Access ProtectionSecuring Wireless LANs with Certificate ServicesSecuring Wireless LANs with PEAP and PasswordsThe Secure Access Using Smart Cards Planning GuideThe Security Monitoring and Attack Detection Planning GuideImplementing Quarantine Services with Microsoft Virtual Private Network Planning GuideServer and Domain Isolation Using IPsec and Group Policy Guide
Security ManagementFundamental Computer Investigation Guide for WindowsRegulatory Compliance Planning GuideMOF Service Management Functions: Security ManagementSecurity Risk Management Guide
Identity and Access ManagementMicrosoft Identity and Access Management Series
Client Security2007 Microsoft Office Security GuideMalware Removal Starter Kit: How to Combat Malware Using Windows PEData Encryption Toolkit for Mobile PCsWindows Vista Security GuideApplying the Principle of Least Privilege to User Accounts on Windows XPWindows XP Security Guide
Server SecurityWindows Server 2008 Security GuideThe Services and Service Accounts Security Planning GuideWindows Server 2003 Security GuideThreats and Countermeasures GuideThe Antivirus Defense-in-Depth GuideThe Administrator Accounts Security Planning Guide
Access Policy Management: Authorizing for AccessAchieving Compliance with Access ControlBuilding an Enterprise Root Certification Authority in Small and Medium BusinessesConfiguring and Troubleshooting Certificate Services Client-Credential RoamingCore PKI Services: Authentication, Integrity, and ConfidentialityDeploying Authenticode with Cryptographic Hardware for Secure Software PublishingFundamental Concepts: Chapter 3: Microsoft Identity and Access Management TechnologiesHow To: Configure Memory Protection in Windows XP SP2How To: Configure Windows XP SP2 Network Protection Technologies in an Active Directory EnvironmentIdentity and Access Management Solution White PaperInternal Firewall DesignMicrosoft Windows 2000 Security Hardening Guide
Microsoft Windows Access ControlPerimeter Firewall DesignResponding to IT Security IncidentsSecuring Active Directory Administrative Groups and AccountsSecuring Exchange 2000 Servers Based on Role
Checklist: Securing Your Exchange Server Based on Role
Securing Exchange CommunicationsChecklist: Securing Exchange Communications
Securing a Windows Server 2003 ServerSecuring Your Exchange Environment
Checklist - Securing Your Exchange Environment
Smart CardsSystem Integrity: Ensuring IntegrityTrustworthy Identity: Strong Authentication and Credential ManagementUpdate Management ProcessWindows Platform Common CriteriaCertification
Best Practice Guidance für den gesamten IT-LifecycleITIL-ImplementierungGanzheitlicher und nachhaltiger AnsatzDrei Phasen Model –verbunden durch “Management-Klammer”:
PlanungsphaseAusrollphaseBetriebsphase
www.microsoft.com/mof
Management
• TÜViT und Microsoft starten gemeinsameGrundschutz-Initiative
• Ziel: Behörden beimEinstieg in Grundschutzzu unterstützen
„Die jahrelange Anwendung der TÜViT/MS-Assessmentmethodik im Behördenumfeld hat einen messbaren Beitrag zur Sensibilisierung der öffentlichen Hand für die Informationssicherheit geleistet. Schwachstellen wurden erkannt, IS-Prozesse etabliert und -Maßnahmen eingeleitet. Nennenswerte BSI-Zertifikate resultieren direkt oder indirekt aus den o.a. Aktivitäten“
Hr. Antonius Sommer, TÜViT (Juni 2009)
Erfolg der “vereinfachtenAssessmentmethodik” indiziert die Flexibilität und Anwendbarkeit derGrundschutzmethode in der Praxis.Das Potenzial ist noch lange nichtausgeschöpf!Wie haben gerade einen Versuch zurAutomatisierung gestartet:
System Center Configuration Manager (SCCM) ist ein Administrationstool von Microsoft.Die Idee: SCCM überwacht die Umsetzung von GrundschutzmaßnahmenPartner Fa. Logica hat exemplarisch 20 BSI Maßnahmen in SCCM 2007 integriert. Die Umsetzung erfolgt über Registry Abfragen, VB Scrips, Dateisystemabfragen und WMI Abfragen. Aus den 20 Maßnahmen leiten sich 625 Regeln ab.Die Regeln sind in XML Dateien abgelegt.Admin hat so immer im Blick, welche Maßnahmen auf welchem PC umgesetzt sind.Durch offene Schnittstellen kann dies auch heterogen genutzt werdenBeispiel:
M 4.277 Absicherung der SMB-, LDAP- und RPC-Kommunikation unter Windows Server 2003 http://www.bsi.de/gshb/deutsch/m/m04277.htmAktuelle Liste aller Regelwerke incl. Partner: http://technet.microsoft.com/en-us/configmgr/cc462788.aspx
19
© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
