Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

22
Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH

Transcript of Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Page 1: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Keynote Frank FischerManager TechnologieberaterMicrosoft Deutschland GmbH

Page 2: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Keynote

Frank FischerManager TechnologieberaterMicrosoft Deutschland [email protected]

Thomas Caspers

Bundesamt für Sicherheit im der Informationstechnik

Page 3: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

http://www.thedailywtf.com/forums/65974/ShowPost.aspx

Page 4: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Agenda

Sicherheit – Wo stehen wir heute? Aus deutscher Sicht

Thomas Caspers, Bundesamt für Sicherheit in der Informationstechnik

Aus Sicht MicrosoftHeute - Morgen

Page 5: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Um was geht es? Um Alles.

Hardware

App.Plattf.

Applikation

Benutzer

Kom

mu

nik

atio

n

Beispiele:PhishingSQL InjectionBuffer OverflowSniffing„Ping of Death“…

Page 6: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.
Page 7: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Zwei Zeilen Code…(Blaster) Zwei Zeilen C Code in RPCSS

(Siehe Vortrag von Dirk Primbs) Führten zu…

>1,500,000 infizierten Rechnern (AUA!!) >3.300.000 Support-Anrufen im Sept. 2003

(Vergleich: Ein “normaler” Virus zu 350.000) Viel negativer Presse

“This [is] going to raise the level of frustration to the point where a lot of organizations will seriously contemplate alternatives to Microsoft.” Gartner

"There's definitely caution warranted here. [Microsoft's security] efforts were sincere, but I am not sure if they were sincere enough." Forrester

Der SpiegelDer Spiegel

Page 8: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

SANS NewsBites Vol3/19 (2001)Steve Ballmer, Microsoft's CEO, walked into a meeting with a dozen customers a few days ago and said disgustedly, "You would think we couldfigure out how to fix buffer overflows by now." …Steve is right about buffer overflows. Enough is enough. It is time to bring accountability to the programming profession. We hope thatMicrosoft will take the lead, guaranteeing all its internal programmers get basic secure programming skills training and that the company helps train developers outside of Microsoft. …Programmers have been taught simple tests to avoid buffer overflows at least since 1960.Some of them have forgotten the basics. It's time to give them a reasonto remember.

Page 9: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Was sollte man von Microsoft erwarten dürfen…

Eine Anleihe von Dr. Jürjens, TU München

Page 10: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Es war mal eine Mail…

Page 11: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

…die Idee…

Page 12: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

SDSD33 + Communications + Communications

Klare Aussage zu SecurityKlare Aussage zu SecurityHervorragende DokumentationHervorragende DokumentationMicrosoft Security Response Center Microsoft Security Response Center

Einige einfache Grundregeln

Secure Secure by Designby Design

Secure Secure by Defaultby Default

Secure in Secure in DeploymentDeployment

CommunicationsCommunications

Sichere ArchitekturSichere Architektur““Threat Modeling”Threat Modeling”Verbessern der Code-QualitätVerbessern der Code-Qualität

Veringern der AngriffsoberflächeVeringern der AngriffsoberflächeNicht verwendete Features ausschaltenNicht verwendete Features ausschaltenAuf minimale Privilegien achtenAuf minimale Privilegien achten

Schützen, entdecken, verteidigen, Schützen, entdecken, verteidigen, erholen, verwaltenerholen, verwaltenProzess: “How to’s”, ArchitekturleitlinienProzess: “How to’s”, ArchitekturleitlinienMenschen: TrainingMenschen: Training

Page 13: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Fortschritte ??

4242

1313

365365

Page 14: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Change Management

Work Item Tracking

Reporting

Project Site

Visual Studio

Team Foundation

Integration Services

Project Management

Pro

cess

an

d A

rch

itect

ure

Pro

cess

an

d A

rch

itect

ure

G

uid

an

ceG

uid

an

ce

Vis

ual S

tud

io In

du

stry

V

isu

al S

tud

io In

du

stry

Part

ners

Part

ners

Dynamic Code Analyzer

Visual Studio

Team Architect

Static Code Analyzer

Code Profiler

Unit Testing

Code Coverage

Visio and UML Modeling

Team Foundation Client

Visual Studio 2005 Professional

Class Modeling

Load Testing

Manual Testing

Test Case Management

Application Modeling

Logical Infra. Modeling

Deployment Modeling

Visual Studio

Team DeveloperVisual Studio

Team TestApplication Modeling

Logical Infra. Modeling

Deployment Modeling

Class Modeling

Visual Studio Modeler…

Page 15: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

In Zukunft… Richtung End-User

Project Strider (MS Research)http://research.microsoft.com/csm/

Richtung ToolsProject Gleipnirhttp://research.microsoft.com/research/sv/Gleipnir/

Richtung Malware-DefenseProject Shieldhttp://research.microsoft.com/research/shield/

Page 16: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Praxis-Beispiel: SDL und MSN

Implement

Test

Design

SDL

Stage

ManageDeploy

“Build it”

“Run it”

Page 17: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Stage Einbindung des Op-Teams Abarbeiten des

dokumentierten Veröffentlichungsprozesses

Physisch und logisch getrennt vom Live-System

Keine Live-Daten “Verbiete alles was nicht

explizit erlaubt ist”

Manage

Stage

Deploy

Page 18: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Deploy Integrität des Codes wird

überwacht Sicherheitsanforderungen der

Plattform werden umgesetzt Strenge Umsetzung der

Prozessvorgaben Inventarisierung komplett

Manage

Stage

Deploy

Page 19: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Manage Werkzeuge Fernverwaltung Überwachung der Systeme Support Incident Response Center Patch-Management Least privilege

Manage

Stage

Deploy

Page 20: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Lesestoff

Page 21: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Wie geht es weiter…

Page 22: Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Ihr Potenzial. Unser Antrieb.