Compromiso de Microsoft con la Seguridad Los recientes Virus y ataques en Internet resaltan el riesgo de los usuarios, y demuestra el compromiso que deben tener las compañías para enfrentar este reto Microsoft tiene un compromiso especial, en brindar seguridad a sus usuarios y en garantizar el comercio seguro Microsoft mantiene seguros a sus usuarios
Alto riesgo Código Hostil Virus Worms “Gusanos” Trojanos Negación de Servicios Ataques a servidores Web Interceptación y robo de información Suplantación Spam (Gp:) Métodos comunes de ataque
Riesgos nuevos: Nimda, Code Red Nimda: Se esparce por navegar en paginas infectadas y abrir correos infectados Code Red: Infecta servidores Web, Escala privilegios Otros: Negación de servicios, Spam Quienes sobrevivieron a Nimda y Code Red: Organizaciones que estaban actualizadas en patches y security fixes. Organizaciones que “Bloquearon” sus sistemas con herramientas como IIS LockDown. Microsoft tiene la obligación de tomar medidas proactivas en seguridad
Seguridad en un mundo complejo La seguridad necesita una estrategia compuesta de: Procesos (procediminetos, manuales) Tecnologia (hardware, software, redes) Personas (cultura, conocimiento) La seguridad fallara si solo nos enfocamos en una parte del problema La tecnologia no es problema ni la solucion absoluta.
Microsoft y su esfuerzo en el area de seguridad Strategic Technology Protection Program (STPP) Programas a corto y largo plazo. Informacion especifica a seguir. Proceso: Guias de Arquitectura de seguridad Tecnologia: Esfuerzos especificos de Microsoft Personas: Guias de seguridad Servicios de Microsoft
Guia de arquitectura de seguridad Microsoft ha entendido la necesidad de proveer guías de seguridad especificas a cada producto. Guias de seguridad: Guias de comercio en Internet, Seguridad y Firewall Guias de seguridad para Windows 2000, IIS, ISA, redes en general
Linea de Tiempo 1988 1997 1999 (Gp:) El desarrollo de Windows NT comienza con la seguridad como meta principal
(Gp:) Formacion de la fuerza de trabajo de seguridad en Microsoft Equipos de diferentes compañias trabajando para obtener recomendaciones y mejores practicas Reconocimiento al ser la primera compañia en el mundo en entregar guias de creacion de software seguro
(Gp:) Equipo de respuesta de seguridad Microsoft Inicia Se construye una marco de trabajo sobre seguridad Microsoft Framework
(Gp:) Creacion de la iniciativa de seguridad Windows (SWI) Mejoramiento del capitulo de construcion de software seguro
2002 (Gp:) Los Clientes estan obteniendo los productos mas seguros posibles
(Gp:)
Seguridad de Windows Prioridad
Cuatro puntos clave Educacion Herramientas Procesos Pruebas
Educacion Meta Enviar la mejor informacion acerca de construir componentes seguros a nuestro grupo de ingenieros. Metodos “Escribiendo codigo seguro” Fundamentos de seguridad Laboratorios de codigo seguro Presentaciones en vivo y en Linea Manual de Ingenieria de Windows Mejorando MSDN & Kits de desarrollo SDK Ejemplos y plantillas “Disparen al Bug” Alianzas externas Educacion
Herramientas Meta Usar herramientas de uso diario, procesos de desarrollo y prueba para encontrar Bugs potenciales. Metodos Herramientas de analisis de Fuente avanzadas PREfix/PREfast Mejoras en los compiladores de Visual C++ .NET /GS opciones de compilador Herramientas especificas de Dominio Herramienta de ataque de RPC Herramientas de modelado Herramientas de chequeo en tiempo de ejecucion Herramientas
Procesos Meta Implementar procesos que nos permitan aprender de nuestros errores y los de los demas, y mantener practicas seguras en nuetras rutinas diarias. Metodos Mejoras End-To-End Analisis de tendencias Chequeos por SWI Requerimientos de firma de codigo Entrevistas y cuestionarios Revisiones a nivel de componente Retroalimentacion de errores Monitoreo de problemas Procesos
Pruebas Meta Detectar fallas por medio de procesos de QA que incluye expertos internos y externos. Metodos Procesos automaticos de prueba Guias de pruebas de seguridad Equipos de auditoria de codigo interno Pruebas de penetracion y auditoria Trabajo de evaluacion de temas comunes Pruebas
| Página siguiente |