Download - Bezpečnost platformy Microsoft &
Bezpečnost platformy Microsoft
&
Petr HartmannServer product managerMicrosoft
Význačné body na cestě k bezpečnosti17/2/2000
Windows2000
15/2/2002TrustworthyComputing
23/4/2003WindowsServer2003
25/8/2004Windows
XPSP2
31/1/2007Vista 4/5/2007
Forefront
Guidance
Developer Tools
SystemsManagement
Správa Identit
Komplexní bezpečnostní portfolio Microsoft
OchranaInformací
Edge
Klient a Server OS
Server Applications
Služby
Network Access Protection (NAP)
Encrypting File System (EFS)BitLocker™
Detekováno nechtěného SW1
Evergreen ….. Hrozby v oblasti bezpečnosti rostou
1.Windows Defender between January 1, 2007 and June 30, 20072.MSRT in 1H 20073.Exchange Hosted Services in 1H 2007 over 1H 20064.Windows Defender in 1H 2007
1:217
166%
44%
Poměr detekovaných nakažený PC malwarem vs. „uzdravených“ nástrojem MSRT2
Procentuální nárůst nakažených zpráv, které byly zachyceny EHS za období 1H 2007 ve srovnání za 1H 20063
Procentuální nárůst nakažení 25 hlavními malware programy 4
Get the Microsoft Security Intelligence Report (Jan. – June 2007) at:
http://www.microsoft.com/sir
50.7M
168% Procentuální nárůst nechtěného software - malware
Složení malware
Efektivita v odstraňování malware
AVTest.org(Září 2007)
Kaspersky 98.9%Symantec 96.8%Microsoft 96.4%Sophos 94.6%Fortinet 94.2%McAfee 93.7%Panda 90.2%Trend Micro 88.9%Norman 86.1%eTrust-VET 78.3%
AVComparatives
(Srpen 2007)Kaspersky 98.5%Symantec 98.8%McAfee 93.2%Norman 90.9%Microsoft 90.4%Fortinet 90.0%
Získána AVComparatives certifikace
FCS Ocenění &
certifikace
V testech z poslední doby se Microsoft řadí ke špičce v oblasti ochrany proti malware
Test antivirových produktů pro koncové stanice s využitím vzorku malware přibližně za
poslední tři roky
Výsledky testu 29 antivirových strojů proti více než 870 000
vzorků malware, jenž se objevili v posledních šesti měsících
Globální výzkum
Zkušení výzkumníci
původně z firem McAfee, Symantec,
Trend Micro, Computer
Associates, F-Secure a dalších
Microsoft specialisté z
oblasti security využívají best
practises
24x7 pohotovost díky laboratořím v
několika zemích
Microsoft Security Response Alliance
(MSRA)
Široký záběrMicrosoft Malicious Software Removal
Tool
Windows Defender (SpyNet)
Windows Live OneCare
Microsoft Forefront
Hotmail
Exchange Hosted Services
PSS support organization
Podněty od zákazníků
Zpětná vazbaIntegrated response
processes sbírá podnětypo celém světě
Microsoft Malware Protection Center
portal
Nabízí antivirovou
encyklopedii
Vydává security bulletin
s oznámením zazname-
naných hrozeb
Microsoft Malware Protection Centerhttp://www.microsoft.com/security/portal
• Vinny Gullotto, General Manager (Dříve Vice President v McAfee’ AVERT Labs)
• Jimmy Kuo, Senior Security Researcher (15 let zkušeností z firem McAfee a Symantec; jeden ze zakladatelů McAfee’ AVERT Labs)
• Katrin Tocheva, Microsoft European Lab Manager (F-Secure, National Laboratory of Computer Virology in Bulgarian Academy of Science)
• Jakub Kaminski, Microsoft Australian Lab Manager (15 zkušeností v oboru antivirového SW, naposledy Computer Associates)
• Joe Hartmann, Manager, US Labs (Dříve Director of Research and Response v Trend Micro)
Microsoft Malware Protection Center
Globální organizace špičkových odborníků zabývajících se výzkumem bezpečnosti zajišťující nonstop pohotovost pro případy výskytu nových
bezpečnostních hrozeb IT
Hranice sítěAplikační serveryKlient a server OS
Portofolio v oblasti antimalware• Kompletní řada produktů pro ochranu a bezpečný přístup• Integrace do stávající infrastruktury • Jednoduché nasazení, správa a analýzy• Dostatek technických informací
Remove most prevalent viruses
Remove all known
viruses Real-time antivirus
Remove all known
spywareReal-time
antispyware
Central reporting and alerting
Customization
MicrosoftForefront
ClientSecurity
MSRT Windows Defender
Windows Live Safety Center
Windows Live OneCare
IT Infrastructure Integration
Pro koncové uživatele Podnikové prostředí
Nabídka řešení anti-malware
Dříve H1 2006
Klient
Server
Edge
H2 2006 2007
Threat Management Gateway
2008 …
Stirling
GeCADGiant
Client and Server OS
Server Application
s
Edge
Jedno řešení pro ochranu proti virům a spywaruStejná technologie jako Windows Live OneCare, Windows Defender, Forefront Security for Exchange ServerHome use right
Jediná konzola pro správuSpráva klientů pomocí zásadIntegrováno do stávající infrastruktury
Jediná stránka s přehledem ohrožení a zranitelnostíPodrobné přehledyStav jednotlivých počítačů
Ochrana počítačů, notebooků i serverů proti škodlivému softwaru s jednoduchou správou a přehledem integrovaná do existující infrastruktury
Jednotná
ochrana
Jednoduchá správa
Přehled a informace
Security State Assessment
SSA Host agent:Vykoná skenování na základě definice bezpečnostní kontrolySkenování probíhá buď podle plánu, nebo na vyžádání
Bezpečnostní kontrolaDetekuje chybějící bezpečnostní aktualizacePorovnává systémovou konfiguraci proti „Security best practices“
Registry, file system, WMI, IIS metabase, SQL server, etc.
Aktualizace kontroly skrze Microsoft Update pro zajištění proti bezpečnostním průnikům & best practices
SSA poskytuje “Score” a “Severity” pro každou kontrolu:Score Value: skóre závažnostiSeverity Value: kritičnost dle MSRC pro bezpečnostní aktualizace
Reporty zobrazují výsledky SSA skenu:Reporty jsou postaveny na hlášení spravovaných klientůZobrazují míru nebezpečí s celkový risk
Nabízí kompletní pohled na útoky a průniky napříč organizací
Stanice hlásící bezpečnostní problém (malware nevyčištěn, kritický průnik)Stanice nehlásící žádný problémStanice, které se nehlásí30-denní trend
Notifikace stanic hlásící alertyOdkaz na MOM operator konzolu
Odkaz na reportyOtevře SRS reporty v prohlížeči
Security Summary
Alert Summary
Computer Summary
Malware Summary
Deployment Summary
Alert Detail
Computer Detail
Malware Detail
Alert Instance
Vulnerability Summary
Vulnerability Detail
Signature Deployment
Details
Vulnerability Instance
Malware Instance
FCS DEMO
Client and Server OS
Server Application
s
Edge
Jediný dodavatel
& jediný AV stroj
Exchange ExchangeExchange
ISA Server
SMTP Server
AA
AAA
A
AA
Single Point of Failure
Internet
škodlivý
software
Exchange
Internet
Exchange Exchange
ISA Server
SMTP Servers
A
B
C D
E
A
E
C
škodlivý
software
více dodavatelů& více AV strojů
Drahé řešeníObtížná správa
Internet
A
škodlivý
software
A
A
A
B
C
D
E
jediný dodavatel
& více AV strojů
Microsoft Antivirus
Sophos
CA VET
CA InoculateIT
Norman
Forefront security
Kaspersky Lab
AhnLab
Authentium
Virus Buster
Microsoft IT – perioda 14 dnůPříklad: Počet zachycených virů jednotlivými enginy
Viruses Caught Only By (excluding body of message viruses)
2/28 3/1 3/2 3/3 3/4 3/5 3/6 3/7 3/8 3/9 3/10 3/11 3/12 3/13
Engine A 1 1 1 0 0 0 1 1 0 0 0 0 0 0
Engine B 3 1 1 2 1 2 5 3 0 1 2 1 1 0
Engine C 0 1 1 0 0 0 0 1 2 1 1 0 0 2
Engine D 3 2 2 3 0 1 1 0 4 0 0 0 0 0
Engine E 1 2 2 0 0 0 1 0 0 1 0 0 0 0
0
1
2
3
4
5
6
28.2.
2006
1.3.
2006
2.3.
2006
3.3.
2006
4.3.
2006
5.3.
2006
6.3.
2006
7.3.
2006
8.3.
2006
9.3.
2006
10.3.
2006
11.3.
2006
12.3.
2006
13.3.
2006
Engine A
Engine B
Engine C
Engine D
Engine E
Unikátně zachycené viryza periodu 14 dnů
Engine A: 5 Engine B: 23 Engine C: 9 Engine D: 16 Engine E: 7
Příklad: Počet nezachycených virů jednotlivými enginy A
Viruses Not Caught By (excluding body of message viruses)
2/28 3/1 3/2 3/3 3/4 3/5 3/6 3/7 3/8 3/9 3/10 3/11 3/12 3/13
Engine A 19 21 23 25 14 19 22 17 17 15 17 10 9 10
Engine B 18 16 17 15 8 11 14 16 20 15 15 9 10 13
Engine C 9 11 13 9 2 5 9 6 8 2 4 1 3 4
Engine D 8 9 14 12 9 13 15 14 10 11 14 8 11 11
Engine E 13 11 11 13 8 10 14 13 13 10 13 10 8 9
0
5
10
15
20
25
30
28.2.
2006
1.3.
2006
2.3.
2006
3.3.
2006
4.3.
2006
5.3.
2006
6.3.
2006
7.3.
2006
8.3.
2006
9.3.
2006
10.3.
2006
11.3.
2006
12.3.
2006
13.3.
2006
Engine A
Engine B
Engine C
Engine D
Engine E
Unikátně nezachycené viryza periodu 14 dnů
Engine A: 238 Engine B: 197 Engine C: 86 Engine D: 159 Engine E: 156
Výhoda použití více enginů
Nejrychlejší možná odezva na nové hrozbyPokročilá ochrana díky redundanciRůzné architektury enginů a heuristik pro různá nebezpečí
Response time1 (in hours)The Microsoft
multiple-engine solution
* Includes beta signatures** 0.00 denotes proactive
detection
1 Source: AV-Test.org 2007 (www.av-test.org)
Other single-engine solutions
= Less than 5 hours = 5 to 24
hours = More than 24 hours
WildList Number
MalwareName
Forefront
Set 1
Forefront
Set 2
Forefront
Set 3Vendor A* Vendor
B*Vendor C*
04/2007 feebs_itw78.ex_ 0.00 0.00 0.00 0.00 0.00 0.00
04/2007 ircbot_itw104.ex_ 0.00 0.00 0.00 0.00 1721.77 0.00
04/2007 looked_itw96.ex_ 0.00 0.00 0.00 0.00 0.00 0.00
04/2007 poebot_itw52.ex_ 0.00 0.00 0.00 0.00 565.78 33.95
04/2007 rbot_itw2230.ex_ 146.93 232.13 146.93 161.72 255.90 181.5204/2007 rbot_itw2289.ex_ 162.54 1.00 162.54 172.35 29.72 18.40
04/2007 sdbot_itw2086.ex_ 0.00 0.00 0.00 1463.53 655.90 1432.90
04/2007 sober_aa.ex_ 0.00 7.55 0.00 0.00 19.53 5.5805/2007 feebs_itw83.ex_ 0.00 0.00 0.00 0.00 3.52 6.17
05/2007 fujacks_itw28.ex_ 0.00 0.00 0.00 0.00 0.00 522.48
05/2007 fujacks_itw9.ex_ 0.00 0.00 0.00 1803.80 0.00 0.00
05/2007 looked_itw123.ex_ 0.00 0.00 0.00 0.00 1.00 618.98
05/2007 looked_itw124.ex_ 0.00 0.00 0.00 0.00 231.88 75.48
05/2007 poebot_itw61.ex_ 0.00 0.00 0.00 0.00 118.67 0.00
05/2007 rbot_itw2244.ex_ 0.00 0.00 0.00 129.09 0.00 0.00
05/2007 sdbot_itw2169.ex_ 1.00 1.00 1.00 1820.66 1696.55 369.36
05/2007 sdbot_itw2199.ex_ 0.00 199.73 0.00 153.06 1.00 1639.08
05/2007 sohanad_itw10.ex_ 0.00 1.00 0.00 1751.19 139.77 0.00
05/2007 spybot_itw224.ex_ 22.45 187.74 22.45 168.00 1.00 13.15
05/2007 vb_itw9.ex_ 0.00 0.00 0.00 766.65 710.82 39.22
06/2007 ircbot_itw111.ex_ 0.00 0.00 0.00 1.00 0.00 98.50
06/2007 rbot_itw2392.ex_ 0.00 0.00 0.00 1586.10 0.00 0.00
06/2007 sdbot_itw2183.ex_ 0.00 0.00 0.00 60.41 0.00 47.46
06/2007 sdbot_itw2184.ex_ 0.00 0.00 0.00 1733.00 1717.69 1702.47
06/2007 stration_itw197.ex_ 0.00 0.00 0.00 1.00 0.00 0.00
06/2007 tirbot_itw8.ex_ 0.00 0.00 0.00 0.00 0.00 0.00
Centrální správa• Instalace softwaru• Šablona pro nasazení• Centrální správa karantény• Práce s distribuovanými logy
SharePoint Servers
Exchange Servers
FEX DEMO
Alerty & Reporty
Pokročilá ochranaSpráva více antivirových modulůOchrana před nevyžádanou poštou (reputační filtr, IMF)Filtrování souborů Filtrování podle klíčových slov
Vylepšená dostupnost a výkonPrověřování v paměti, podprocesyPodpora antivirového razítkaPřírůstkové prověřováníPodpora clusterů
Zjednodušená správaCentrální konzola pro správuIntegrace s produktem Operations Manager
Pokročilá ochranaServer 2007 a Services 3.0Správa více antivirových modulůFiltrování souborů, klíčová slovaOffice XML a IRM
Vylepšená dostupnost a výkonPrověřování v pamětiPrověřování pomocí více podprocesů
Zjednodušená správaCentrální konzola pro správuIntegrace s produktem Operations Manager
Client and Server OS
Server Application
s
Edge
Ochrana hranice sítě a bezpečný přístup
Bezpečný vzdálený přístup
Optimalizovaný přístup pro
uživatele do interní sítě takřka odkudkoliv
Zabezpečení poboček
Vyšší bezpečnost při propojení
vzdálených poboček
Připojení k internetu
Zvýšená bezpečnost a ochrana proti internetovým
hrozbám
36
ISA Server 2006 je integrovaná brána pro zabezpečení hranice interní sítě a umožňuje chránit vaše IT prostředí od Internetových
hrrychlý a bezpečný přístup k datům a aplikacímozeb a zároveň umožňuje uživatelům.
Bezpečný přístup k Exchange a Sharepoint serverům z vnější šítě
Pobočkové scénáře
Bezpečné propojení s pobočkami a balancing web provozu
Kontrola Internetového
provozu
Ochrana před interními uživateli přistupujícími k nebezpečným stránkám
Hlavní scénáře nasazení
Publikace aplikací
Gartner: Magic Quadrant for E-Mail Security Boundary, 2006
Source: Gartner (September 2006)
Společnost Gartner umístila Microsoft do kvadrantu vyzyvatelů
Magic Quadrant pro ochranu koncových stanic, 2007
Budoucí vývojForefront Codename
“Stirling”
• Jednotná správa klientské části, aplikačních severů i FW v jednom nástroji
• Rozsáhlé možnosti reakcí na zranitelnosti
• Podrobný přehled celého prostředí (zabezpečení, zranitelnosti, incidenty)s
Aplikační servery
Klient Hranice sítě
Jeden produkt který zajistí rozsáhlou, podrobnou, sjednocenou správu zabezpečení z
jednoho místa a s podrobným reportingem
Nová verze Exchange
Forefront for SharePoint
Nová verze Client Security
Nová verzeInternet Security & Acceleration Server
Výhodné nabídky
•25% sleva na Forefront Client Security•10% sleva na Forefront Client Security pro zákazníky, kteří mají SMS nebo SCCM
Licencování - základní informace•Produkty Forefront jsou dostupne pouze v programech Microsoft Volume Licensing tzn. zákazník uzavírá smlouvu
•Enterprise Agreement, Enterprise Agreement Subscription, Select,Academic Select, Government Select, Open Value, Open Value Subscription, Server Provider License Agreement
•Ceny jsou vypočítávány na základě měsíčních "subscription"•Minimálně roční splátky•Možnost přidání k již existující smlouvě•Součást CAL suitů (Enterprise CAL, FF Security suite, Exchange Enterprise CAL)
Licencování produktů
•Forefront Client Security• Měsiční subscription pro klienty (per user/device)•Management Console (per server)
•s nebo bez SQL•zahrnuje licenci na MOM2005
Licencování produktů
•Forefront Server Security•Měsíční subscription per user nebo device
•Forefront Server Management Console•Měsiční subscription per server na kterém běží
Active Directory Federation Services
(ADFS)
Identity
Management
Services
Information
Protection
Encrypting File System (EFS)
BitLocker™
Network Access Protection (NAP)
Client and Server OS
Server Applicatio
ns
Edge
Úplné portfolio produktůpro zabezpečení
SystemsManagement
Petr [email protected] product specialistMicrosoft