Respuesta a Incidentes de Seguridad en Microsoft

Roberto Arbeláez CISSP, CISA

Security Program Manager for LATAMMicrosoft Corporationroberto.arbelaez@microsoft.com

Organizaciones de Seguridad en Microsoft

Security Advisors & Leads

MSRCMMPC

CSS Security

Security Advisors & Security Leads –Lideran iniciativas de seguridad y privacidad enfocadas en clientes y socios de negocios

MSRC - Microsoft Security Response Center: Gestión punta-a-punta de la protección contra vulnerabilidades de productos Microsoft

MMPC - Malware Protection Center: Investigación y capacidad de respuesta al Malware

CSS Security - Customer Service & Support Security: Soporte a clientes, educación, sensibilización, la voz del cliente en Microsoft

Reporte de VulnerabilidadesSe procesan cerca de 150,000 correos al año (411/dia)Fuentes de Vulnerabilities

secure@microsoft.com – Contacto directo con MSRCEventos de la industria de la SeguridadHoney-potsSocios en la comunidad de Seguridad

Revisión de Reportes de vulnerabilidades

SLA de 24 horas7-dias a la semanaTodos los reportes son analizados (triage) por especialistas en seguridad

Security Incident Response - OverviewSSIRP – Software Security Incident Response Plan

Proceso transversal para gestionar amenazas críticas de seguridadMobiliza recursos de Microsoft a nivel mundialObjetivos:

Ganar un entendimiento rápido y completo del problemaProveer a los clientes con información relevante, consistente y a tiempoEntregar herramientas, actualizaciones y asistencia para restablecer la operación normal

SSIRPProduct Teams

MSRC

MMPC

Customer Service & Support

Corporate Protection

Teams

Vigilar

Alertar y

Mobilizar

Analizar

Estabilizar y

recuperar

Resolver

Etapa por defecto, se realiza de manera contínuaEquipos vigilan la ocurrencia de posibles incidentes

Los líderes del manejo de crisis son alertadosSe realiza triage al incidenteSe mobilizan los equipos globales de soporte y respuesta a incidentes :

Equipo de Ingeniería de EmergenciaEquipo de Comunicaciones de Emergencia

Se analiza la situación y la información técnica disponible Se realiza una investigaciónSe monitorea si hay signos de actividadSe define un plan de reacción

Equipos de producto ejecutan el plan de reacciónSe preparan comunicacio-nes internas y externasSe puede liberar un paquete de aseguramiento

Se le entrega la solución a los clientes, como una actualización de seguridad o una herramientaSe hace una evaluación interna del proceso y se recogen las lecciones aprendidas

Fases de la Respuesta a Incidentes

Liberando una Actualización de Seguridad

MSRC recibe un reporte de la vulnerabilidad a través de:

Secure@Microsoft.com – Contacto directo con MSRCSitio de Seguridad de Microsoft TechNet – Reporte anónimo

MSRC responde a todos los reportes:

Respuesta en 24 horasRespuesta interna puede ser inmediata cuando se requiera

Reporte de la

Vulnerabilidad

MSRC-Ingeniería y equipo de producto:

Pruebas contra el problema reportadoPruebas contra variantes

Validación de la

soluciónMSRC Ingeniería:

Soluciones temporales y mitigacionesBlog de SVRDGuía de detección MAPP

Guía Técnica

Actualización de buenas prácticas de desarrollo seguro de SWActualización de herramientas de pruebasActualización del proceso de diseño y desarrollo de SW

Actuaización de

herramientas de

desarrollo y prácticas de SDL

Analizar el reporte y el posible impacto a clientesEntender la severidad de la vulnerabilidadClasificar la vulnerabilidad respecto a severidad y probabilidad de explotación y asignarle una prioridad

Triage Establecer canal de comunicación

Respuesta rápidaReportes contínuos

Crear comunidadPromocionar reporte responsable

Manejo de la relación con

el descubridor Boletín de

seguridad:Software / Componentes afectadosDescripción técnicaFAQsReconocimiento al descubridor

Creación de

Contenido

Boletines de seguridad – 2do. Martes del mesCoordinar contenido y recursosInformación y guía al clienteMonitoreo de incidentes y medios

Liberación

MSRC-IngenieríaReproducir la VulnerabilidadLocalizar variantesInvestigar código cercano y el diseño

Investigación

2H03 1H04 2H04 1H05 2H05 1H06 2H06 1H07 2H07 1H08 2H08

0

500

1,000

1,500

2,000

2,500

3,000

3,500

Vulnerabilidades de SeguridadMicrosoft vs. La Industria

Vulnerability disclosures for Microsoft and non-Microsoft products, 2H03-2H08

Non-Microsoft

Microsoft

ISPs

Socios de Negocios

Gobiernos

Proveedores e investigadores de Seguridad

Instituciones Educativas

Agencias de Ley / Policiales

Compartir información

Proteger a los Clientes

Alertar situaciones críticas

Institutiones Financieras

Alianzas EstratégicasMicrosoft Security Response Alliance (MSRA)

Construir Alianzas con Socios en el Ecosistema de Seguridad

Programas para el Sector Financiero

SAFI (Security Alliance for Financial Institutions)

GratuitoIntercambio de Información sobre amenazas, vulnerabilidades, ataques y tendencias en el Ecosistema financieroSolo se requiere firmar un NDA con Microsoft

OTIS (Online Threat Information Sharing)

Intercambio de información en tiempo realLista de correo no-moderadaGratuito, se requiere firmar NDA

Política de Soporte Gratuito de Seguridad de Microsoft

Soporte gratuito para:Incidentes de SeguridadMalwareIncidentes relacionados con boletines y actualizaciones de seguridad

Si tiene contrato de soporte con Microsoft, se mantinenen los SLAs pero el soporte es gratuito!Teléfonos de líneas de soporte: http://support.microsoft.com/gp/contactenos/es-la

Podemos ayudar a…

Determinar si ocurrió un ataque o se comprometió el sistema

Determinar la extensión de los daños

Ayudar al cliente a recuperarse del ataque

Determinar cómo ocurrió el ataque

Determinar cómo prevenir ataques futuros

Determinar cómo se puede mejorar el nivel de seguridad de la infraestructura del cliente

Blogs de MicrosoftMSRChttp://blogs.technet.com/msrc Security Research & Defense (SRD) Team http://blogs.technet.com/srd MMPC Team http://blogs.technet.com/mmpc MSRC Ecosystem Strategy http://blogs.technet.com/ecostratMicrosoft Update http://blogs.technet.com/mu/default.aspx Microsoft Privacy Teamhttp://blogs.technet.com/privacyimperative/default.aspx Windows Teamhttp://windowsteamblog.com/blogs/windowsvista/default.aspxConsolidated and Built in Language Translator with RSS Feedwww.microsoft.com/twc/blogs LATAM Security Bloghttp://blogs.technet.com/seguridad

Microsoft Security Web sites: www.microsoft.com/security and www.microsoft.com/technet/security Sign up to receive notifications on security updates: www.microsoft.com/security/bulletins/alerts.mspx Sign up for the Security Bulletin Web cast: www.microsoft.com/technet/security/bulletin/summary.mspx RSS Feeds for Security Bulletins: www.microsoft.com/technet/security/bulletin/secrssinfo.mspx Security Bulletins Search: www.microsoft.com/technet/security/current.aspx Security Advisories: www.microsoft.com/technet/security/advisory Security Guidance Center for Enterprises: www.microsoft.com/security/guidance Protect Your PC: www.microsoft.com/protect Microsoft Security Response Center: www.microsoft.com/msrc Microsoft Malware Protection Portal: http://www.microsoft.com/security/portal/

Recursos

© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.