roberto arbeláez cissp, cisa security program manager for latam microsoft corporation...
TRANSCRIPT
Respuesta a Incidentes de Seguridad en Microsoft
Roberto Arbeláez CISSP, CISA
Security Program Manager for LATAMMicrosoft [email protected]
Organizaciones de Seguridad en Microsoft
Security Advisors & Leads
MSRCMMPC
CSS Security
Security Advisors & Security Leads –Lideran iniciativas de seguridad y privacidad enfocadas en clientes y socios de negocios
MSRC - Microsoft Security Response Center: Gestión punta-a-punta de la protección contra vulnerabilidades de productos Microsoft
MMPC - Malware Protection Center: Investigación y capacidad de respuesta al Malware
CSS Security - Customer Service & Support Security: Soporte a clientes, educación, sensibilización, la voz del cliente en Microsoft
Reporte de VulnerabilidadesSe procesan cerca de 150,000 correos al año (411/dia)Fuentes de Vulnerabilities
[email protected] – Contacto directo con MSRCEventos de la industria de la SeguridadHoney-potsSocios en la comunidad de Seguridad
Revisión de Reportes de vulnerabilidades
SLA de 24 horas7-dias a la semanaTodos los reportes son analizados (triage) por especialistas en seguridad
Security Incident Response - OverviewSSIRP – Software Security Incident Response Plan
Proceso transversal para gestionar amenazas críticas de seguridadMobiliza recursos de Microsoft a nivel mundialObjetivos:
Ganar un entendimiento rápido y completo del problemaProveer a los clientes con información relevante, consistente y a tiempoEntregar herramientas, actualizaciones y asistencia para restablecer la operación normal
SSIRPProduct Teams
MSRC
MMPC
Customer Service & Support
Corporate Protection
Teams
Vigilar
Alertar y
Mobilizar
Analizar
Estabilizar y
recuperar
Resolver
Etapa por defecto, se realiza de manera contínuaEquipos vigilan la ocurrencia de posibles incidentes
Los líderes del manejo de crisis son alertadosSe realiza triage al incidenteSe mobilizan los equipos globales de soporte y respuesta a incidentes :
Equipo de Ingeniería de EmergenciaEquipo de Comunicaciones de Emergencia
Se analiza la situación y la información técnica disponible Se realiza una investigaciónSe monitorea si hay signos de actividadSe define un plan de reacción
Equipos de producto ejecutan el plan de reacciónSe preparan comunicacio-nes internas y externasSe puede liberar un paquete de aseguramiento
Se le entrega la solución a los clientes, como una actualización de seguridad o una herramientaSe hace una evaluación interna del proceso y se recogen las lecciones aprendidas
Fases de la Respuesta a Incidentes
Liberando una Actualización de Seguridad
MSRC recibe un reporte de la vulnerabilidad a través de:
[email protected] – Contacto directo con MSRCSitio de Seguridad de Microsoft TechNet – Reporte anónimo
MSRC responde a todos los reportes:
Respuesta en 24 horasRespuesta interna puede ser inmediata cuando se requiera
Reporte de la
Vulnerabilidad
MSRC-Ingeniería y equipo de producto:
Pruebas contra el problema reportadoPruebas contra variantes
Validación de la
soluciónMSRC Ingeniería:
Soluciones temporales y mitigacionesBlog de SVRDGuía de detección MAPP
Guía Técnica
Actualización de buenas prácticas de desarrollo seguro de SWActualización de herramientas de pruebasActualización del proceso de diseño y desarrollo de SW
Actuaización de
herramientas de
desarrollo y prácticas de SDL
Analizar el reporte y el posible impacto a clientesEntender la severidad de la vulnerabilidadClasificar la vulnerabilidad respecto a severidad y probabilidad de explotación y asignarle una prioridad
Triage Establecer canal de comunicación
Respuesta rápidaReportes contínuos
Crear comunidadPromocionar reporte responsable
Manejo de la relación con
el descubridor Boletín de
seguridad:Software / Componentes afectadosDescripción técnicaFAQsReconocimiento al descubridor
Creación de
Contenido
Boletines de seguridad – 2do. Martes del mesCoordinar contenido y recursosInformación y guía al clienteMonitoreo de incidentes y medios
Liberación
MSRC-IngenieríaReproducir la VulnerabilidadLocalizar variantesInvestigar código cercano y el diseño
Investigación
2H03 1H04 2H04 1H05 2H05 1H06 2H06 1H07 2H07 1H08 2H08
0
500
1,000
1,500
2,000
2,500
3,000
3,500
Vulnerabilidades de SeguridadMicrosoft vs. La Industria
Vulnerability disclosures for Microsoft and non-Microsoft products, 2H03-2H08
Non-Microsoft
Microsoft
ISPs
Socios de Negocios
Gobiernos
Proveedores e investigadores de Seguridad
Instituciones Educativas
Agencias de Ley / Policiales
Compartir información
Proteger a los Clientes
Alertar situaciones críticas
Institutiones Financieras
Alianzas EstratégicasMicrosoft Security Response Alliance (MSRA)
Construir Alianzas con Socios en el Ecosistema de Seguridad
Programas para el Sector Financiero
SAFI (Security Alliance for Financial Institutions)
GratuitoIntercambio de Información sobre amenazas, vulnerabilidades, ataques y tendencias en el Ecosistema financieroSolo se requiere firmar un NDA con Microsoft
OTIS (Online Threat Information Sharing)
Intercambio de información en tiempo realLista de correo no-moderadaGratuito, se requiere firmar NDA
Política de Soporte Gratuito de Seguridad de Microsoft
Soporte gratuito para:Incidentes de SeguridadMalwareIncidentes relacionados con boletines y actualizaciones de seguridad
Si tiene contrato de soporte con Microsoft, se mantinenen los SLAs pero el soporte es gratuito!Teléfonos de líneas de soporte: http://support.microsoft.com/gp/contactenos/es-la
Podemos ayudar a…
Determinar si ocurrió un ataque o se comprometió el sistema
Determinar la extensión de los daños
Ayudar al cliente a recuperarse del ataque
Determinar cómo ocurrió el ataque
Determinar cómo prevenir ataques futuros
Determinar cómo se puede mejorar el nivel de seguridad de la infraestructura del cliente
Blogs de MicrosoftMSRChttp://blogs.technet.com/msrc Security Research & Defense (SRD) Team http://blogs.technet.com/srd MMPC Team http://blogs.technet.com/mmpc MSRC Ecosystem Strategy http://blogs.technet.com/ecostratMicrosoft Update http://blogs.technet.com/mu/default.aspx Microsoft Privacy Teamhttp://blogs.technet.com/privacyimperative/default.aspx Windows Teamhttp://windowsteamblog.com/blogs/windowsvista/default.aspxConsolidated and Built in Language Translator with RSS Feedwww.microsoft.com/twc/blogs LATAM Security Bloghttp://blogs.technet.com/seguridad
Microsoft Security Web sites: www.microsoft.com/security and www.microsoft.com/technet/security Sign up to receive notifications on security updates: www.microsoft.com/security/bulletins/alerts.mspx Sign up for the Security Bulletin Web cast: www.microsoft.com/technet/security/bulletin/summary.mspx RSS Feeds for Security Bulletins: www.microsoft.com/technet/security/bulletin/secrssinfo.mspx Security Bulletins Search: www.microsoft.com/technet/security/current.aspx Security Advisories: www.microsoft.com/technet/security/advisory Security Guidance Center for Enterprises: www.microsoft.com/security/guidance Protect Your PC: www.microsoft.com/protect Microsoft Security Response Center: www.microsoft.com/msrc Microsoft Malware Protection Portal: http://www.microsoft.com/security/portal/
Recursos
© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after
the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.