1 / 31

凌云 计算机病毒分析师 安全商务及技术部 微软有限公司

透视 Microsoft 安全响应过程. 凌云 计算机病毒分析师 安全商务及技术部 微软有限公司. 微软安全反应中心. 主要安全挑战. 采取纵深防御措施 有效推出安全更新 管理扩展型企业中的访问 降低安全更新的频率 提供良好指导,确保系统安全. 业界合作 伙伴关系. 技术投资. 说明性指导. Microsoft 的安全焦点 远景. 提供工具和指导确保客户安全,为安全软件和服务提供可信赖解决方案. 基础卓越 安全创新. 基于方案的内容和工具 权威性事件响应. 意识和教育 协作和合作伙伴关系. Microsoft 安全响应过程.

basil-johns
Télécharger la présentation

凌云 计算机病毒分析师 安全商务及技术部 微软有限公司

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 透视Microsoft安全响应过程 凌云 计算机病毒分析师 安全商务及技术部 微软有限公司

  2. 微软安全反应中心

  3. 主要安全挑战 • 采取纵深防御措施 • 有效推出安全更新 • 管理扩展型企业中的访问 • 降低安全更新的频率 • 提供良好指导,确保系统安全

  4. 业界合作 伙伴关系 技术投资 说明性指导 Microsoft 的安全焦点远景 提供工具和指导确保客户安全,为安全软件和服务提供可信赖解决方案 基础卓越 安全创新 基于方案的内容和工具 权威性事件响应 意识和教育 协作和合作伙伴关系

  5. Microsoft 安全响应过程 建立关系和沟通 Microsoft 安全响应中心 提供报告安全漏洞的渠道 监视安全新闻组 全公司单点协调与沟通 调查和解决漏洞报告 拥有并调整公司范围内安全响应过程 致力于通过安全工程和开发过程更新以避免出现同样问题 与执法人员和业界精英合作 与漏洞发现者协作

  6. 构建安全响应过程 安全公告发布过程 安全事件响应过程 构建更简单的可管理过程 提供及时的相关信息 帮助缓解和保护 增强和改进公告内容 提供解决方案 扩充资源和支持

  7. 测试 • 几种测试级别: • 安装程序和内部版本验证 • 深度 • 集成和广度 • Microsoft 公司网络 • 受控的测试版本 发布安全更新 发布 内容创建 安全公告 – 每月的第二个星期二 调整所有内容和资源 向客户提供信息和指导 监视客户问题和新闻舆论 管理发现者关系 • 安全公告: • 受影响的软件/组件 • 技术说明 • 变通办法和缓解方法 • 常见问题解答 • 鸣谢 甄别 • 建立沟通渠道 • 快速响应 • 定期更新 • 构建社区 • 鼓励负责的报告 漏洞报告 评估报告以及可能对客户产生的影响 了解漏洞的严重性 根据漏洞的严重性和被利用的可能性评定漏洞等级,并分配优先级 • MSRC 通过以下方式接收传入的漏洞报告: • Secure@Microsoft.com – 直接与 MSRC 联系 • Microsoft TechNet 安全站点 – 匿名报告 • MSRC 对所有报告作出响应: • 对发现者提供全天二十四小时响应服务级别协议 • 必要时可以立即作出内部响应 更新开发工具和方法 更新最佳方法 更新测试工具 更新开发和设计过程 创建修补程序 • SWI 和产品小组: • 调查漏洞影响 • 找到变种 • 调查对应源码和设计 • 生成用于测试的修补程序

  8. Microsoft 客户 安全供应商 Microsoft 合作伙伴 安全研究人员 业界精英 政府机构 新闻界与分析师 执法人员 全球现场和支持 产品组 全球推广 Microsoft 安全响应

  9. 由于默认配置、审核或难以利用等因素,该漏洞的可利用性显著降低由于默认配置、审核或难以利用等因素,该漏洞的可利用性显著降低 公告严重性等级 严重 漏洞利用可能允许 Internet 蠕虫无需用户操作即可传播 漏洞利用可能会危及用户数据的机密性、完整性或可用性,或者危及处理资源的完整性或可用性 重要 中等 低 漏洞利用非常困难或影响很小 更多信息:www.microsoft.com/technet/security/bulletin/rating.mspx

  10. 发布前 发布后 推广与交流 第二个星期二发布日 接受和甄别漏洞报告 开发和测试修补程序 创建安全公告内容 提前通知即将发布安全公告 (发布之前的三个工作日) 在下载中心、Windows Update 和/或 Office Update 上发布更新 发布公告 RSS Feed 客户电子邮件和即时消息通知 社区推广 MS 现场人员警报和呼吁 安全公告网上广播(发布后的星期三,太平洋时间上午 11 点) 补充性网上广播(如果需要) 通过 PSS 和 Windows Update 监视公告使用情况和客户问题 公告维护

  11. 转向每月发布安全公告: 一个可预测、可管理的过程 实现预先规划和准备 软件更新验证程序,帮助确保质量 在发布之前的三个工作日提前通知 在 Microsoft.com 上公开发布;可通过电子邮件发送警报 构建更简单的可管理过程 增强和改进公告内容 扩充资源和支持 客户过程改进 • 经过修订的技术安全公告格式: • 增加每月汇总公告,包括每个公告的受影响软件的汇总表 • 增加每个漏洞的缓解方法和变通办法 • 增加更多有关分发和部署的信息和指导 • 改进 TechNet 安全站点上的公告搜索工具 安全通报 发布后的星期三进行技术网上广播 安全公告的 RSS Feed 新通知服务,包括完整版本和即时消息警报 恶意软件删除工具

  12. 举例论证结果 “Yankee Group 的调查显示,从安全角度看,企业对 Microsoft 安全级别的评价大幅提高,已接近 Linux 的安全级别。在得分为 1 至 10 分的评价中,Microsoft 安全性得到 7.6 分,比去年类似调查中的得分高一倍。Linux 的得分为 8.3 分,和去年没有太大变化。DiDio 表示,Microsoft 转向每月安全更新周期并加强在抗击安全问题方面所做的努力是安全评级大幅提高的主要原因。” Yankee Group 分析师 Laura DiDio (摘自 http://www.msnbc.msn.com/id/7383172/)

  13. 介绍安全通报 • 提供与安全相关的软件更改或软件更新的指导和信息 • 以后的主题可能包括以下示例: • 与安全漏洞无关的 “纵深防御” 安全增强或更改 • 可能适用于已公开披露的漏洞的指导和缓解 补充 Microsoft 安全公告 最高级的摘要信息,详细描述发布通报的原因 常见问题解答 建议措施 当我们有新信息时可能随时更新 内容 引用统一的知识库文章编号作为附加信息 注册申请安全通知服务完整版本 更多信息 www.microsoft.com/china/technet/security/advisory/default.mspx

  14. 业界评价 “这显然是一件好事。关于如何保护 Windows 的安全建议越充分,效果就越好……坦白说,软件供应商必须按照这种方式运作。” “这些改变代表了 Microsoft 安全推广的又一次升华” Jupiter 高级分析师 Joe Wilcox Gartner 副总裁和市场研究员 John Pescatore “如果可以获得更权威的信息,您会感到更加放心……而获得权威信息最理想的来源是创建软件的组织,因为他们最清楚问题所在。” “这是我们乐于见到的。对于我们来说,这将在很多方面让事情变得更容易” Secunia 首席技术官 Thomas Kristensen SANS Institute 研究总监 Alan Paller

  15. SSIRP - 软件安全事件响应计划 处理严重安全威胁的公司范围内过程 调动 Microsoft 全球资源 目标: 快速全面地了解问题 向客户提供及时、相关和一致的信息 提供工具、安全更新和其他帮助,恢复正常操作 安全事件响应概述

  16. 响应安全事件 警报 与调动 评估 与稳定 关注 解决 • 观察环境,检测任何潜在问题 • 利用与以下各方的现有关系: • 合作伙伴 • 安全研究人员和发现者 • 监视客户请求和新闻舆论调查 • 召集会议,评估严重性 • 将安全响应小组和支持组调动为两个主组: • 紧急事件工程小组 • 紧急事件沟通小组 • 开始监视全球新闻舆论焦点和此问题的客户支持线 评估情况和可用的技术信息 开始致力于解决方案 向客户、合作伙伴以及新闻界传达初步指导和变通办法 通知 Microsoft 现场销售和支持人员 提供用于恢复正常操作的信息和工具 向客户提供适当的解决方案,例如安全更新、工具或修补程序 执行内部过程审查,总结获得的经验教训

  17. 案例研究:Sasser Microsoft 4 月发布安全公告(包括 MS04-011)解决 LSASS 中的漏洞 开始监视客户帮助线、新闻组和社区活动以及新闻舆论调查 关注 (2004 年 4 月 13 日至 28 日) 第一次报告即将爆发 Sasser 警报安全响应小组召集人员进入紧急事件工程和沟通工作室 警报与调动 (2004 年 4 月 29 日) • 开始分析技术详细资料,致力于解决方案(清理工具) • 向客户传达初步指导 • Sasser 登陆页面:www.microsoft.com/china/security • 通过安全通知服务发送电子邮件警报 • 向合作伙伴以及全球现场人员发出警报 • 下载中心上发布 Sasser 蠕虫删除工具 1.0 版 评估与稳定 (2004 年 5 月 30 日) • Windows Update 上发布 Sasser 蠕虫删除工具 2.0 版 • 与客户和合作伙伴进行大量沟通,帮助清理系统: • Sasser 技术网上广播 • 联机支持聊天 • 更新 Microsoft 网站 • 持续更新删除工具,清理新变种 解决 (2004 年 5 月 4 日至 10 日)

  18. 案例研究:MSN Messenger Microsoft 2005 年 2 月发布安全公告(包括 MS05-009)解决影响 MSN Messenger 6.1 和 6.2 的 PNG 处理漏洞 开始监视客户帮助线、新闻组和社区活动以及新闻舆论调查 关注 (2005 年 2 月 8 日至 9 日) 第一次报告 MSN Messenger 的公共漏洞检测 警报安全响应小组召集人员进入紧急事件工程和沟通工作室 警报与调动 (2005 年 2 月 9 日) • 开始分析技术详细资料 • 向客户传达初步指导,建议客户升级到最新版本的 MSN Messenger(包含修补程序) • 登陆页面:www.microsoft.com/china/security/ • 通过安全通知服务发送电子邮件警报 • 向合作伙伴以及全球现场人员发出警报 评估与稳定 (2005 年 2 月 9 日) • 决定开始强制升级 MSN Messenger • 将强制升级决定通知客户和合作伙伴: • 更新 Microsoft 网站 • 合作伙伴和全球现场人员警报 • 主动转向强制升级,最大程度地减小蠕虫的影响和传播范围 解决 (2005 年 2 月 10 日至 11 日)

  19. 创建的特定于事件的登陆页面: www.microsoft.com/china/security Sasser、MyDoom、ASP.NET 仅 5 月份,Sasser 页面的访问量就超过 8990 万人次,访问客户超过 1900 万 声明紧急事件的 2 小时内发布客户指导 从沟通到解决 提供及时的相关信息 • 特定于事件的技术网上广播,提供指导和回答问题 • 对于 Sasser,在 2 天之内发布网上广播;对于 Blaster(冲击波),在 10 天之内发布网上广播 • 严重安全事件期间增加支持资源,包括 “回送传真”选项以及网上聊天 帮助缓解和保护 发布清理工具的加速过程(对于 Sasser,在 3 天之内;对于 Blaster,在 38 天之内) 向合作伙伴提供企业联合内容,帮助通知广大计算机用户 提供解决方案

  20. 应该怎么办 注册申请通过电子邮件、即时消息、移动设备或 RSS 接收安全更新通知 下载和部署安全更新(Microsoft 下载中心、Windows Update) 通过 secure@microsoft.com报告安全漏洞 留意每月的 TechNet 安全公告网上广播 查看 Microsoft TechNet 安全站点上的信息和指南 查看 MSRC Blog:http://blogs.technet.com/msrc 遵循保护您的 PC 的 3 个步骤:(www.microsoft.com/china/security/protect/) www.microsoft.com/china/technet/security/default.mspx

  21. 安全开发生命周期 (SDL) 定义软件开发过程每个阶段的安全要求和里程碑 对于存在重大安全风险的产品来说是必需的 包括最终安全审核 (FSR),确定产品是否客户就绪型产品 过程 为开发人员、测试人员、项目经理、用户教育人员以及架构师提供必需的年度培训 通过 Microsoft 研究部门投资学术课程开发 发布关于编写安全代码、威胁建模和 SDL 的指导以及课程 教育 进行中衡量标准,提供早期警告 发布后衡量标准,评估最终收益(漏洞数) 适合团体和个人的培训 责任

  22. 16 8 3 5 Service Pack 3 Service Pack 3 发布前的 2 年内的公告 发布前的 2 年内的公告 自发布 TwC 起的公告 自发布 TwC 起的公告 2002 年 7 月交付 2003 年 1 月交付 …635 天 …725 天 TwC 发布? 64 66 否 27 35 是 SDL 结果 严重或重要漏洞在前面…

  23. 安全事件更新和其他安全新闻 Microsoft的TechNet安全网站 安全公告和网上广播 立即访问www.microsoft.com/china/technet/security/default.mspx!

  24. 遵循保护 PC 的三个步骤 Microsoft的安全网站 立即访问www.microsoft.com/china/security!

  25. 资源 • Microsoft Security 网站:www.microsoft.com/china/security和 www.microsoft.com/china/technet/security/default.mspx • 注册申请安全公告网上广播: www.microsoft.com/technet/security/bulletin/summary.mspx • 安全公告的 RSS Feed: www.microsoft.com/technet/security/bulletin/secrssinfo.mspx • 从 Microsoft 安全响应中心获得更多信息: • 网站:www.microsoft.com/china/security/msrc/ • Blog:http://blogs.technet.com/msrc • 安全公告搜索:www.microsoft.com/china/technet/security/current.aspxwww.microsoft.com/technet/security/current.aspx • 安全通报:www.microsoft.com/china/technet/security/advisory/default.mspx • 为企业打造的安全指南中心:www.microsoft.com/china/security/guidance/default.mspx • 保护您的 PC:www.microsoft.com/china/security/protect/

  26. 网络进攻时序线 发现漏洞 完成补丁 公布补丁 黑客破解补丁 开发病毒/蠕虫 释放病毒/蠕虫 No Exploit 只有微软及发现者知道漏洞存在 No Exploit 只有微软及发现者知道漏洞存在 No Exploit 公众知道漏洞存在,但不知道怎样攻击 Exploit 病毒/蠕虫被释放; 感染未被修补系统 No Exploit 知道怎样攻击,但病毒/蠕虫尚未出现 No Exploit 病毒/蠕虫尚未出现,但未被释放 用户与黑客赛跑

  27. 实例分析:Blaster 蠕虫 七月1日 七月16日 七月25日 八月11日 微软被通知漏洞存在 进攻样板程序出现 公布补丁 蠕虫出现 通知漏洞 • RPC/DDOM 漏洞被发现 • 微软启动最高级别快速反应程序 安全公告 • 公布MS03-026 (7/16/03) • 继续与安全分析家,媒体,IT社区,合作伙伴,政府部门保持联系 进攻样板程序 • X-focus (中国黑客组) 出版进攻样板程序 • 微软警告用户尽快安装补丁 蠕虫 • Blaster 蠕虫出现; 变种及其它病毒同时出现 (例如. “SoBig”) Blaster 展现了安全分析师,软件公司,以及黑客之间的复杂的互动关系

  28. 补丁至进攻样板程序之间的天数 331 180 151 25 Nimda SQL Slammer Welchia/ Nachi Blaster 网络进攻趋势 补丁越来越多 进攻样板程序出现时间缩短 进攻样板程序越来越多精巧

More Related