Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.
-
Upload
reinhilde-zettel -
Category
Documents
-
view
104 -
download
1
Transcript of Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.
Keynote Frank FischerManager TechnologieberaterMicrosoft Deutschland GmbH
Keynote
Frank FischerManager TechnologieberaterMicrosoft Deutschland [email protected]
Thomas Caspers
Bundesamt für Sicherheit im der Informationstechnik
http://www.thedailywtf.com/forums/65974/ShowPost.aspx
Agenda
Sicherheit – Wo stehen wir heute? Aus deutscher Sicht
Thomas Caspers, Bundesamt für Sicherheit in der Informationstechnik
Aus Sicht MicrosoftHeute - Morgen
Um was geht es? Um Alles.
Hardware
App.Plattf.
Applikation
Benutzer
Kom
mu
nik
atio
n
Beispiele:PhishingSQL InjectionBuffer OverflowSniffing„Ping of Death“…
Zwei Zeilen Code…(Blaster) Zwei Zeilen C Code in RPCSS
(Siehe Vortrag von Dirk Primbs) Führten zu…
>1,500,000 infizierten Rechnern (AUA!!) >3.300.000 Support-Anrufen im Sept. 2003
(Vergleich: Ein “normaler” Virus zu 350.000) Viel negativer Presse
“This [is] going to raise the level of frustration to the point where a lot of organizations will seriously contemplate alternatives to Microsoft.” Gartner
"There's definitely caution warranted here. [Microsoft's security] efforts were sincere, but I am not sure if they were sincere enough." Forrester
Der SpiegelDer Spiegel
SANS NewsBites Vol3/19 (2001)Steve Ballmer, Microsoft's CEO, walked into a meeting with a dozen customers a few days ago and said disgustedly, "You would think we couldfigure out how to fix buffer overflows by now." …Steve is right about buffer overflows. Enough is enough. It is time to bring accountability to the programming profession. We hope thatMicrosoft will take the lead, guaranteeing all its internal programmers get basic secure programming skills training and that the company helps train developers outside of Microsoft. …Programmers have been taught simple tests to avoid buffer overflows at least since 1960.Some of them have forgotten the basics. It's time to give them a reasonto remember.
Was sollte man von Microsoft erwarten dürfen…
Eine Anleihe von Dr. Jürjens, TU München
Es war mal eine Mail…
…die Idee…
SDSD33 + Communications + Communications
Klare Aussage zu SecurityKlare Aussage zu SecurityHervorragende DokumentationHervorragende DokumentationMicrosoft Security Response Center Microsoft Security Response Center
Einige einfache Grundregeln
Secure Secure by Designby Design
Secure Secure by Defaultby Default
Secure in Secure in DeploymentDeployment
CommunicationsCommunications
Sichere ArchitekturSichere Architektur““Threat Modeling”Threat Modeling”Verbessern der Code-QualitätVerbessern der Code-Qualität
Veringern der AngriffsoberflächeVeringern der AngriffsoberflächeNicht verwendete Features ausschaltenNicht verwendete Features ausschaltenAuf minimale Privilegien achtenAuf minimale Privilegien achten
Schützen, entdecken, verteidigen, Schützen, entdecken, verteidigen, erholen, verwaltenerholen, verwaltenProzess: “How to’s”, ArchitekturleitlinienProzess: “How to’s”, ArchitekturleitlinienMenschen: TrainingMenschen: Training
Fortschritte ??
4242
1313
365365
Change Management
Work Item Tracking
Reporting
Project Site
Visual Studio
Team Foundation
Integration Services
Project Management
Pro
cess
an
d A
rch
itect
ure
Pro
cess
an
d A
rch
itect
ure
G
uid
an
ceG
uid
an
ce
Vis
ual S
tud
io In
du
stry
V
isu
al S
tud
io In
du
stry
Part
ners
Part
ners
Dynamic Code Analyzer
Visual Studio
Team Architect
Static Code Analyzer
Code Profiler
Unit Testing
Code Coverage
Visio and UML Modeling
Team Foundation Client
Visual Studio 2005 Professional
Class Modeling
Load Testing
Manual Testing
Test Case Management
Application Modeling
Logical Infra. Modeling
Deployment Modeling
Visual Studio
Team DeveloperVisual Studio
Team TestApplication Modeling
Logical Infra. Modeling
Deployment Modeling
Class Modeling
Visual Studio Modeler…
In Zukunft… Richtung End-User
Project Strider (MS Research)http://research.microsoft.com/csm/
Richtung ToolsProject Gleipnirhttp://research.microsoft.com/research/sv/Gleipnir/
Richtung Malware-DefenseProject Shieldhttp://research.microsoft.com/research/shield/
…
Praxis-Beispiel: SDL und MSN
Implement
Test
Design
SDL
Stage
ManageDeploy
“Build it”
“Run it”
Stage Einbindung des Op-Teams Abarbeiten des
dokumentierten Veröffentlichungsprozesses
Physisch und logisch getrennt vom Live-System
Keine Live-Daten “Verbiete alles was nicht
explizit erlaubt ist”
Manage
Stage
Deploy
Deploy Integrität des Codes wird
überwacht Sicherheitsanforderungen der
Plattform werden umgesetzt Strenge Umsetzung der
Prozessvorgaben Inventarisierung komplett
Manage
Stage
Deploy
Manage Werkzeuge Fernverwaltung Überwachung der Systeme Support Incident Response Center Patch-Management Least privilege
Manage
Stage
Deploy
Lesestoff
Wie geht es weiter…
Ihr Potenzial. Unser Antrieb.