Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH.

Ähnliche Präsentationen


Präsentation zum Thema: "Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH."—  Präsentation transkript:

1 Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH

2 Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH Frank.Fischer@microsoft.com Thomas Caspers Bundesamt für Sicherheit im der Informationstechnik

3 http://www.thedailywtf.com/forums/65974/ShowPost.aspx

4 Agenda Sicherheit – Wo stehen wir heute? Aus deutscher Sicht Thomas Caspers, Bundesamt für Sicherheit in der Informationstechnik Aus deutscher Sicht Aus Sicht Microsoft Heute - Morgen

5 Um was geht es? Um Alles. Hardware App.Plattf. Applikation Benutzer Kommunikation Beispiele: Phishing SQL Injection Buffer Overflow Sniffing Ping of Death …

6

7 Zwei Zeilen Code…(Blaster) Zwei Zeilen C Code in RPCSS (Siehe Vortrag von Dirk Primbs) Führten zu… >1,500,000 infizierten Rechnern (AUA!!) >3.300.000 Support-Anrufen im Sept. 2003 (Vergleich: Ein normaler Virus zu 350.000) Viel negativer Presse This [is] going to raise the level of frustration to the point where a lot of organizations will seriously contemplate alternatives to Microsoft. Gartner "There's definitely caution warranted here. [Microsoft's security] efforts were sincere, but I am not sure if they were sincere enough." Forrester Der Spiegel

8 SANS NewsBites Vol3/19 (2001) Steve Ballmer, Microsoft's CEO, walked into a meeting with a dozen customers a few days ago and said disgustedly, "You would think we could figure out how to fix buffer overflows by now." … Steve is right about buffer overflows. Enough is enough. It is time to bring accountability to the programming profession. We hope that Microsoft will take the lead, guaranteeing all its internal programmers get basic secure programming skills training and that the company helps train developers outside of Microsoft. … Programmers have been taught simple tests to avoid buffer overflows at least since 1960. Some of them have forgotten the basics. It's time to give them a reason to remember.

9 Was sollte man von Microsoft erwarten dürfen… Eine Anleihe von Dr. Jürjens, TU München

10 Es war mal eine Mail…

11 …die Idee…

12 SD 3 + Communications Klare Aussage zu Security Hervorragende Dokumentation Microsoft Security Response Center Einige einfache Grundregeln Secure by Design Secure by Default Secure in Deployment Communications Sichere Architektur Threat Modeling Verbessern der Code-Qualität Veringern der Angriffsoberfläche Nicht verwendete Features ausschalten Auf minimale Privilegien achten Schützen, entdecken, verteidigen, erholen, verwalten Prozess: How tos, Architekturleitlinien Menschen: Training

13 Fortschritte ?? 42 13 365

14 Change ManagementWork Item TrackingReportingProject Site Visual Studio Team Foundation Integration ServicesProject Management Process and Architecture Guidance Visual Studio Industry Partners Dynamic Code Analyzer Visual Studio Team Architect Static Code AnalyzerCode ProfilerUnit TestingCode CoverageVisio and UML ModelingTeam Foundation ClientVisual Studio 2005 ProfessionalClass ModelingLoad TestingManual TestingTest Case ManagementApplication ModelingLogical Infra. ModelingDeployment Modeling Visual Studio Team Developer Visual Studio Team Test Application ModelingLogical Infra. Modeling Deployment ModelingClass Modeling Visual Studio Modeler…

15 In Zukunft… Richtung End-User Project Strider (MS Research) http://research.microsoft.com/csm/ http://research.microsoft.com/csm/ Richtung Tools Project Gleipnir http://research.microsoft.com/research/sv/Gleipn ir/ http://research.microsoft.com/research/sv/Gleipn ir/ Richtung Malware-Defense Project Shield http://research.microsoft.com/research/shield/ http://research.microsoft.com/research/shield/ …

16 Praxis-Beispiel: SDL und MSN SDL Stage Manage Deploy Build it Run it

17 Stage Einbindung des Op-Teams Abarbeiten des dokumentierten Veröffentlichungsprozesses Physisch und logisch getrennt vom Live-System Keine Live-Daten Verbiete alles was nicht explizit erlaubt ist Manage Stage Deploy

18 Integrität des Codes wird überwacht Sicherheitsanforderungen der Plattform werden umgesetzt Strenge Umsetzung der Prozessvorgaben Inventarisierung komplett Manage Stage Deploy

19 Manage Werkzeuge Fernverwaltung Überwachung der Systeme Support Incident Response Center Patch-Management Least privilege Manage Stage Deploy

20 Lesestoff

21 Wie geht es weiter…

22 Ihr Potenzial. Unser Antrieb.


Herunterladen ppt "Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH."

Ähnliche Präsentationen


Google-Anzeigen