Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH

Keynote Frank Fischer Manager Technologieberater Microsoft Deutschland GmbH Thomas Caspers Bundesamt für Sicherheit im der Informationstechnik

Agenda Sicherheit – Wo stehen wir heute? Aus deutscher Sicht Thomas Caspers, Bundesamt für Sicherheit in der Informationstechnik Aus deutscher Sicht Aus Sicht Microsoft Heute - Morgen

Um was geht es? Um Alles. Hardware App.Plattf. Applikation Benutzer Kommunikation Beispiele: Phishing SQL Injection Buffer Overflow Sniffing Ping of Death …

Zwei Zeilen Code…(Blaster) Zwei Zeilen C Code in RPCSS (Siehe Vortrag von Dirk Primbs) Führten zu… >1,500,000 infizierten Rechnern (AUA!!) > Support-Anrufen im Sept (Vergleich: Ein normaler Virus zu ) Viel negativer Presse This [is] going to raise the level of frustration to the point where a lot of organizations will seriously contemplate alternatives to Microsoft. Gartner "There's definitely caution warranted here. [Microsoft's security] efforts were sincere, but I am not sure if they were sincere enough." Forrester Der Spiegel

SANS NewsBites Vol3/19 (2001) Steve Ballmer, Microsoft's CEO, walked into a meeting with a dozen customers a few days ago and said disgustedly, "You would think we could figure out how to fix buffer overflows by now." … Steve is right about buffer overflows. Enough is enough. It is time to bring accountability to the programming profession. We hope that Microsoft will take the lead, guaranteeing all its internal programmers get basic secure programming skills training and that the company helps train developers outside of Microsoft. … Programmers have been taught simple tests to avoid buffer overflows at least since Some of them have forgotten the basics. It's time to give them a reason to remember.

Was sollte man von Microsoft erwarten dürfen… Eine Anleihe von Dr. Jürjens, TU München

Es war mal eine Mail…

…die Idee…

SD 3 + Communications Klare Aussage zu Security Hervorragende Dokumentation Microsoft Security Response Center Einige einfache Grundregeln Secure by Design Secure by Default Secure in Deployment Communications Sichere Architektur Threat Modeling Verbessern der Code-Qualität Veringern der Angriffsoberfläche Nicht verwendete Features ausschalten Auf minimale Privilegien achten Schützen, entdecken, verteidigen, erholen, verwalten Prozess: How tos, Architekturleitlinien Menschen: Training

Fortschritte ??

Change ManagementWork Item TrackingReportingProject Site Visual Studio Team Foundation Integration ServicesProject Management Process and Architecture Guidance Visual Studio Industry Partners Dynamic Code Analyzer Visual Studio Team Architect Static Code AnalyzerCode ProfilerUnit TestingCode CoverageVisio and UML ModelingTeam Foundation ClientVisual Studio 2005 ProfessionalClass ModelingLoad TestingManual TestingTest Case ManagementApplication ModelingLogical Infra. ModelingDeployment Modeling Visual Studio Team Developer Visual Studio Team Test Application ModelingLogical Infra. Modeling Deployment ModelingClass Modeling Visual Studio Modeler…

In Zukunft… Richtung End-User Project Strider (MS Research) Richtung Tools Project Gleipnir ir/ ir/ Richtung Malware-Defense Project Shield …

Praxis-Beispiel: SDL und MSN SDL Stage Manage Deploy Build it Run it

Stage Einbindung des Op-Teams Abarbeiten des dokumentierten Veröffentlichungsprozesses Physisch und logisch getrennt vom Live-System Keine Live-Daten Verbiete alles was nicht explizit erlaubt ist Manage Stage Deploy

Integrität des Codes wird überwacht Sicherheitsanforderungen der Plattform werden umgesetzt Strenge Umsetzung der Prozessvorgaben Inventarisierung komplett Manage Stage Deploy

Manage Werkzeuge Fernverwaltung Überwachung der Systeme Support Incident Response Center Patch-Management Least privilege Manage Stage Deploy

Lesestoff

Wie geht es weiter…

Ihr Potenzial. Unser Antrieb.