marcos santos [email protected] microsoft portugal segurança microsoft progresso, visão e...
TRANSCRIPT
Marcos SantosMarcos [email protected]@microsoft.comMicrosoft PortugalMicrosoft Portugal
Segurança MicrosoftSegurança MicrosoftProgresso, Visão e Estratégia Progresso, Visão e Estratégia
O que é a Segurança?O que é a Segurança?
1.1. Estado ou sentimento de Segurança :Estado ou sentimento de Segurança : O estado de O estado de estar a salvo e protegidoestar a salvo e protegido
2.2. Despreocupação sobre uma possível perda:Despreocupação sobre uma possível perda: A A certeza de que qualquer coisa de valor não será certeza de que qualquer coisa de valor não será roubadaroubada
3.3. Algo que dê Segurança:Algo que dê Segurança: Algo que proporcione um Algo que proporcione um sentimento de protecção contra perda, ataque ou acto sentimento de protecção contra perda, ataque ou acto maldosomaldoso
4.4. Estar a salvo:Estar a salvo: Protecção contra ataques (uma questão Protecção contra ataques (uma questão de segurança nacional)de segurança nacional)
5.5. Precauções para se manter a salvo:Precauções para se manter a salvo: Medidas Medidas tomadas para manter alguém ou algo a salvo de tomadas para manter alguém ou algo a salvo de crimes, ataques ou perigos (medidas de segurança) crimes, ataques ou perigos (medidas de segurança)
Encarta« World English Dictionary ® & (P) 2004 Microsoft Corporation. All rights reserved. Desenvolvido por Encarta« World English Dictionary ® & (P) 2004 Microsoft Corporation. All rights reserved. Desenvolvido por Microsoft by Bloomsbury Publishing Plc.Microsoft by Bloomsbury Publishing Plc.
Segurança num mundo Segurança num mundo complexocomplexo
Segurança não é mais do que um processo Segurança não é mais do que um processo que tenta manter seguro um sistema complexo que tenta manter seguro um sistema complexo com múltiplas entidades:com múltiplas entidades:
Pessoas (cultura, conhecimento)Pessoas (cultura, conhecimento)
Processos (procedimentos, regras)Processos (procedimentos, regras)
Tecnologia (hardware, software, redes)Tecnologia (hardware, software, redes)
As entidades interagem entre si das mais As entidades interagem entre si das mais diferentes e imprevisíveis formasdiferentes e imprevisíveis formas
A Segurança falha se nos concentrarmos em A Segurança falha se nos concentrarmos em parte do problemaparte do problema
A Tecnologia não é onde residem todos os A Tecnologia não é onde residem todos os problemas mas também não é a solução totalproblemas mas também não é a solução total
Segurança é importante?Segurança é importante?
O custo de implementar medidas de segurança não é O custo de implementar medidas de segurança não é trivial; no entanto, é uma pequena fracção do custo trivial; no entanto, é uma pequena fracção do custo real de um incidente de segurança.real de um incidente de segurança.
Quanta Segurança?Quanta Segurança?
Determinar a segurança adequada considerando:Determinar a segurança adequada considerando:Ameaças que estão a enfrentarAmeaças que estão a enfrentar
Estar preparado para aceitar riscosEstar preparado para aceitar riscos
O valor dos bensO valor dos bens
Não esquecer de considerar custos administrativos ou Não esquecer de considerar custos administrativos ou valores perdidos em desempenho e utilizaçãovalores perdidos em desempenho e utilização
Segurança absoluta é inatingivelSegurança absoluta é inatingivel
Numa boa solução:Numa boa solução:Apenas a pessoa certa tem acesso em qualquer momento à Apenas a pessoa certa tem acesso em qualquer momento à
informação certa, com o melhor desempenho informação certa, com o melhor desempenho e ao mais baixo custo possívele ao mais baixo custo possível
Segurança
Pro
duti
vidade
Custo
Existe sempre um intercâmbio entre Existe sempre um intercâmbio entre segurança, custo e produtividadesegurança, custo e produtividade
Os bens para protegerOs bens para proteger
DadosDadosNúmeros de cartão Números de cartão de créditode crédito
Planos de MarketingPlanos de Marketing
Código fonteCódigo fonte
Informação sobre Informação sobre SaláriosSalários
ServiçosServiçosWeb sitesWeb sites
Acesso à InternetAcesso à Internet
Controladores de Controladores de DomínioDomínio
Sistemas ERPSistemas ERP
ComunicaçõesComunicaçõesInícios de sessãoInícios de sessão
Transacções/Transacções/PagamentosPagamentos
Cópia de um plano Cópia de um plano estratégicoestratégico
Enviar uma mensagemEnviar uma mensagem
Quais são as ameaças?Quais são as ameaças?Ameaças à SegurançaAmeaças à Segurança
Desastres Naturais (Inundações, Desastres Naturais (Inundações, Sismos, Furacões)Sismos, Furacões)HumanosHumanos
Não Maliciosos (Empregados ignorantes Não Maliciosos (Empregados ignorantes ou mal informados)ou mal informados)MaliciososMaliciosos
Empregados Internos desgostosos ou Empregados Internos desgostosos ou revoltadosrevoltadosPessoas externas como Hackers, criminosos, Pessoas externas como Hackers, criminosos, concorrência ou governosconcorrência ou governos
Quais os principais motivos?Quais os principais motivos?
Motivos pessoaisMotivos pessoaisRetaliar ou ”vingar-se”Retaliar ou ”vingar-se”Declaração politica ou Declaração politica ou terrorismoterrorismoPregar uma partidaPregar uma partidaExibicionismoExibicionismo
Aproveitamento EconómicoAproveitamento EconómicoRoubar informaçãoRoubar informação
ChantagemChantagem
Fraude FinanceiroFraude Financeiro
Provocar danosProvocar danosAlterar, corromper ou Alterar, corromper ou apagar a informaçãoapagar a informação
Paragem de um serviçoParagem de um serviço
Denegrir a imagem públicaDenegrir a imagem pública
Quais são os métodos?Quais são os métodos?
Fazer o Crack das Fazer o Crack das Palavras PassePalavras Passe
VírusVírus
Cavalos de TróiaCavalos de Tróia
WormsWorms
Ataques de Paragem de Ataques de Paragem de ServiçoServiço
Impersonificação de Impersonificação de E-mailsE-mails
Repetição de pacotes de Repetição de pacotes de rederedeModificação de pacotes de Modificação de pacotes de rederedeEngenharia SocialEngenharia SocialAtaques de intrusãoAtaques de intrusãoSpoofingSpoofing da rede da redeApoderar da SessãoApoderar da Sessão
São apenas exemplos, muitos mais métodos são possíveis
Quais são as Vulnerabilidades?Quais são as Vulnerabilidades?
Tecnologia
Planos, Politicas
& procedim
entos
O fa
ctor
hu
man
o
Produtos têm poucas Produtos têm poucas funcionalidades de funcionalidades de SegurançaSegurançaProdutos têm Produtos têm bugsbugsVárias situações não Várias situações não são endereçadas são endereçadas pelos standards pelos standards técnicostécnicos
Desenhado a pensar na Desenhado a pensar na SegurançaSegurançaFunções e responsabilidadesFunções e responsabilidadesAuditar, Identificar, Auditar, Identificar, fazer o seguimentofazer o seguimentoPlanos de Planos de EmergênciaEmergênciaManter-se actualizadoManter-se actualizado
Falta de conhecimento Falta de conhecimento Falta de empenhoFalta de empenhoErros HumanosErros Humanos
Plataforma de ProtecçãoPlataforma de Protecção
Dados
ServiçosComuni-cações
Prevenção
Dete
cção
Reacção
Tecnologia
Planos, Politicas
& procedim
entosO
fact
or h
uman
o
Aproveitamento Económico
Provovar danos
Motivos pessoais
PrevençãoPrevenção
Evitar problemas antes que eles aconteçamEvitar problemas antes que eles aconteçam
Abordagem pro-activaAbordagem pro-activa
Protecção contra ataques que podem ser Protecção contra ataques que podem ser previstosprevistos
Esta é a área onde a tecnologia pode trazer Esta é a área onde a tecnologia pode trazer uma grande ajudauma grande ajuda
Exemplo: Utilizar um Exemplo: Utilizar um SmartCardSmartCard + código para + código para entrar no edifícioentrar no edifício
Prevenção
DetecçãoDetecçãoDetectar as brechas de segurança que são capazes Detectar as brechas de segurança que são capazes de superar o estado de prevençãode superar o estado de prevenção
Relevante para brechas de segurança previstas e Relevante para brechas de segurança previstas e não previstasnão previstas
Podem ser ambas reactivas ou pro-activasPodem ser ambas reactivas ou pro-activas
A Tecnologia pode ajudar mas esta é uma área que A Tecnologia pode ajudar mas esta é uma área que requer alguma inteligência e experiênciarequer alguma inteligência e experiência
É vital recolher todas as provas e documentar todas É vital recolher todas as provas e documentar todas as acções de forma a tomar as medidas seguintes as acções de forma a tomar as medidas seguintes necessáriasnecessárias
Exemplo: Cartão da companhia com fotografia deve Exemplo: Cartão da companhia com fotografia deve ser utilizado sempre que estejam dentro do edifício ser utilizado sempre que estejam dentro do edifício da Companhiada Companhia
Dete
cção
ReacçãoReacção
Detecção sem reacção não tem Detecção sem reacção não tem qualquer significado!qualquer significado!
Recuperar os dados ou serviço para a Recuperar os dados ou serviço para a situação normalsituação normal
Identificar e prosseguir o atacanteIdentificar e prosseguir o atacante
Aprender das experiências e melhorar a Aprender das experiências e melhorar a SegurançaSegurança
Exemplo: Qualquer pessoa sem o Exemplo: Qualquer pessoa sem o cartão da companhia é acompanhado à cartão da companhia é acompanhado à porta pelos guardas da Segurançaporta pelos guardas da Segurança
Reacção
Qual o papel da Microsoft?Qual o papel da Microsoft?
Interacção aberta, Interacção aberta, transparente com transparente com clientes clientes
Liderança na Liderança na IndustriaIndustria
Adesão aos Adesão aos Open StandardsOpen Standards
Previsível, Previsível, consistente e consistente e disponíveldisponível
Fácil de configurarFácil de configurare gerire gerir
ResilienteResiliente
RecuperávelRecuperável
Colocado à provaColocado à prova
Seguro contra Seguro contra ataquesataques
Proteger a Proteger a confidencialidade, confidencialidade, integridade dos integridade dos dados e sistemasdados e sistemas
Capacidade de Capacidade de GestãoGestão
Proteger contra Proteger contra comunicação comunicação indesejadaindesejada
Controle de Controle de informação privadainformação privada
Produtos e Produtos e serviços online serviços online com princípios com princípios correctoscorrectos
Boas Boas PráticasPráticas
SegurançaSegurança PrivacidadePrivacidade ConfiançaConfiança
Headlines Headlines and Quotesand Quotes
““Microsoft has set the security Microsoft has set the security bar with its predictable patch bar with its predictable patch release schedule, security release schedule, security advisories that tell advisories that tell administrators why they need administrators why they need to patch (or why they don't), to patch (or why they don't), and early warnings about and early warnings about potential problems before a potential problems before a patch is available. . . patch is available. . . ‘Microsoft's method has really ‘Microsoft's method has really turned into the exception,but turned into the exception,but their way is the way everyone their way is the way everyone will eventually have to go. will eventually have to go.
Customers will demand it.’”Customers will demand it.’” John PescatoreSenior Analyst
Gartner
““To say Microsoft has holes To say Microsoft has holes and the others don’t is just and the others don’t is just silly. Over the last two or three silly. Over the last two or three years, Microsoft has become years, Microsoft has become more aggressive in writing more aggressive in writing secure code and educating the secure code and educating the world about security, taking world about security, taking the time to do it right. I don’t the time to do it right. I don’t see Linux [developers] and the see Linux [developers] and the rest of the industry doing thatrest of the industry doing that.”.”
Jay FerronCEO
Interactive Security Training
0%
25%
50%
75%
100%
2003 2004 1M2005
Dsat (0-3)
50 4432 29
2M2005
Um trabalho contínuo…Um trabalho contínuo…
““Microsoft faz produtos mais seguros”Microsoft faz produtos mais seguros”
Desceu 25 pontos NSAT!Fonte: MS Internal Research, Fall/Winter FY06 WWCPSSFonte: MS Internal Research, Fall/Winter FY06 WWCPSS
Neutral-sat (4-7)
4755 56
40
Vsat (8,9)
10 9 13 14
ResumoResumo
Porque é que a Segurança é importantePorque é que a Segurança é importante
Os bens que temos de protegerOs bens que temos de proteger
Classificamos as vulnerabilidadesClassificamos as vulnerabilidades
Plataforma de protecção:Plataforma de protecção:Prevenção, Detecção e ReacçãoPrevenção, Detecção e Reacção
Papel da MicrosoftPapel da Microsoft
© 2006 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.