Юрий Осипов Специалист по инфраструктурным решениям Microsoft Россия

Специализация по теме « Безопасность » – с 1999 года Проводил первые авторизованные курсы по продуктам Symantec в России Отвечал за развитие линейки корпоративных продуктов для платформы Microsoft в Лаборатории Касперского MCSE:Security, MCT с 1996 года Публикации и доклады В настоящее время – специалист по инфраструктурным решениям Microsoft Russia

Проблемы сегодняшнего дня Семейство Microsoft Forefront сегодня Что такое проект Microsoft Forefront Stirling? Компоненты решения Целостная защита Единое управление Наглядность представления Заключение

Все больше сотрудников Много городов/гаджетов Доступ в Интранет/ экстранет Полное соединение рисковано Плохая интеграция Трудности масштабирования Трудности масштабирования Требования законодательства Изменение регламентов Малая глубина детализации Растущая мобильность Сложности с традиционными VPN Трудности с обеспечением политик Продвинутые Случаются все чаще Связаны с выгодой Различные продукты Плохая взаимосвязь Недостаток интеграции Много консолей Разные форматы отчетов Сложные и дорогие Устранение угрозОтдельные продукты Трудности управления и внедрения Проблемы безопасности Проблемы доступа

Периметр Серверные приложения Клиенты и серверы Целостная линейка продуктов безопасности для бизнеса, которая обеспечивает наилучшую защиту и безопасный доступ благодаря интеграции и простому управлению

Управляемость и мобильностьУправляемость и мобильность Динамическая реакция Периметр Серверные приложения Клиенты и серверы vNext Интегрированная система безопасности

Запуск проверки вручную Веб- узел Ручное отключение компьютера Пример: сценарий «Дня зеро» Сегодня

Проникновения являются комбинацией событий : 62% связаны с серьезными ошибками 59% являются результатом взлома и вторжения 31% содержат вредоносный код 22% используют уязвимости 15% возможны с связи с физической угрозой

Многоуровневая защита всей организации Технологии защиты, которые работают вместе Технологии защиты, которые оперируют единой информацией о состоянии защиты Технологии защиты, которые обеспечивают совместные действия Технологии, входящие в Stirling, работают совместно и обеспечивают наилучшую защиту клиентов

TMG находит вредоностный код на компьютере DEMO-CLT1, который выполняет сканирование портов (Port Scan) ВЕБ- САЙТ Скомпромитиро- ван компьютер DEMO-CLT1 High Fidelity High Severity Expire: Wed Скомпромитирован Пользователь: Andy Low Fidelity High Severity Expire: Wed FCS идентифици- ровал пользователя Andy, который работает с DEMO-CLT1 Уведомление Сканировать компьютер Блокировать почту Блокировать IM Блокировать запись Карантин Пример: сценарий «Дня зеро» используя динамическую реакцию Stirling

ОпределениеОпасностьОписание Compromised Computer ( скомпромитиро - ванный компьютер ) High ( высокая ) Вредоносный код с административным доступом к ресурсам компьютера или компьютер, представляющий угрозу другим узлам Пример - Rootkit, bot, червь, распространяющийся быстро Med ( средняя ) Вредоносный код с правами пользователя или частично поражающий компьютер. Пример – вирус с правами пользователя ; вирус, требующий для распространения действий пользователя Low ( низкая ) Вредоносный код с минимальным доступом к ресурсам ПК, аналогично правам « гостя » (guest account). Пример – spyware Vulnerable Computer ( уязвимый компьютер ) High ( высокая ) Компьютер, который может быть заражен (compromised) в самом ближайшем будущем. Возможный ущерб может быть эквивалентен скомпромитированному компьютеру с высокой степенью опасности (high severity compromised computer). Пример – может быть заражен самораспространяющимся червем Med ( средняя ) Компьютер, который может быть заражен случайно и не несущий угрозы, требующей немедленной реакции. Пример – отсутсвует обновление, необходимое для конфигурации по умолчанию Low ( низкая ) Компьютер, который может быть заражен (compromised) с помощью направленных усилий, например full blown dictionary attack, или злоумышленник получает физический доступ к компьютеру ) Потенциальные потери ожидаются минимальные. Пример – « слабый » пароль, неверные настройки IE Compromised User ( скомпромитиро - ванный пользователь ) High ( высокая ) Злоумышленник – собственник учетной записи (Intended to be used as a manual injected assessment) Пример - угроза реального инсайдера (clear insider threat) Med ( средняя ) Злоумышленник имеет полный доступ к учетной записи Пример – злоумышленник получает пароли пользователей Low ( низкая ) Злоумышленник не имеет доступа или имеет ограниченный доступ к учетной записи. Пример - почтовый червь, который распространяется, если пользователь работает интерактивно Дополнительные определения будут добавлены в Stirling Beta 2.

Распространение вредоностного кода (Zero day malware) Взлом через уязвимость (Zero day vulnerability Hack) Распространение червя (Storm Worm attack) и другие …

Избыток или недостаток данных Эффективное расследование Сегодня Большое количество ошибок Ручное управление защитой Нет прозрачной системы Единый канал для системы безопасности Единая контекстная информация Автоматический ответ и защита Stirling Dynamic Response С помощью Stirling: Лучше защита – Быстрее ответ – Ниже стоимость

vNext vNext vNext NEW Антивирус Антишпион Антивирус Антишпион Персональный межсетевой экран Интеграция с NAP Поиск и устранение уязвимостей Защита Exchange Фильтрация содержимого Защита SharePoint Межсетевой экран Веб-антивирус Удаленный доступ Динамическая защита Скоординированная защита Комплексная проверка Обмен информацией Фильтрация содержимого

Переключение между консолями – трата времени Каждая консоль имеет собственную парадигму политик Каждый продукт сам за себя Недостаток интеграции с инфраструктурой приводит к неэффективности Неуверенность в надежной защите от новых угроз Консоль управления Консоль отчетов Консоль Защита конечных точек Защита серверных приложений Сетевой периметр Управление уязвимостями

Одна консоль для простого управления с разделением ролей Единая политика безопасности для всех ресурсов, использующих технологии защиты, вошедшие в Stirling Быстрое распространение обновлений, политик и прочего ПО Интеграция с имеющейся инфраструктурой : SCOM, SQL, WSUS, AD, NAP, SCCM

1. Определите группы управления (Target Groups of computers) Используются запросы (queries), контейнеры (OU), имена компьютеров (computer name) и т. д. 2. Централизованные настройки Для всех продуктов Forefront Используйте Policy Units с Stirling Policy 3. Свяжите каждую политику Stirling с группой управления (Target Group) Распространение SCOM 2007 SCOM Agent Замечание : не используются групповые политики (Group Policy) для распространения

Знайте состояние системы безопасности Используйте подробные отчеты Определяйте и устраняйте риски безопасности

Риск = значение Security State X Asset Value Значения являются частью настроек Stirling Общая оценка безопасности определяется политиками Сортировка ресурсов Единый отчет по безопасности

Связаны с технологиями Увязывают защиту и контроль работоспособности Наглядное представление Эффективность защиты Использование ресурсов Оценка производительности Планирование и оценка

Политики могут определять ограничения на доступ к сети Интеграция с Network Access Protection (NAP) Пример : Если остановился сервис FCS, то клиенту ограничивается доступ к сети Возможность автовосстановления Пример : Повторный запуск сервиса FCS или установка обновления Stirling Agent может отправлять уведомления вместо автоматического действия

Рабочие станции, ноутбуки и серверы Stirling Core Server Серверы Exchange Серверы SharePoint Серверы Threat Management Gateway Microsoft Update Обновле- ния баз (Virus &Spyware Definitions) События Настройки События Настройки События Настройки Консоль Stirling Systems Center Operations Manager Windows Server Update Services (WSUS) Stirling Data Analysis & Collection Servers События Настройки Forefront Security Assessment Channel Архитектура ОтчетыПолитики

H NEW NEXT NEW NEXT Codename Stirling NEW BETA H H1 2009

Вся информация ( включая копии экрана и т. д.) относятся к предварительной версии продукта – Microsoft Forefront Stirling (Beta 1) Microsoft оставляет за собой право на внесение любых изменений в продукт без предупреждения ( включая терминологию ) и не дает никаких обещаний по составу и срокам выхода продукта на рынок Вы можете скачать и самостоятельно попробовать предварительную версию и готовые виртуальные машины с продуктом с сайта Microsoft

Интегрированная защита, обьединяющая клиентов, серверы и периметр Интегрированная защита, обьединяющая клиентов, серверы и периметр Динамическая реакция на возникающие угрозы Динамическая реакция на возникающие угрозы Новое поколение технологий защиты Новое поколение технологий защиты Управление из единой консоли с учетом ролей Управление из единой консоли с учетом ролей Модель управления ресурсами и политиками Модель управления ресурсами и политиками Интеграция с имеющейся инфраструктурой Интеграция с имеющейся инфраструктурой Информация о состоянии системы безопасности в реальном времени Информация о состоянии системы безопасности в реальном времени Детализированные отчеты Детализированные отчеты Обнаружение и устранение проблем безопасности Обнаружение и устранение проблем безопасности Интегрированная система безопасности для клиентов, серверов и периметра, которая обеспечивает целостную защиту с наглядным и простым управлением Целостная защита Единое управление Наглядность представления

Вы можете задать вопросы, прислать замечания и предложения на адрес электронной почты

© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.