La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Les ressources disponibles : bulletins, outils et publications Gérard Gasganias Chef de projet Sécurité Microsoft France Cyril Voisin Chef de programme.

Présentations similaires


Présentation au sujet: "Les ressources disponibles : bulletins, outils et publications Gérard Gasganias Chef de projet Sécurité Microsoft France Cyril Voisin Chef de programme."— Transcription de la présentation:

1 Les ressources disponibles : bulletins, outils et publications Gérard Gasganias Chef de projet Sécurité Microsoft France Cyril Voisin Chef de programme Sécurité Microsoft France

2 La stratégie sécurité de Microsoft Isolation et résilience Authentification,Autorisation,Audit Excellencedelengineering Mise à jour avancée Conseils,Outils,Réponse

3 Agenda Vulnérabilités, bulletins et alertes (MSRC) La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSRSAT)

4 Vie et mort dune vulnérabilité… La plupart des exploits sont conçues après la mise à disposition du correctif Les attaques se produisent majoritairement ici. Produit installé Vulnérabilité découverte Composant corrigé Correctif publié Correctif déployé chez les clients Ignorance Signalement volontaire Module Gap Test, intégration et déploiement Mesure traditionnelle de la vulnérabilité Vulnérabilité à une attaque générale Vulnérabilité théorique Vulnérabilité publique

5 Le temps avant exploitation Est devenu si court que le patching nest plus une défense suffisante 9 jours sont nécessaires pour appliquer du reverse engineering au patch et découvrir la faille… Blaster Welchia/ Nachi Nimda 25 SQL Slammer Nombre de jours entre le correctif et lexploitation 18 Sasser Vie et mort dune vulnérabilité…suite

6 Microsoft Security Response Center Analyse et traitement des rapports de vulnérabilités Suivi des listes Sécurité Point central de coordination et communication Plan de réponse Sécurité de Microsoft Responsable du plan et de sa coordination au sein de Microsoft Travaille à la réduction des risques en modifiant les processus internes de développement par rapport à la sécurité Communauté et Communications Travaille avec les autorités légales et les décideurs Création dune communauté déchange avec les découvreurs des vulnérabilités

7 Le MSRC : un centre névralgique MSRC Juridique Recherche Sécurité Éditeurs Sécurité Décideurs Industrie Groupes Produits Equipes Support Presse Partenaires Microsoft Clients Microsoft Agences gouvernementales Microsoft Security Response Center

8 Genèse dun correctif de sécurité Priorité Analyse du rapport et des impacts possibles sur les clients Évaluation de la sévérité de la vulnérabilité et des risques dexploitation Niveau de priorité décidé Relation avec lauteur Communication Réponse rapide Analyse de la motivation et des besoins Échanges réguliers Communauté Encourager les rapports volontaires Le MSRC reçoit les rapports de vulnérabilité par: Site TechNet Sécurité – rapports anonymes MSRC sengage à répondre à tous les rapports e n 24 h Rapport de vulnérabilité Création de contenu Écriture du bulletin de sécurité : Logiciels/composants affectés Description technique Contournements et atténuation FAQs Remerciements Validation du groupe de produit Publication bulletin de sécurité : 2 ème Mardi de chaque mois Coordination de toute la communication en ligne Envoi dinformations et de conseils aux clients Suivi des problèmes clients et de lactivité Presse Publication Réalisation du correctif Équipe Produit : Identifie limpact de la vulnérabilité Recherche de variantes Analyse en profondeur du code et des spécifications Ecriture du correctif pour test Test Plusieurs niveaux de test : Vérification de lInstallation et du packaging Profondeur Intégration Réseau Microsoft MAJ des outils et règles MAJ « best practices » MAJ des outils de test MAJ du processus de développement et de design

9 Sévérité des bulletins L'exploitation de cette vulnérabilité a des conséquences sérieuses, mais atténuées par des facteurs tels que la configuration par défaut, l'audit, la nécessité d'une intervention de l'utilisateur ou la difficulté d'exploitation Critique Modéré Faible L'exploitation de cette vulnérabilité peut permettre la propagation d'un ver Internet, tel que Code Red, Nimda ou Blaster, sans intervention de l'utilisateur L'exploitation de cette vulnérabilité est très difficile ou a un impact minime Important L'exploitation de cette vulnérabilité peut impacter l'intégrité, la confidentialité ou la disponibilité des données de l'utilisateur, l'intégrité ou la disponibilité des ressources de traitement Plus dinformation :

10 Le MSRC et les bulletins de sécurité Avant la publication Publication 2nd Mardi Après la publication Pré-annonce des bulletins (J-3 = Jeudi) : MSRC Bulletin Notification nombre de bulletins niveau de sévérité anticipé aperçu des produits affectés démo Correctifs publiés sur le Download Center, WU et/ou Office Update, MU Notifications envoyées par aux clients Bulletins publiés les sites Microsoft Informations proactives pour la Presse Publication sur les newsgroups Sécurité / flux RSS Webcast dinformations sur les bulletins (Mercredi, 19h00) Suivi des bulletins et des problèmes client via le Support. Maintenance des bulletins

11 Les avis de sécurité (Security Advisories) Complémente les bulletins de sécurité Microsoft Contenu Plus dinformations Fournit des informations et conseils à propos de modifications de logiciels et de mises à jour liées à la sécurité Quelques exemples de thèmes qui pourraient être traités : Améliorations de sécurité pour la défense en profondeur" ou dautres changements non liés à des vulnérabilités Conseils de protection qui pourraient sappliquer à propos de vulnérabilités divulguées publiquement Résumé des raisons de la publication de lavis de sécurité Forum aux questions Actions suggérées Peut être mis à jour à nimporte quel moment où nous avons davantage dinformations Fait référence à un numéro darticle de la base de connaissance (Knowledge Base) pour davantage dinformations Inscription :

12 Réponse à un incident de sécurité Aperçu Processus dentreprise pour faire face aux menaces de sécurité critiques Mobilisation de ressources Microsoft dans le monde entier Objectifs : Obtenir rapidement une bonne compréhension du problème Vous fournir à temps des informations pertinentes et cohérentes Fournir des outils des mises à jour de sécurité et dautre éléments daide à la restauration du service normal

13 Réponse à un incident de sécurité Watch Observation (détection dun problème potentiel) Relations avec : Partenaires Chercheurs en sécurité et découvreurs de vulnérabilités Écoute des demandes clients au support, de celles de la presse Alert and Mobilize Évaluation du niveau de gravité Mobilisation des équipes de réponse et des groupes de support en 2 groupes : Emergency Engineering Team Emergency Communications Team Observation des demandes clients et niveau dintérêt à propos de cet incident AssessandStabilize Évaluation de la situation et des infos techniques disponibles Début du travail sur la solution Communication des conseils initiaux et des contournements Notification et information des employés de Microsoft Resolve Fourniture dinformations et doutils pour rétablir la situation normale La solution appropriée est fournie : mise à jour de sécurité, outil ou correctif Revue des processus internes et dégagement des enseignements

14 Publication des bulletins de sécurité davril 2004, incluant celui référencé MS qui traite dune vulnérabilité corrigée dans LSASS Début de lobservation des lignes de support, des newsgroups et des activités des communautés et des demandes de la presse Premier rapports de larrivée prochaine de Sasser Alerte des équipes de réponse à un incident de sécurité et réunion dans les 2 salles des équipes durgence techniques et communications v2.0 de loutil de suppression de Sasser sur Windows Update Communication massive auprès des clients et partenaires pour aider à nettoyer les systèmes : Webcast technique Sasser (en anglais) Chats en ligne avec les support Mise à jour des sites Microsoft Outil de suppression mis à jour en permanence pour nettoyer de nouvelles variantes Étude de cas : Sasser Watch (13-28 avril 2004) Alert & Mobilize (29 avril 2004) Resolve (4-10 mai 2004) Assess & Stabilize (30 avril - 3 mai 2004) Début danalyse technique et travail sur la solution (outil de nettoyage) Conseils initiaux communiqués Page Sasser sur Alertes par envoyées par les services de notification pour la sécurité Envoi des alertes aux partenaires et employés Publication de loutil de suppression de Sasser (Sasser Worm Removal Tool) v1.0 sur le Centre de téléchargement

15 Microsoft publie les bulletins de sécurité pour février 2005, dont MS qui traite dune vulnérabilité corrigée dans la manipulation des fichiers PNG touchant MSN Messenger 6.1 & 6.2 Début de lobservation des lignes de support, des newsgroups et des activités des communautés et des demandes de la presse Premiers rapports dune exploitation publique pour MSN Messenger Alerte des équipes de réponse à un incident de sécurité et réunion dans les 2 salles des équipes durgence techniques et communications Décision de lobligation de mise à jour de MSN Messenger pour pouvoir utiliser le service Notification de la décision dobligation de mise à jour : Mise à jour des sites Web de lentreprise Envoi des alertes aux partenaires et employés Le passage obligatoire par la mise à jour a réduit limpact et la diffusion du ver Étude de cas : MSN Messenger Watch (8-9 février 2005) Alert & Mobilize (9 février 2005) Resolve (10-11 février 2005) Assess & Stabilize (9 février 2005) Début de lanalyse technique Conseils initiaux, recommandant la mise à jour vers la dernière verion de MSN Messenger incluant la correction Page dédiée Alertes par envoyées par les services de notification pour la sécurité Envoi des alertes aux partenaires et employés

16 Agenda Vulnérabilité, bulletins et alertes (MSRC) La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSRSAT)

17 Solutions Techniques Windows UpdateSUS1.0 WSUS (SUS 2.0) SMS MBSA Mode «Pull»Mode «Push» Windows98,NT4,XP, 2000,2003 Windows XP,2000,2003Windows XP,2000,2003 Windows98,NT4,XP, 2000,2003 Patchs,Màj,SPPatches, SP Patches, Màj, SP, Màj Office,SQL,Exchg.Patches, Màj, SP Toutes applications Rapports Rapports personnalisés Inventaire et gestion de la base dinstallations intégrées à SMS Fonctionnement au travers dun proxy Communication sécurisée(https) Solution Microsoft complémentaire pour analyser le niveau de protection des ordinateurs cibles Communication directe avec lInternet Pas de support pour Windows NT4 et W98 Création de groupes dordinateurs cibles API Scriptables(côtés client et serveur)

18 MBSA Automatise l'identification des correctifs de sécurité manquants et des problèmes de configuration de la sécurité Permet à un administrateur d'analyser d'un point central un grand nombre de systèmes Scriptable (Consolidation) 2 modes Graphique (GUI) Ligne de commande Disponible en version Version 2.0 en beta

19 Console MBSA MBSA 2.0 Déploiement de lagent 3.Si linterface danalyse (API) nest pas disponible, téléchargement des composants de lagent 1.Exécution de MBSA sur un système dadministration, en spécifiant une ou des cibles 4.Pousse lagent, accord explicite, puis essaie de nouveau lAPI 5.Si le site MU ne peut pas être utilisé, alors téléchargement de WSUSSCAN.CAB 6.Comparaison de la version de lagent dans le.CAB à la version de lagent WUA 7.Si version inférieure, alors on reprend en 3., puis on essaie de nouveau avec WSUSSCAN.CAB Microsoft Update WUSCltV5aX64.exeWUSCltV5aX86.exe Machine cible WSUSSCAN.CAB 2.Tentative danalyse (API)

20 Console MBSA Analyse avec MBSA Par défaut, tentative avec le serveur WSUS (sil est assigné) 1.Exécution de MBSA depuis un système dadministration, en spécifiant la ou les cibles 4.Si échec avec MU, alors on utilise le fichier.CAB 5.Si le.CAB actuel nest pas à jour, télécharger le nouveau 6.Analyse avec le.CAB (API) Microsoft Update.CAB hors ligne 7.Si WSUS et MU produisent tous les deux des résultats, les fusionner 8.Utilisation du score par défaut pour les mises à jour non approuvés par WSUS 3.Tentative avec le site MU (par défaut) Site MU (Microsoft Update) WSUS Machine cible

21 Détection de mises à jour MBSA 2.0 Mises à jour de sécurité (aujourdhui) Windows 2000 SP3 et + IIS 5.0 et + SQL Server 2000 / MSDE et + IE 5.01 SP3 et + Exchange 2000, 2003 et + Windows Media Player 6.4 et + Office XP, 2003 et + MSXML 2.5, 2.6, 3.0, 4.0 MDAC 2.5, 2.6, 2.7, 2.8 Microsoft Virtual Machine (JVM) Nouvelles plateformes Seulement à distance, uniquement pour les mises à jour XP Embedded IA64 Mises à jour seulement X64 Pas disponible tout de suite Service Packs de SQL et Exchange Mises à jour dOffice 2000 Commerce Server Content Mgt Server BizTalk Host Integration Server Mises à jour de sécurité (nouveautés) DirectX.NET Framework Windows Messenger FrontPage Server Extensions Windows Media Player 10 Windows Script 5.1, 5.5, 5.6 Windows Server 2003, 64-Bit Edition Windows XP 64-Bit Edition Windows XP Embedded Edition

22 MBSA – Rapports (GUI)

23 MBSA 2.0 démo

24 Options en ligne de commande MBSA 1.2.x /hf /h ou /hf /i /c ou /i /hf /x /hf/sus /hf /fip /hf /fh /v MBSA 2.0 /target/target/catalog /xmlout or /n * /wa/listfile/listfile/ld * = OS+IIS+SQL+Motdepasse

25 MBSA 2.0 Actuellement en beta Analyse sans installation mbsacli.exe, wsusscan.dll et wsusscan.cab requis pour une analyse hors ligne Performance Possibilité de lancer plusieurs instances simultanément Supportera les CVE-IDs du Mitre quand le contenu sera ajouté à Microsoft Update Connecteur Visio

26 Add-in COM pour Visio 2003 Visualisation des résultats MBSA 2 modes : Import des résultats dans le schéma du réseau Lancement du scan directement à partir du schéma MBSA - Compléments

27 Agenda Vulnérabilité, bulletins et alertes (MSRC) La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSRSAT)

28 Que sont les logiciels espions ? ExemplesDescription Pas de nuisance potentielle Utilisation de ressources à distance Collecte de données personnelles Affichage de pub Changements de paramétrages Numérotation automatique Clairement malfaisant (virus, ver, troyen) Inoffensif Collecte de données Publicité Changements de configuration Utilisation de ressources à distance Numérotation Activité malfaisante Surveillance Enregistrement des frappes clavier Potentiel de nuisance Extrême Aucun Comportement + Notepad + Logiciel du fournisseur daccès –Numérotation vers site porno + Contrôle parental –Key-loggers –Sasser + Barre de recherche autorisée –Collecte de données + Logiciel supportant de la pub –Pop-ups non autorisés + Utilitaires de paramétrage –Détournement du navigateur + Application partage de cycle –Porte dérobée Spyware ou logiciel espion : Programme qui effectue un certain nombre dopérations sans le consentement approprié de lutilisateur

29 Quelques idées de lampleur La cause dau moins 1/3 de tous les crashes des applications Windows1 Problème majeur chez les OEMs : la cause numéro 1 des appels au support chez Dell2 Consommateurs 91 % des utilisateurs de lInternet haut débit sont affectés3 En moyenne : 5+ « spyware » / « adware » par machine4 Entreprise 5 92 % des managers des DI interrogés pensent que leurs sociétés ont des « spyware » 1 Analyses MS Watson/OCA, Jan-Mar FTC Workshop, Avril ,4 NCSABroadband Consumer Survey, Earthlink Spy Audit, Avril Websense Survey, Avril 2004

30 Microsoft Windows AntiSpyware Communauté SpyNet : identifier les nouveaux spywares Mise à jour automatique des signatures Corrige les problèmes de ralentissement, de pop-ups, etc. Analyses planifiées pour maintenir sécurité et confidentialité Surveillance temps réel de plus de 50 points d'entrées Alertes personnalisables selon vos préférences Lutte contre les logiciels espions Aide à protéger les utilisateurs de Windows contre les logiciels espions et autres logiciels non désirés Détecter et supprimer les spywares Améliorer la sécurité de la navigation sur Internet Stopper les dernières menaces

31 Microsoft Antispyware démo

32 Windows AntiSpyware Plus de 10 millions de téléchargements (en 10 semaines) Retours positifs Signatures anti-spyware mises à jour toutes les semaines Site Microsoft Anti-spyware

33 Evolution de lAnti-spyware Windows Client Détection et suppression des spywares Protection continue Défenses à jour Windows AntiSpyware En entreprise Déploiement centralisé (client et signatures) Rapports étendus Options de configuration et contrôle Admin des signatures

34 Outil de suppression des logiciels malfaisants (MSRT) Mise à jour tous les mois pour supprimer les nouveaux logiciels malfaisants Ciblé vers les consommateurs sans antivirus Déployable en entreprise comme partie intégrante dune stratégie de défense en profondeur Disponible à travers Windows Update Windows Update Auto Update Auto Update Interface en ligne (ctrl ActiveX sur urite/outils/malware.mspx) Interface en ligne (ctrl ActiveX sur urite/outils/malware.mspx) Download Center Download Center Complémente les technologies traditionnelles des Antivirus en fournissant un outil qui supprime virus et vers les plus répandus

35 Outil de suppression des logiciels malfaisants Remplace toutes les versions précédentes des logiciels déradication de codes malfaisants produits par Microsoft Cible Blaster, Sasser, MyDoom, DoomJuice, Zindos, Berbew (aussi connu comme Download.Ject), Gaobot et Nachi Disponible dans les 23 langues supportés par Windows XP Plus dinformations sur le déploiement de cet outil en entreprise dans larticle de la KB (http://support.microsoft.com/kb/891716)

36 Agenda Vulnérabilité, bulletins et alertes (MSRC) La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSRSAT)

37 Pas simplement des technos…

38 Les 3 facettes de la sécurité Architecture sécurisée Technologies OS Annuaire Correctifs IPSEC Kerberos PKI Chiffrement de fichiers SSL/TLSClusters Détection dintrusion Gestion de systèmes Supervision Pare-feu Antivirus PersonnesAdmin. de lEntreprise Admin. Du Domaine Service/Support Développeur Utilisateur Archivage Politique daccès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Évaluation de risques

39 Microsoft Security Risk Self-Assessment ( MSRSAT) Évaluer les faiblesses de votre environnement en matière de sécurité informatique Questionnaire détaillé Traite infrastructure, applications, opérations et personnel Multilangue, mise à jour en ligne Possibilité de comparaison anonyme

40 MSRSATMSRSAT démo

41 Abonnez-vous Flash Sécurité : Grand public : https://profile.microsoft.com/RegSysSubscriptionCnt/SubCntDefa ult.aspx?LCID=1036&SIC=1 IT Pro : https://profile.microsoft.com/RegSysSubscriptionCnt/SubCntDefa ult.aspx?LCID=1036&SIC=1 Alerte et Bulletins RSS Feed, Instant Messaging, Notification Service (+ Comprehensive)

42 Ressources Général (Abonnements bulletins, alertes, newsflash) Security Guidance Center : Outils : Comme linformatique Interne de Microsoft sécurise-t-elle Microsoft ? E-Learning Clinics : https://www.microsoftelearning.com/security Événements et Webcasts : Hotline sécurité : code 55

43 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "Les ressources disponibles : bulletins, outils et publications Gérard Gasganias Chef de projet Sécurité Microsoft France Cyril Voisin Chef de programme."

Présentations similaires


Annonces Google