Roberto Arbeláez CISSP, CISA Security Program Manager for LATAM Microsoft Corporation

Presentación del tema: "Roberto Arbeláez CISSP, CISA Security Program Manager for LATAM Microsoft Corporation"— Transcripción de la presentación:

1 Roberto Arbeláez CISSP, CISA Security Program Manager for LATAM Microsoft Corporation roberto.arbelaez@microsoft.com

2 Organizaciones de Seguridad en Microsoft Security Advisors & Leads MSRC MMPC CSS Security Security Advisors & Security Leads –Lideran iniciativas de seguridad y privacidad enfocadas en clientes y socios de negocios MSRC - Microsoft Security Response Center: Gestión punta-a-punta de la protección contra vulnerabilidades de productos Microsoft MMPC - Malware Protection Center: Investigación y capacidad de respuesta al Malware CSS Security - Customer Service & Support Security: Soporte a clientes, educación, sensibilización, la voz del cliente en Microsoft

3 Se procesan cerca de 150,000 correos al año (411/dia) Fuentes de Vulnerabilities secure@microsoft.comsecure@microsoft.com – Contacto directo con MSRC secure@microsoft.com Eventos de la industria de la Seguridad Honey-pots Socios en la comunidad de Seguridad Revisión de Reportes de vulnerabilidades SLA de 24 horas 7-dias a la semana Todos los reportes son analizados (triage) por especialistas en seguridad

4 – S oftware S ecurity I ncident R esponse P lan SSIRP – S oftware S ecurity I ncident R esponse P lan Proceso transversal para gestionar amenazas críticas de seguridad Mobiliza recursos de Microsoft a nivel mundial Objetivos: Ganar un entendimiento rápido y completo del problema Proveer a los clientes con información relevante, consistente y a tiempo Entregar herramientas, actualizaciones y asistencia para restablecer la operación normal

5 VigilarVigilar Alertar y Mobilizar AnalizarAnalizar Estabilizar y recuperar ResolverResolver Etapa por defecto, se realiza de manera contínua Equipos vigilan la ocurrencia de posibles incidentes Los líderes del manejo de crisis son alertados Se realiza triage al incidente Se mobilizan los equipos globales de soporte y respuesta a incidentes : Equipo de Ingeniería de Emergencia Equipo de Comunicaciones de Emergencia Se analiza la situación y la información técnica disponible Se realiza una investigación Se monitorea si hay signos de actividad Se define un plan de reacción Equipos de producto ejecutan el plan de reacción Se preparan comunicacio- nes internas y externas Se puede liberar un paquete de aseguramiento Se le entrega la solución a los clientes, como una actualización de seguridad o una herramienta Se hace una evaluación interna del proceso y se recogen las lecciones aprendidas

6 MSRC recibe un reporte de la vulnerabilidad a través de: Secure@Microsoft.comSecure@Microsoft.com – Contacto directo con MSRC Secure@Microsoft.com Sitio de Seguridad de Microsoft TechNet – Reporte anónimo MSRC responde a todos los reportes: Respuesta en 24 horas Respuesta interna puede ser inmediata cuando se requiera Reporte de la Vulnerabilidad MSRC-Ingeniería y equipo de producto: Pruebas contra el problema reportado Pruebas contra variantes Validación de la solución Validación de la solución MSRC Ingeniería: Soluciones temporales y mitigaciones Blog de SVRD Guía de detección MAPP Guía Técnica Actualización de buenas prácticas de desarrollo seguro de SW Actualización de herramientas de pruebas Actualización del proceso de diseño y desarrollo de SW Actuaización de herramientas de desarrollo y prácticas de SDL Analizar el reporte y el posible impacto a clientes Entender la severidad de la vulnerabilidad Clasificar la vulnerabilidad respecto a severidad y probabilidad de explotación y asignarle una prioridad TriageTriage Establecer canal de comunicación Respuesta rápida Reportes contínuos Crear comunidad Promocionar reporte responsable Manejo de la relación con el descubridor Boletín de seguridad: Software / Componentes afectados Descripción técnica FAQs Reconocimiento al descubridor Creación de Contenido Boletines de seguridad – 2do. Martes del mes Coordinar contenido y recursos Información y guía al cliente Monitoreo de incidentes y medios LiberaciónLiberación MSRC-Ingeniería Reproducir la Vulnerabilidad Localizar variantes Investigar código cercano y el diseño InvestigaciónInvestigación

7 Vulnerability disclosures for Microsoft and non-Microsoft products, 2H03-2H08 Non-Microsoft Microsoft

8 ISPs Socios de Negocios Gobiernos Proveedores e investigadores de Seguridad Instituciones Educativas Agencias de Ley / Policiales Compartir información Proteger a los Clientes Alertar situaciones críticas Institutiones Financieras Construir Alianzas con Socios en el Ecosistema de Seguridad

9 GIAIS MVP SCP VIA MVI LE Alianzas SAFI Gobiernos ISPs Investigadores de Seguridad InstitucionesFinancieras Expertos en Seguridad Entidades de Control / Policiales Proveedores de Seguridad Instituciones Educativas Construír alianzas fuertes con socios en el Ecosistema de Seguridad

10 SAFI (Security Alliance for Financial Institutions) Gratuito Intercambio de Información sobre amenazas, vulnerabilidades, ataques y tendencias en el Ecosistema financiero Solo se requiere firmar un NDA con Microsoft OTIS (Online Threat Information Sharing) Intercambio de información en tiempo real Lista de correo no-moderada Gratuito, se requiere firmar NDA

11 Soporte gratuito para: Incidentes de Seguridad Malware Incidentes relacionados con boletines y actualizaciones de seguridad Si tiene contrato de soporte con Microsoft, se mantinenen los SLAs pero el soporte es gratuito! Teléfonos de líneas de soporte: http://support.microsoft.com/gp/contactenos/es-la http://support.microsoft.com/gp/contactenos/es-la

12 Podemos ayudar a… Determinar si ocurrió un ataque o se comprometió el sistema Determinar si ocurrió un ataque o se comprometió el sistema Determinar la extensión de los daños Determinar la extensión de los daños Ayudar al cliente a recuperarse del ataque Ayudar al cliente a recuperarse del ataque Determinar cómo ocurrió el ataque Determinar cómo ocurrió el ataque Determinar cómo prevenir ataques futuros Determinar cómo prevenir ataques futuros Determinar cómo se puede mejorar el nivel de seguridad de la infraestructura del cliente Determinar cómo se puede mejorar el nivel de seguridad de la infraestructura del cliente

13 MSRC http://blogs.technet.com/msrc http://blogs.technet.com/msrc Security Research & Defense (SRD) Team Security Research & Defense (SRD) Team http://blogs.technet.com/srd http://blogs.technet.com/srdhttp://blogs.technet.com/srd MMPC Team http://blogs.technet.com/mmpc http://blogs.technet.com/mmpchttp://blogs.technet.com/mmpc MSRC Ecosystem Strategy http://blogs.technet.com/ecostrat http://blogs.technet.com/ecostrathttp://blogs.technet.com/ecostrat Microsoft Update http://blogs.technet.com/mu/default.aspx Microsoft Privacy Team http://blogs.technet.com/privacyimperative/default.aspx Windows Team http://windowsteamblog.com/blogs/windowsvista/default.aspx Consolidated and Built in Language Translator with RSS Feed www.microsoft.com/twc/blogs LATAM Security Blog http://blogs.technet.com/seguridad

14

15 © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.