Microsoft: hogyan tovább?

A Microsoft 2002-ben több mint 200 millió dollárt fektetett be a Windows biztonságának javításába, és még többet az egyéb termékek biztonságával kapcsbeáolatos munkába. Ezek azonban csupán a „Megbízható Számítástechnika” névre keresztelt program megvalósításának első lépései. A Microsoft felelősséggel tartozik azért, hogy segítsen ügyfeleinek a megbízhatóság problémáinak kezelésében, hogy ne kelljen választaniuk a biztonság és a használhatóság között.

A Megbízható Számítástechnika négy alappillére

A megbízhatóság a mai számítástechnikai gyakorlatban alapvető elvárás. Többet jelent pusztán egy megbízható szoftvernél, átfogja az ügyfélkapcsolatok minőségjavításának egészét. Alapja, hogy a számítógépes rendszer szükség esetén bármikor üzemképes és a felhasználó által elvárt szinten teljesít.

A biztonság alapkövetelmény a mai rendszerek kiépítésében. A támadásoknak való ellenállását jelenti, és hogy a rendszer és az adatok titkossága, sérthetetlensége és hozzáférhetősége egyaránt védett. A Microsoft megkezdte fejlesztőinek és munkatársainak átképzését a célból, hogy biztonságosabb kódokat írjanak, és még a termékek szállítása előtt megtalálják a sebezhető pontokat. A támadási felületek csökkentése érdekében alapértelmezett esetben „biztonságosan” szállítja a cég a termékeit, amely azt jelenti, hogy a legmagasabb biztonsági beállításokkal kapja kézhez a vásárló a szoftvert. Ezen felül a magánszemélyek és a kisebb cégek automatikusan követhetik a biztonsági javítócsomagok megjelenését a Windows Update automatikus frissítések segítségével, a nagyobb vállalatokat pedig a 2002-ben bemutatott Systems Management Server 2.0 SUS Feature Pack segíti a javítócsomagok követésében.

Az adatvédelem jegyében a Microsoft célja az, hogy nagyobb kontrollt biztosítson az egyénnek személyes információi felett. A cég négy területen erősíti az adatvédelmet: adatvédelem a tervezésben, adatvédelem az alapbeállításokban, adatvédelem a telepítésben, valamint a kommunikáció területén. A Tisztességes Információkezelési Gyakorlatok (Fair Information Practices) folyamatosan tájékoztatják a vevőket, és lehetővé teszik számukra a személyes információik kontrollálását. E gyakorlatok segítenek az adatok nem kívánt gyűjtése, felhasználása, terjesztése, vagy az adatokhoz való nem kívánt hozzáférés elleni védekezésben.

Az üzleti tisztesség azt jelenti, hogy az iparágunkon belüli cégek felelősséget vállalnak ügyfeleikért, és segítik őket abban, hogy üzleti problémáikra megoldást találjanak, a problémákat termékeikkel, szolgáltatásaikkal, illetve az ügyfelekkel való együttműködésük során oldják meg.

A megbízható számítástechnikai környezet megvalósítása

Biztonság a tervezésben

2002. elején a Microsoft leállította 8500 Windows-mérnök fejlesztő munkáját, hogy a vállalat 10 hetes intenzív biztonsági képzést tartson számukra, és elemezzék a Windows kódbázisát. A veszélymodellezési folyamat arra oktatta a programmenedzsereket, programfejlesztőket és programtesztelőket, hogy úgy gondolkodjanak, mint a támadók. A veszélyelemzés során megtalálták a Windows biztonsági programjában azonosított vírusok felét.

Minimalizálta a biztonsághoz kapcsolódó kódok mennyiségét a támadásnak kitett termékekben, valamint, hogy hatékonyabbá tette a nagyobb kódrészletek tesztelését. Annak optimalizálása érdekében, hogy mely tesztet a tervezési ciklus mely pontján kell futtatni, a Microsoft olyan rendszert fejlesztett ki, amely a programban végrehajtott változások alapján prioritást állít fel az alkalmazásra vonatkozó teszteket illetően. A rendszer képes arra, hogy több millió sornyi forráskódot tartalmazó hatalmas programokon működjön, és néhány percen belül eredményt produkáljon. Korábban ez órákat vagy napokat vett igénybe.

A Microsoft biztonsági felülvizsgálatainak terjedelme a szoftvergyártók között példa nélküli. A gyenge pontok kiküszöbölése olyan termékekkel történik, mint például a Windows XP Service Pack 1. A Visual Studio .NET-et alaposan átvizsgálták tervezési, veszélymodellezési és biztonsági szempontból, és a következő hónapokban más olyan termékek is piacra kerülnek, amelyek keresztül mentek a megbízható számítástechnika biztonsági felülvizsgálati ciklusán: a Windows Server 2003, az SQL és az Exchange Server következő verziói, valamint az Office 11.

Jelenleg olyan Windows PC platformú hardver/szoftver architektúrán dolgozik a vállalat (eredeti kódneve Palladium), amely a sok „gyenge láncszem” kiküszöbölésével növelni fogja a számítógépes rendszerek integritását, titkosságát és adatbiztonságát.

Alapbeállításban biztonságos

A támadási felületek csökkentése érdekében a Microsoft már alapbeállításként „biztonságosan” szállítja termékeit, amely azt jelenti, hogy a legmagasabb szintű biztonsági beállítások kerültek alapbeállításra. A vásárlók ezt a változást a Windows XP Service Pack 1-től kezdődően élvezhetik, amely esetében a megosztási jogok a teljes hozzáférés szintjéről a csak olvasás szintjére módosultak, illetve a tűzfal konfigurációja alapbeállításként bekapcsolt állapotba került. Az alapbeállítások, illetve a különböző modulok mellett a vásárlónak lehetősége van szabadon letölthető biztonsági eszközökkel (például Internet Information Services lockdown – Internet információs rendszerek zárolása) az alapvető biztonsági szinttel megegyező minőségű szintre állítani már meglévő alkalmazásait. A Windows Server 2003-hoz hasonló termékek a jövőben is folytatják majd a támadási felületek csökkentésének irányvonalát.

Biztonságos üzemeltetés

Annak érdekében, hogy a vásárlók a termékeket biztonságosan tudják telepíteni és karbantartani, a Microsoftnak megfelelő eszközöket és részletes iránymutatást kell biztosítania. Az elmúlt év folyamán a Microsoft kiegészítette és továbbfejlesztette biztonsági eszközeit. A magánszemélyek, illetve a kisebb cégek automatikusan követhetik a biztonsági javítócsomagok megjelenését a Windows Update (Windows frissítés) automatikus frissítésének segítségével. Az elmúlt évben pedig bemutatta a Software Update Services (SUS – szoftverfrissítési szolgáltatások), valamint a Systems Management Server 2.0 SUS Feature Packet, melyek a nagyobb vállalkozásokat segítik a javítócsomagok követésében. A társaság kihozta a Microsoft Baseline Security Analyzert is, mely kikeresi a hiányzó biztonsági javítócsomagokat, figyelmeztet a gyengére állított biztonsági jellemzőkre, és tanácsokat is ad a felhasználó számára a feltárt hiányosságok megszüntetésére. A Microsoft elkészítette a Windows 2000, illetve az Exchange 2000 átfogó dokumentációját, melynek segítségével biztosítható, hogy a vásárló a terméket a megfelelő biztonsági jellemzőkkel telepíti és konfigurálja.

Kommunikáció

Annak érdekében, hogy az ügyfelek a biztonsági kérdésekről szélesebb körű tájékoztatást kapjanak, a Microsoft számos jelentős változtatást vezetett be az elmúlt év folyamán. 2002-ben a vásárlók visszajelzései alapján láthatóvá vált, hogy a biztonságtechnikai hírlevelek, bármennyire is hasznosak a profi számítástechnikusok számára, mégis túl részletesek az átlagos felhasználóknak. Az ügyfelek kiemelték továbbá azt is, hogy szeretnék a különböző biztonsági javítócsomagok közötti különbségeket tisztábban látni, hogy eldönthessék, melyiket kívánják alkalmazni, illetve azt milyen prioritással szükséges használni.

Mindezek eredményeképpen a Microsoft a szakma szakértőivel együttműködve kialakította a biztonságtechnikai hírlevelek komolyságának skáláját, illetve a professzionális számítástechnikai hírlevelek mellett elindította az átlagos felhasználóknak szóló hírleveleket is, mely jobban illeszkedik a vásárlók informatikai tudásának szintjéhez. A visszajelzések eredménye továbbá az is, hogy elindult a felhasználói biztonságtechnikai hírlevelekre figyelmeztető e-mail szolgáltatás is. 2003-ban a Microsoft lehetővé teszi vásárlói számára, hogy csupán az általuk választott egyedi hírleveleket kapják majd meg. A közvetlen kapcsolattartás, illetve a vásárlói tájékoztatási fórumokon (például CSO Forum) történő részvétel segítségével a Microsoft javítani kívánja átfogó ügyfél kommunikációját.