Udostępnianie informacji i wymiana

  • Artykuł

Misją programu zabezpieczeń rządowych (GSP) firmy Microsoft jest budowanie zaufania poprzez przejrzystość. Od czasu powstania programu w 2003 r. firma Microsoft zapewniła wgląd w nasze artefakty technologii i zabezpieczeń, których rządy i organizacje międzynarodowe mogą używać do ochrony siebie i swoich obywateli. Oferta Udostępniania informacji i programu Exchange umożliwia firmie Microsoft udostępnianie i wymianę materiałów dotyczących zagrożeń bezpieczeństwa, luk w zabezpieczeniach, nietypowych zachowań, informacji o złośliwym oprogramowaniu i problemów z zabezpieczeniami dotyczących produktów i usług firmy Microsoft lub związanych z nimi.

Ta oferta łączy grupy i zasoby w środowisku firmy Microsoft, aby pomóc rządom chronić obywateli, infrastrukturę i organizacje.

Oferta udostępniania informacji i wymiany (ISE) zapewnia

Nazwisko Szczegół
Zaawansowane powiadomienia o lukach w zabezpieczeniach
  • 5-dniowe zaawansowane powiadomienie o lukach w zabezpieczeniach z informacjami o wersji i tabelami oprogramowania, których dotyczy problem
  • 24-godzinne zaawansowane powiadomienie, w tym indeks możliwości wykorzystania
    		•
    Złośliwe adresy URL
  • Kanał informacyjny potencjalnie złośliwych serwerów i usług wykrytych przez przeszukiwarki Bing
  • Aktualizowane co trzy godziny, 5-dniowy cykl danych
    		•
    Kanały informacyjne botnetu CTIP
  • Dostarczone przez program cyberbezpieczeństwa (CTIP) w jednostce przestępstw cyfrowych (DCU)
  • Dane botnetu są dostosowane do agencji (lub domeny najwyższego poziomu kodu kraju w przypadku certs)
  • 4 kanały informacyjne: zainfekowane urządzenie, polecenia i kontrola, IoT i domeny
  • Dostarczane niemal w czasie rzeczywistym, co godzinę lub codziennie (deduplikowane)
    		•
    Czyszczenie danych metapliku
  • Czyszczenie danych skrótu pliku często używanych do wyświetlania listy dozwolonych i śledczych
  • Aktualizacja co 3 godziny
  • Obejmuje wszystkie pliki binarne firmy Microsoft w Centrum pobierania Microsoft
    		•
    Partnerstwa
  • Wymiana informacji za pośrednictwem różnych forów
  • Dostęp do portalu Digital Crimes Community (DCU)
  • Udostępnianie danych analizy zagrożeń w jednostce Digital Crimes Unit (DCU)
  • Bezpośrednie zaangażowanie w grupy inżynieryjne i inne zespoły firmy Microsoft, w tym Centrum zabezpieczeń firmy Microsoft (MSRC) i Usługę Windows Defender Security Intelligence
    		•

    Dostarczanie źródeł danych

    Kanały informacyjne oferowane w ramach autoryzacji ISE znajdują się w kilku grupach, w tym Microsoft Security Response Center (MSRC), Digital Crimes Unit (DCU), Bing i Product Release and Security Services (PRSS).

    Zespół GSP udostępnia aplikację internetową, która umożliwia agencjom GSP dostęp do źródeł danych ISE z jednego interfejsu. Cała komunikacja zawierająca poufne dane są szyfrowane.

    Data Feed delivery

    Opisy użycia danych

    Powiadomienie o zaawansowanej aktualizacji zabezpieczeń Pakiet powiadomień zawiera listę wszystkich cve (typowe luki w zabezpieczeniach i ekspozycji) adresowanych w wersji. Każdy CVE zawiera zestaw informacji, w tym opis luki w zabezpieczeniach (w tym metryki), indeks możliwości wykorzystania i oprogramowanie, którego dotyczy problem.

    Content for each CVE

    Złośliwe adresy URL Bing Złośliwe adresy URL kanał informacyjny Bing zawiera publicznie dostępne serwery lub usługi, które zostały zidentyfikowane jako potencjalnie złośliwe. Nowe pliki są przekazywane co trzy godziny; pełne zestawy danych są generowane w ciągu 5 dni. Wiele agencji importuje pliki JSON bezpośrednio do istniejących narzędzi analizy zagrożeń.

    Geo map of IPs

    Threat types

    Czyszczenie danych metapliku (CFMD)

    Źródło danych metadanych clean file (CFMD) zawiera skróty kryptograficzne (SHA256) dla plików zawartych w produktach firmy Microsoft. Są one często używane w badaniach kryminalistycznych potencjalnie zagrożonych urządzeń i w celu zezwolenia/nie zezwalania na wykonywanie plików w systemach krytycznych.

    Clean File Metadata

    Źródła danych botnetu CTIP: zainfekowany kanał danych

    DcU zapewnia naruszone dane botnetu ofiary za pośrednictwem usługi analizy zagrożeń CTIP usługi CTIP Infected device data feed, aby umożliwić scenariusze ochrony sieci dla subskrybentów CTIP i ułatwić korygowanie naruszonych systemów celem zmniejszenia liczby zainfekowanych systemów w Internecie. Inne źródła danych obejmują listy Command and Control (C2), IoT i Domains, które są często używane do ograniczania przepływu ruchu do znanych sieci złośliwego oprogramowania za pośrednictwem zapór i ochrony systemu DNS.

    CTIP data 1

    CTIP data 2

    Skontaktuj się z nami

    Skontaktuj się z lokalnym przedstawicielem firmy Microsoft, aby dowiedzieć się więcej o programie zabezpieczeń dla instytucji rządowych.