Udostępnianie informacji i wymiana

Misją programu zabezpieczeń rządowych (GSP) firmy Microsoft jest budowanie zaufania poprzez przejrzystość. Od czasu powstania programu w 2003 r. firma Microsoft zapewniła wgląd w nasze artefakty technologii i zabezpieczeń, których rządy i organizacje międzynarodowe mogą używać do ochrony siebie i swoich obywateli. Oferta Udostępniania informacji i programu Exchange umożliwia firmie Microsoft udostępnianie i wymianę materiałów dotyczących zagrożeń bezpieczeństwa, luk w zabezpieczeniach, nietypowych zachowań, informacji o złośliwym oprogramowaniu i problemów z zabezpieczeniami dotyczących produktów i usług firmy Microsoft lub związanych z nimi.

Ta oferta łączy grupy i zasoby w środowisku firmy Microsoft, aby pomóc rządom chronić obywateli, infrastrukturę i organizacje.

Oferta wymiany i udostępniania informacji (ISE) zapewnia

Nazwa Szczegół
Zaawansowane powiadomienia o lukach w zabezpieczeniach
  • 5-dniowe zaawansowane powiadomienie o lukach w zabezpieczeniach z informacjami o wersji i tabelami oprogramowania, których dotyczy problem
  • 24-godzinne zaawansowane powiadomienie, w tym indeks możliwości wykorzystania
    		•
    Złośliwe adresy URL
  • Zbiór danych potencjalnie złośliwych serwerów i usług skierowanych do publiczności wykrytych przez roboty indeksujące Bing
  • Aktualizowane co trzy godziny, 5-dniowy cykl danych
    		•
    Kanały informacyjne botnetu CTIP
  • Dostarczone przez Program Wywiadu o Zagrożeniach Cybernetycznych (CTIP) w Jednostce Przestępstw Cyfrowych (DCU)
  • Dane botnetu są dostosowane do agencji (lub do domen najwyższego poziomu z kodem kraju w przypadku CZERT).
  • 4 kanały informacyjne: zainfekowane urządzenie, polecenia i kontrola, IoT i domeny
  • Dostarczane niemal w czasie rzeczywistym, co godzinę lub codziennie (deduplikowane)
    		•
    Czyszczenie danych metapliku
  • Czyszczenie danych skrótu pliku często używanych do wyświetlania listy dozwolonych i śledczych
  • Aktualizacja co 3 godziny
  • Obejmuje wszystkie pliki binarne firmy Microsoft w Centrum pobierania Microsoft
    		•
    Partnerstwa
  • Wymiana informacji za pośrednictwem różnych forów
  • Dostęp do portalu Digital Crimes Community (DCU)
  • Udostępnianie danych wywiadowczych o zagrożeniach z jednostką Digital Crimes Unit (DCU)
  • Bezpośrednie zaangażowanie w grupy inżynieryjne i inne zespoły firmy Microsoft, w tym Centrum zabezpieczeń firmy Microsoft (MSRC) i Usługę Windows Defender Security Intelligence
    		•

    Dostarczanie źródeł danych

    Kanały informacyjne oferowane w ramach autoryzacji ISE znajdują się w kilku grupach, w tym Microsoft Security Response Center (MSRC),Digital Crimes Unit (DCU),Bingi Product Release and Security Services (PRSS).

    Zespół GSP udostępnia aplikację internetową , która umożliwia agencjom GSP dostęp do źródeł danych ISE z jednego interfejsu. Cała komunikacja zawierająca poufne dane są szyfrowane.

    Dostarczanie źródła danych

    Opisy użycia danych

    Powiadomienie o aktualizacji zaawansowanej zabezpieczeń Pakiet powiadomień zawiera listę wszystkich CVEs (Common Vulnerabilities and Exposures, Typowe Luki w Zabezpieczeniach i Ekspozycje) adresowanych w tej wersji. Każdy CVE zawiera zestaw informacji, w tym opis luki w zabezpieczeniach (w tym metryki), indeks możliwości wykorzystania i oprogramowanie, którego dotyczy problem.

    Zawartość dla każdego CVE

    Złośliwe adresy URL Bing Źródło złośliwych adresów URL Bing zawiera publiczne serwery lub usługi, które zostały zidentyfikowane jako potencjalnie złośliwe. Nowe pliki są przekazywane co trzy godziny; pełne zestawy danych są generowane w ciągu 5 dni. Wiele agencji importuje pliki JSON bezpośrednio do istniejących narzędzi analizy zagrożeń.

    Mapa geograficzna adresów IP

    Typy zagrożeń

    Czyszczenie metadanych plików (CFMD)

    Źródło danych metadanych clean file (CFMD) zawiera skróty kryptograficzne (SHA256) dla plików zawartych w produktach firmy Microsoft. Są one często używane w badaniach kryminalistycznych potencjalnie zagrożonych urządzeń i w celu zezwolenia/nie zezwalania na wykonywanie plików w systemach krytycznych.

    Czyszczenie metadanych pliku

    Źródła danych botnetu CTIP: zainfekowany strumień danych

    DCU dostarcza dane ofiar z botnetu poprzez usługę CTIP, Infected Device Data Feed, aby umożliwić scenariusze ochrony sieci dla subskrybentów CTIP i wspierać naprawę naruszonych systemów, mając na celu zmniejszenie liczby zainfekowanych systemów w Internecie. Inne źródła danych obejmują listy Command and Control (C2), IoT i Domains, które są często używane do ograniczania przepływu ruchu do znanych sieci złośliwego oprogramowania za pośrednictwem zapór i ochrony systemu DNS.

    Dane CTIP 1

    Dane CTIP 2

    Skontaktuj się z nami

    Skontaktuj się z lokalnym przedstawicielem firmy Microsoft, aby dowiedzieć się więcej o programie zabezpieczeń dla instytucji rządowych.

    • Last updated on