Informationsdelning och Exchange

  • Artikel

Syftet med Microsofts GSP (Government Security Program) är att skapa förtroende genom transparens. Sedan programmet startades 2003 har Microsoft gett insyn i våra teknik- och säkerhetsartefakter, som regeringar och internationella organisationer kan använda för att skydda sig själva och sina medborgare. Med erbjudandet Informationsdelning och Exchange kan Microsoft dela och utbyta material om säkerhetshot, sårbarheter, avvikande beteende, information om skadlig kod och säkerhetsproblem mot eller relaterade till Microsofts produkter och tjänster.

Det här erbjudandet samlar grupper och resurser i Microsoft-miljön för att hjälpa myndigheter att skydda medborgare, infrastruktur och organisationer.

Erbjudandet informationsdelning och Exchange (ISE) tillhandahåller

Name Information
Avancerat meddelande om säkerhetsrisker
  • 5 dagars förhandsmeddelande om sårbarheter med viktig information och berörda programvarutabeller
  • 24-timmars förhandsmeddelande inklusive sårbarhetsindex
    		•
    Skadliga URL:er
  • Flöde av potentiellt skadliga offentligt riktade servrar och tjänster som identifierats av Bing-crawlare
  • Uppdaterades var tredje timme, 5-dagars datacykel
    		•
    CTIP Botnet-feeds
  • Tillhandahålls av enheten för digitala brott (DCU) Cyber Threat Intelligence Program (CTIP)
  • Botnet-data är skräddarsydda för byrån (eller landskodens toppnivådomän när det gäller CERTIFIKAT)
  • 4 feeds: Infekterad enhet, kommando och kontroll, IoT och domäner
  • Levereras nära realtid, timme eller dag (deduplicerad)
    		•
    Rensa filmetadata
  • Rensa filhashdata som ofta används för tillåtna listor och kriminalteknik
  • Uppdaterad var 3:e timme
  • Omfattar alla Microsoft-binärfiler i Microsoft Download Center
    		•
    Partnerskap
  • Informationsutbyte via en mängd olika forum
  • Åtkomst till DCU-portalen (Digital Crimes Community)
  • Datadelning med hotinformation med enheten för digitala brott (DCU)
  • Direkt engagemang med teknikgrupper och andra Microsoft-team, inklusive Microsoft Security Response Center (MSRC) och Windows Defender Security Intelligence
    		•

    Leverans av dataflöden

    Feeds som erbjuds under ISE-auktoriseringen finns i flera grupper, inklusive Microsoft Security Response Center (MSRC), Digital Crimes Unit (DCU), Bing och Product Release and Security Services (PRSS).

    GSP-teamet tillhandahåller ett webbaserat program som gör det möjligt för GSP-byråer att komma åt ISE-dataflöden från ett enda gränssnitt. All kommunikation som innehåller känsliga data krypteras.

    Data Feed delivery

    Beskrivningar av dataanvändning

    Advanced Security Update Notification Meddelandepaketet innehåller en lista över alla CVE:er (vanliga sårbarheter och exponeringar) som behandlas i versionen. Varje CVE innehåller en uppsättning information, inklusive sårbarhetsbeskrivning (inklusive mått), sårbarhetsindex och påverkad programvara.

    Content for each CVE

    Skadliga URL:er i Bing Det skadliga URL-flödet i Bing innehåller offentligt riktade servrar eller tjänster som har identifierats som potentiellt skadliga. Nya filer laddas upp var tredje timme. fullständiga datamängder genereras om 5 dagar. Många byråer importerar JSON-filerna direkt till sina befintliga verktyg för hotinformationsanalys.

    Geo map of IPs

    Threat types

    Rensa filmetadata (CFMD)

    CFMD-feeden (Clean File Meta Data) innehåller kryptografiska signaturer (SHA256-hashvärden) för filerna som finns i Microsoft-produkter. Dessa används ofta vid kriminaltekniska undersökningar av potentiellt komprometterade enheter och för att tillåta/neka filkörning i kritiska system.

    Clean File Metadata

    CTIP Botnet-feeds: Infekterat dataflöde

    DCU tillhandahåller komprometterade botnätdata för offer via DCU: s CTIP-hotinformationstjänst Infekterad enhetsdataflöde, för att aktivera nätverksskyddsscenarier för CTIP-prenumeranter och för att underlätta reparation av de komprometterade systemen med målet att minska antalet infekterade system på Internet. Andra feeds är listorna Kommando och kontroll (C2), IoT och Domäner som ofta används för att begränsa trafikflödet till kända nätverk för skadlig kod via brandväggar och skyddande DNS.

    CTIP data 1

    CTIP data 2

    Kontakta oss

    Kontakta din lokala Microsoft-representant om du vill veta mer om regeringens säkerhetsprogram.