Condivisione e scambio di informazioni

  • Articolo

La missione di Microsoft Government Security Program (GSP) è quella di creare fiducia attraverso la trasparenza. Dall'inizio del programma nel 2003, Microsoft ha fornito visibilità sui nostri artefatti tecnologici e di sicurezza, che i governi e le organizzazioni internazionali possono usare per proteggere se stessi e i loro cittadini. L'offerta condivisione e scambio di informazioni consente a Microsoft di condividere e scambiare materiali sulle minacce alla sicurezza, sulle vulnerabilità, sul comportamento anomalo, sulle informazioni sul malware e sui problemi di sicurezza relativi a prodotti e servizi Microsoft.

Questa offerta riunisce gruppi e risorse nell'ambiente Microsoft per aiutare i governi a proteggere cittadini, infrastrutture e organizzazioni.

L'offerta condivisione e scambio di informazioni (I edizione Standard) offre

Nome Dettagli
Avviso avanzato delle vulnerabilità di sicurezza
  • Avviso avanzato di 5 giorni sulle vulnerabilità con note sulla versione e tabelle software interessate
  • Avviso avanzato di 24 ore, incluso l'indice di sfruttabilità
    		•
    URL dannosi
  • Feed di server e servizi potenzialmente dannosi rilevati dai crawler Bing
  • Aggiornato ogni tre ore, ciclo di dati di 5 giorni
    		•
    Feed botnet CTIP
  • Fornito dal Digital Crimes Unit (DCU) Cyber Threat Intelligence Program (CTIP)
  • I dati di Botnet sono personalizzati per l'agenzia (o il dominio di primo livello del codice paese nel caso di CERT)
  • 4 feed: dispositivo infetto, comando e controllo, IoT e domini
  • Consegnata quasi in tempo reale, oraria o giornaliera (deduplicata)
    		•
    Pulisci metadati file
  • Pulire i dati hash dei file spesso usati per l'inserimento di elementi consentiti e forensi
  • Aggiornamento ogni 3 ore
  • Vengono illustrati tutti i file binari Microsoft nell'Area download Microsoft
    		•
    Partenariato
  • Scambio di informazioni attraverso un'ampia gamma di forum
  • Accesso al portale DCU (Digital Crimes Community)
  • Condivisione dei dati di Intelligence sulle minacce con Digital Crimes Unit (DCU)
  • Coinvolgimento diretto con i gruppi di progettazione e altri team Microsoft, tra cui Microsoft Security Response Center (MSRC) e Windows Defender Security Intelligence
    		•

    Recapito dei feed di dati

    I feed offerti con l'autorizzazione I edizione Standard risiedono all'interno di diversi gruppi, tra cui Microsoft Security Response Center (MSRC), Digital Crimes Unit (DCU), Bing e Product Release and Security Services (PRSS).

    Il team GSP fornisce un'applicazione basata sul Web che consente alle agenzie GSP di accedere ai feed di dati I edizione Standard da una singola interfaccia. Tutte le comunicazioni contenenti dati sensibili vengono crittografate.

    Data Feed delivery

    Descrizioni dell'uso dei dati

    Notifica di aggiornamento della sicurezza avanzata Il pacchetto di avviso elenca tutti i CVE (vulnerabilità comuni ed esposizioni) risolti nella versione. Ogni CVE contiene un set di informazioni, tra cui la descrizione della vulnerabilità (incluse le metriche), l'indice di sfruttabilità e il software interessato.

    Content for each CVE

    URL dannosi Bing Il feed di URL dannosi Bing contiene server o servizi esposti pubblicamente che sono stati identificati come potenzialmente dannosi. I nuovi file vengono caricati ogni tre ore; i set di dati completi vengono generati in 5 giorni. Molte agenzie importano i file JSON direttamente negli strumenti di analisi delle intelligence sulle minacce esistenti.

    Geo map of IPs

    Threat types

    Pulisci metadati file (CFMD)

    Il feed Clean File Meta Data (CFMD) contiene firme crittografiche (hash SHA256) per i file contenuti nei prodotti Microsoft. Questi vengono spesso usati negli esami forensi di dispositivi potenzialmente compromessi e per consentire/impedire l'esecuzione dei file nei sistemi critici.

    Clean File Metadata

    Feed botnet CTIP: feed di dati infetti

    Il DCU fornisce dati di botnet vittima compromessi tramite il feed di dati dei dispositivi infetti del servizio di intelligence per le minacce CTIP del DCU, per abilitare gli scenari di protezione di rete per i sottoscrittori CTIP e per facilitare la correzione dei sistemi compromessi con l'obiettivo di ridurre il numero di sistemi infetti su Internet. Altri feed includono gli elenchi Comando e Controllo (C2), IoT e Domini che vengono spesso usati per limitare il flusso di traffico a reti malware note tramite firewall e DNS protettivo.

    CTIP data 1

    CTIP data 2

    Contattaci

    Per altre informazioni sul Programma di sicurezza per enti pubblici, contattare il rappresentante Microsoft locale.