(包括MS04-011)解决LSASS中的漏洞开始监视客户帮助线、新闻组和

举例论证结果
“Yankee Group 的调查显示，从安全角度看，企业对 Microsoft 安 全级别的评价大幅提高，已接近 Linux 的安全级别。在得分为 1 至 10 分的评价中，Microsoft 安全性得到 7.6 分，比去年类似调查中 的得分高一倍。Linux 的得分为 8.3 分，和去年没有太大变化。 DiDio 表示，Microsoft 转向每月安全更新周期并加强在抗击安全 问题方面所做的努力是安全评级大幅提高的主要原因。”
在下载中心、Windows Update 和/或 Office Update 上发布更新 发布公告 RSS Feed
安全公告网上广播 （发布后的星期三， 太平洋时间上午 11 点） 补充性网上广播 （如果需要）
提前通知即将发布 安全公告 (发布之前 的三个工作日)
客户电子邮件和即时消 息通知
社区推广 MS 现场人员警报和呼吁
“这些改变代表了 Microsoft 安全推广的又一次升华”
Jupiter 高级分析师 Joe Wilcox
“这显然是一件好事。关于如何保护 Windows 的安全建议越充分，效果就越 好……坦白说，软件供应商必须按照这 种方式运作。”
Gartner 副总裁和市场研究员 John Pescatore
提供用于恢复正 常操作的信息和 工具 向客户提供适当 的解决方案，例 如安全更新、工 具或修补程序 执行内部过程审 查，总结获得的 经验教训
案例研究：Sasser
关注
（2004 年 4 月 13 日至 28 日）
Microsoft 4 月发布wk.baidu.com全公告（包括 MS04-011）解决 LSASS 中的漏洞 开始监视客户帮助线、新闻组和社区活动以及新闻舆论调查
技术投资
说明性指导
业界合作 伙伴关系
基础卓越 安全创新
基于方案的内容和工具 权威性事件响应
意识和教育 协作和合作伙伴关系
Microsoft 安全响应中心
调查和解决 漏洞报告
提供报告安全漏洞的渠道 监视安全新闻组 全公司单点协调与沟通
Microsoft 安全响应过程
拥有并调整公司范围内安全响应过程 致力于通过安全工程和开发过程更新以避 免出现同样问题
建立关系和沟通
与执法人员和业界精英合作 与漏洞发现者协作
构建安全响应过程
安全公告发布过程
构建更简单的可管理过程
安全事件响应过程
提供及时的相关信息
增强和改进公告内容
帮助缓解和保护
扩充资源和支持
提供解决方案
发布安全更新
发布 内容创建 管理发现者 关系 甄别 漏洞报告
MSRC 通过以下方式接收 传入的漏洞报告： Secure@Microsoft.c om – 直接与 MSRC 联系 Microsoft TechNet 安 全站点 – 匿名报告 MSRC 对所有报告作出响 应： 对发现者提供全天二十 四小时响应服务级别协 议 必要时可以立即作出内 部 响应 评估报告以及可能对客 户产生的影响 了解漏洞的严重性 根据漏洞的严重性和被 利用的可能性评定漏洞 等级，并分配优先级 建立沟通渠道 快速响应 定期更新 构建社区 鼓励负责的报告 安全公告： 受影响的软件/组件 技术说明 变通办法和缓解方法 常见问题解答 鸣谢 安全公告 – 每月的第二 个星期二 调整所有内容和资源 向客户提供信息和指导 监视客户问题和新闻舆 论
警报与调动
（2005 年 2 月 9 日）
第一次报告 MSN Messenger 的公共漏洞检测 警报安全响应小组召集人员进入紧急事件工程和沟通工作室
开始分析技术详细资料 向客户传达初步指导，建议客户升级到最新版本的 MSN Messenger （包含修补程序）
评估与稳定
（2005 年 2 月 9 日）
警报与调动
（2004 年 4 月 29 日）
第一次报告即将爆发 Sasser 警报安全响应小组召集人员进入紧急事件工程和沟通工作室
开始分析技术详细资料，致力于解决方案（清理工具） 向客户传达初步指导
Sasser 登陆页面：www.microsoft.com/china/security 通过安全通知服务发送电子邮件警报
过程
教育
责任
SDL 结果
16 8
Service Pack 3 Service Pack 3
5
发布前的 2 年内的 公告 自发布 TwC 起的公告 发布前的 2 年内的 公告
解决
（2004 年 5 月 4 日 至 10 日）
持续更新删除工具，清理新变种
案例研究：MSN Messenger
关注
（2005 年 2月8日 至 9 日）
Microsoft 2005 年 2 月发布安全公告（包括 MS05-009）解决影响 MSN Messenger 6.1 和 6.2 的 PNG 处理漏洞 开始监视客户帮助线、新闻组和社区活动以及新闻舆论调查
www.microsoft.com/china/technet/security/defa
安全开发生命周期 (SDL)
定义软件开发过程每个阶段的安全要求和里程碑 对于存在重大安全风险的产品来说是必需的 包括最终安全审核 (FSR)，确定产品是否客户就绪型 产品 为开发人员、测试人员、项目经理、用户教育人员以 及 架构师提供必需的年度培训 通过 Microsoft 研究部门投资学术课程开发 发布关于编写安全代码、威胁建模和 SDL 的指导以 及课程 进行中衡量标准，提供早期警告 发布后衡量标准，评估最终收益（漏洞数） 适合团体和个人的培训
安全事件响应
概述
SSIRP - 软件安全事件响应计划
处理严重安全威胁的公司范围内过程 调动 Microsoft 全球资源 目标：
快速全面地了解问题 向客户提供及时、相关和一致的信息 提供工具、安全更新和其他帮助，恢复正常操作
响应安全事件
关注 警报 与调动 评估 与稳定
解决
观察环境，检测 任何潜在问题 利用与以下各方 的现有关系：
评估与稳定
（2004 年 5 月 30 日）
向合作伙伴以及全球现场人员发出警报 下载中心上发布 Sasser 蠕虫删除工具 1.0 版
Windows Update 上发布 Sasser 蠕虫删除工具 2.0 版 与客户和合作伙伴进行大量沟通，帮助清理系统：
Sasser 技术网上广播 联机支持聊天 更新 Microsoft 网站
声明紧急事件的 2 小时内发布客户指导
特定于事件的技术网上广播，提供指导和回答问题
帮助缓解和保护
对于 Sasser，在 2 天之内发布网上广播；对于 Blaster （冲击波），在 10 天之内发布网上广播
严重安全事件期间增加支持资源，包括 “回送传真” 选项以及网上聊天
提供解决方案
发布清理工具的加速过程（对于 Sasser，在 3 天之内；对于 Blaster，在 38 天之内） 向合作伙伴提供企业联合内容，帮助通知广大 计算机用户
登陆页面：www.microsoft.com/china/security/ 通过安全通知服务发送电子邮件警报 向合作伙伴以及全球现场人员发出警报
解决
（2005 年 2 月 10 日 至 11 日）
决定开始强制升级 MSN Messenger 将强制升级决定通知客户和合作伙伴：
更新 Microsoft 网站 合作伙伴和全球现场人员警报
透视Microsoft安全响应过程
凌云 计算机病毒分析师 安全商务及技术部 微软有限公司
微软安全反应中心
主要安全挑战
采取纵深防御措施 有效推出安全更新 管理扩展型企业中的访问
降低安全更新的频率
提供良好指导，确保系统安全
Microsoft 的安全焦点
远景
提供工具和指导确保客户安全，为安全软件和 服务提供可信赖解决方案
应该怎么办
注册申请通过电子邮件、即时消息、移动设备或 RSS 接 收安全更新通知 下载和部署安全更新（Microsoft 下载中心、Windows Update） 通过 secure@microsoft.com 报告安全漏洞 留意每月的 TechNet 安全公告网上广播 查看 Microsoft TechNet 安全站点上的信息和指南 查看 MSRC Blog：http://blogs.technet.com/msrc 遵循保护您的 PC 的 3 个步骤： (www.microsoft.com/china/security/protect/)
经过修订的技术安全公告格式：
增强和改进公告内容
增加每月汇总公告，包括每个公告的受影响软件的汇总表 增加每个漏洞的缓解方法和变通办法 增加更多有关分发和部署的信息和指导
改进 TechNet 安全站点上的公告搜索工具
扩充资源和支持
安全通报 发布后的星期三进行技术网上广播 安全公告的 RSS Feed 新通知服务，包括完整版本和即时消息警报 恶意软件删除工具
合作伙伴 安全研究人员和 发现者
召集会议，评估严 重性 将安全响应小组和 支持组调动为两个 主组：
紧急事件工程小组 紧急事件沟通小组
监视客户请求和 新闻舆论调查
开始监视全球新闻 舆论焦点和此问题 的客户支持线
评估情况和可用 的技术信息 开始致力于解决 方案 向客户、合作伙 伴以及新闻界传 达初步指导和变 通办法 通知 Microsoft 现场销售和支持 人员
更新开发工具 和方法 测试 创建修补程序
SWI 和产品小组： 调查漏洞影响 找到变种 调查对应源码和设计 生成用于测试的修补程 序 几种测试级别： 安装程序和内部版本验 证 深度 集成和广度 Microsoft 公司网络 受控的测试版本 更新最佳方法 更新测试工具 更新开发和设计过程
全球推广
安全供应商
Yankee Group 分析师 Laura DiDio
（摘自 http://www.msnbc.msn.com/id/7383172/)
介绍安全通报
补充 Microsoft 安全公告
提供与安全相关的软件更改或软件更新的指导和信息 以后的主题可能包括以下示例：
与安全漏洞无关的 “纵深防御” 安全增强或更改 可能适用于已公开披露的漏洞的指导和缓解
中等
由于默认配置、审核或难以利用等因素，该漏洞的可 利用性显著降低
低
漏洞利用非常困难或影响很小
更多信息：www.microsoft.com/technet/security/bulletin/rating.mspx
推广与交流
发布前
第二个 星期二 发布日
发布后
接受和甄别漏洞报 告 开发和测试修补程 序 创建安全公告内容
内容
最高级的摘要信息，详细描述发布通报的原因 常见问题解答 建议措施 当我们有新信息时可能随时更新
更多信息
引用统一的知识库文章编号作为附加信息 注册申请安全通知服务完整版本
www.microsoft.com/china/technet/security/advisory/default.mspx
业界评价
通过 PSS 和 Windows Update 监视公告使用 情况和客户问题
公告维护
客户过程改进
转向每月发布安全公告：
构建更简单的 可管理过程
一个可预测、可管理的过程 实现预先规划和准备 软件更新验证程序，帮助确保质量
在发布之前的三个工作日提前通知
在 Microsoft.com 上公开发布；可通过电子邮件发送警报
主动转向强制升级，最大程度地减小蠕虫的影响和传播范围
从沟通到解决
创建的特定于事件的登陆页面： www.microsoft.com/china/security
提供及时的 相关信息
Sasser、MyDoom、ASP.NET 仅 5 月份，Sasser 页面的访问量就超过 8990 万人次，访问客户超过 1900 万
安全研究人员 Microsoft 客户 Microsoft 合作伙伴
业界精英
Microsoft 安全响应
政府机构
新闻界与 分析师 产品组 全球现场和 支持
执法人员
公告严重性等级
严重
漏洞利用可能允许 Internet 蠕虫无需用户操作即 可传播
重要
漏洞利用可能会危及用户数据的机密性、完整性或可 用性，或者危及处理资源的完整性或可用性
“如果可以获得更权威的信息，您会感到更 加放心……而获得权威信息最理想的来源 是创建软件的组织，因为他们最清楚问题 所在。”
“这是我们乐于见到的。对于我 们来说，这将在很多方面让事 情变得更容易”
Secunia 首席技术官 Thomas Kristensen
SANS Institute 研究总监 Alan Paller