deep security

André Tsutomu Takegawa

Channel Sales Manager

2012

Data Center Evolution: Physical. Virtual. Cloud.

1 1 9/21/2012 Copyright 2012 Trend Micro Inc.

Physical Desktops & Servers

Desktop Virtualization

Server Virtualization

Private Cloud

Hybrid Cloud Public Cloud

Mobile

BYOPC

Journey to the Cloud

Onde estão seus dados?

2 9/21/2012 Copyright 2012 Trend Micro Inc.

Riscos de segurança por plataforma

Um único modelo de segurança entre Fisico, Virtual, e Núvem

Visibility & Threats

• Menos visibilidade

• Risco externo maior

Performance & Ameaças

• Segurança degrada a

performance

• Novos tipos de desafios de

segurança

Gerenciamento

• Excesso de produtos de

segurança

• Menos segurança

• Maior TCO

Virtual Núvem Fisico

Aumentar eficiência Entregar agilidade Reduzir

complexidade

Segurança Integrada

Console de gerência única


Fisico

Deep Security

Virtual

Cloud Computing

5

IDS / IPS

Web Application Protection

Application Control

Firewall

Deep Packet Inspection

Log

Inspection

Anti-Virus

Detects and blocks known and

zero-day attacks that target

vulnerabilities Shields web application

vulnerabilities Provides increased visibility into,

or control over, applications

accessing the network

Reduces attack surface.

Prevents DoS & detects

reconnaissance scans

Detects malicious and

unauthorized changes to

directories, files, registry keys…

Optimizes the

identification of important

security events buried in

log entries

Detects and blocks malware

(web threats, viruses &

worms, Trojans)

Trend Micro Deep Security

Protection is delivered via Agent and/or Virtual Appliance

5 protection modules

Integrity

Monitoring

Vmware

OS

CRM

OS

MAIL

OS

APP

OS

CRM

OS

+ OS

+ OS

+

OS

AV

IPS

OS OS

CR

M

MA

IL

CR

M

AP

P

OS

Citrix e Microsoft

AV

IPS

AV

IPS

AV

IPS

Com agentes em cada VM

Integrada na camada de

virtualização

Deep Security Arquitetura

OS

AV

IPS

OS OS

CR

M

MA

IL

CR

M

AP

P

OS

AV

IPS

AV

IPS

AV

IPS Com agentes

em cada servidor físico e

Cloud

Virtual Patching

Segur. Virtualização

Segur. Virtualização

Virtual

O Ambiente virtual é mais seguro que o físico?

Novos Desafios

Console

Típico AV 3:00am Scan

“Tempestade”

de Antivírus

Verificações automáticas sobrecarregam o sistema

Segurança de Virtualização

Desafio: Disputa de Recursos

• Smart Scan

VM VM VM

Citrix e Hypervisor

Appliance Vrtual de Segurança

VM VM VM

Vmware

VM

• Deduplicação

Segurança da Virtualização

Qual é a Solução? Trend Micro Deep Security

VM VM VM VM VM VM

Otimiza a Performance e o ROI

Fontes: “Tolly Enterprises Test Report, Trend Micro Deep Security vs. McAfee and Symantec”, Fevereiro/2011; Estimativa de economia baseada em cálculos do

ROI feitos pela VMware

0 10 20 30 40 50 60 70 80

Traditional AV

Agentless AV

Servidores de VMs por host

75

25 3X higher VDI VM consolidation ratios

Cost Reduction & Consolidation 1

Economia em 3 anos para 1000 VDI VMs = US$ 539.600

Em Vmware

Aumento de ROI com Deep Security

Exemplo: Antivírus sem Agentes

AV Tradicional Taxas de consolidação de VMs 3X maior

AV sem agentes

VMs reativadas e clonadas podem ter segurança desatualizada

Dormente

13

Cost Reduction & Consolidation 1 Segurança da Virtualização

Desafio: Instant-on Gaps

Ativa

Clonada

Reativada com

segurança

desatualizada

Copyright 2011 Trend Micro Inc. Classification 9/21/2012

Deep Security Virtual Appliance Melhor proteção

Regras de firewall aplicadas!

Anti-malware atualizado !

Web App Protection ativado !

Regras de IPS aplicadas !

Virtual Patching protegendo !

h y p e r v i s o r

OS

CRM

OS

MAIL

OS

CRM

v

APP

OS v v v

APP

OS v

!

• Instant ON Protection, Tumper-Proofing, etc.

Ataques podem se espalhar entre as VMs

Segurança da Virtualização

Desafio: Inter-VM Attacks


Multiplicação de VMs inibe a conformidade Propaga-se segurança desatualizada

16

Cost Reduction & Consolidation 1 Segurança da Virtualização

Desafio: Complexidade de Gerenciamento

Aplicando

Patches Baixando

Vacinas

Ativando

novas VMs

Reconfigurando

agentes

Appliance Virtual de Segurança

VM VM VM

Com Segurança Agentless

VM

Segurança de Virtualização

Qual é a Solução? Proteção com o Trend Micro Deep Security

VM VM VM VM VM VM

Maximiza a Performance e o ROI

Gerenciamento

Simplificado

Maior

Densidade

Recursos

Otimizados

Segurança

Superior

Proteção com o Deep Security:

• Anti-malware

• Detecção e Prevenção a Intrusões

• Proteção de Aplicativos Web

• Controle de Aplicativos

• Firewall

• Virtual Patching

• Gerenciamento central escalonável

Virtual Patching

ATUALMENTE!!


Infecções em sistemas

• Microsoft's Security Intelligence Report (SIR)

99%

1%

Patch

AV

70% dos exploits de Windows são criados dentro de 24 horas do anuncio do seu patch.

2003

MS- Blast

28 days

2004

Sasser

18 days

2005

Zotob

10 days

2006

WMF

Zero-day Zero-day

2010

IE zero-day

Source: InformationWeek, Analytics Report: 2010 Strategy Security Survey

http://www.networkworld.com/news/2010/031110-ie-zero-day-exploit-code-goes.html?page=1



Virtual Patching for MS12-020

CVE 2012 - 002


História da vulnerabilidade MS12-020

• Luigi Auriemma descobriu a vulnerabilidade no dia 16 de Maio do ano 2011.

• Microsoft foi alertada no dia 24 de Agosto do ano passado.

• 13 de Março 2012 a Microsoft anunciou novo boletim de segurança MS12-020

Que é a vulnerabilidade MS12-020?

• A vulnerabilidade é categorizada

como CRÍTICA e afeta todas as

versões de Windows (servidores

e desktops) onde o serviço RDP

está ativo.

• Permitiria ao atacante:

– Instalar programas, visualizar, mudar ou apagar dados

– Criar contas de usuários com privilégios.

• A vulnerabilidade poderia ser explorada por malware

pelo fato de ser de rede e sem autenticação.

Qual é o cenário atual e futuro?

• Até o momento existe um EXPLOIT que provoca um CRASH (BSOD - Blue Screen of Death) no sistema atacado. Ainda não existe um EXPLOIT conhecido para executar código remoto.

• Inclusive nossa equipe de pesquisa descobriu organizações que estão oferecendo uma recompensa para quem criar um EXPLOIT que permita acesso

Existe uma grande possibilidade de encontrar tentativas de exploração dessa vulnerabilidade nos próximos 30 dias.

Trend Micro já atualizou seus produtos e serviços para proteger atuais e futuros ataques.

TrendLabs continuará em alerta vermelho monitorando a situação e atualizando o que seja necessário para ajudar aos clientes na proteção.

Nosso dia a dia


Custo do Patching

Mas 75% destas

empresas declaram que a

estratégia atual de

patching não é efetiva.

• Fonte: InformationWeek,

Analytics Report: 2011

Strategy Security Survey

Quais são os desafios?

• Mesmo quando existe o patch... Teremos desafios para implementá-lo...

Por que aplicar o patch rapidamente?

Evitar crash em sistemas

críticos.

Evitar possíveis acessos

remotos.

Roubo de informação

confidencial.

Impacto negativo na

reputação da empresa.

Conformidade com

regulamentações

• Ex: PCI-DSS 6.1

Etc.

Por que não aplicar o patch rapidamente?

Não saber quais sistemas estão

vulneráveis.

Não existe janela para manutenção de

sistemas.

Custos operacionais.

Impossibilidade de reiniciar alguns

servidores.

Necessidade de tempo para processo

de controle de qualidade do patch.

Sistemas que não podem ser

atualizados.

Etc.

COMO RESOLVEMOS?


• Como membros do programa MAPP (Microsoft Active Protections Program), a Trend Micro recebeu a informação desta vulnerabilidade de forma adiantada.

• 13 de Março, no mesmo dia que a vulnerabilidade foi anunciada publicamente, a Trend Micro disponibilizou a atualização DSRU12-006 para o Deep Security

Soluções da Trend Micro

14 de Março disponibilizamos a atualização 12007 para o módulo IDF (Intrusion Defense Firewall) do OfficeScan

Estas atualizações protegem automaticamente os clientes de Virtual Patching da Trend Micro, mesmo antes de implementar o patch da Microsoft.

Ris

co

Tempo

“Necessito

tempo para

testar e aplicar

o patch”

“Não posso garantir a aplicação do

patch em todos os sistemas”

Deep Security Virtual Patching minimiza a

exposição ao risco de vulnerabilidades

Proposta de valor Gestão de risco

MAIO

16 2011

MARÇO

13 2012

• 13 de Março, no mesmo dia que a vulnerabilidade foi anunciada publicamente, Trend Micro disponibilizou a atualização DSRU12-006 para o Virtual Patching do Deep Security.

Como é a experiência com Virtual Patching? • Mesmo sem ter implementado o patch em todos os sistemas... O

cliente está rapidamente protegido...

A proteção foi aplicada rápida e automaticamente

Prevenção crashes em

sistemas críticos.

Evita possíveis acessos

remotos.

Previne roubo de informação

confidencial.

Conformidade com

regulamentações

• Ex: PCI-DSS 6.1 com

medida compensatória.

Etc.

Sem impacto significativo no ambiente

Foi feito um assessment da

vulnerabilidade em todos os

servidores usando o Scan for

Recommendation do Deep Security.

Não foi necessário nem reiniciar

servidores, nem alterar os sistemas.

Não teve impacto nos custos.

A aplicação do patch continuará

agendada para a próxima janela de

manutenção. Momento no qual, a

regra emergencial de Virtual Patching

poderá ser desativada

Etc.

Quais outros sistemas são protegidos? • Além de sistemas Windows, oVirtual Patching protege

mais de 100 aplicações de desktops e servidores

Operating Systems Windows (2000, XP, 2003, Vista, 2008, 7), Sun Solaris (8, 9, 10), Red Hat EL (4, 5), SuSE Linux (10,11)

Database servers Oracle, MySQL, Microsoft SQL Server, Ingres

Web app servers Microsoft IIS, Apache, Apache Tomcat, Microsoft Sharepoint

Mail servers Microsoft Exchange Server, Merak, IBM Lotus Domino, Mdaemon, Ipswitch, IMail,, MailEnable Professional,

FTP servers Ipswitch, War FTP Daemon, Allied Telesis

Backup servers Computer Associates, Symantec, EMC

Storage mgt servers Symantec, Veritas

DHCP servers ISC DHCPD

Desktop applications Microsoft (Office, Visual Studio, Visual Basic, Access, Visio, Publisher, Excel Viewer, Windows Media Player),

Kodak Image Viewer, Adobe Acrobat Reader, Apple Quicktime, RealNetworks RealPlayer

Mail clients Outlook Express, MS Outlook, Windows Vista Mail, IBM Lotus Notes, Ipswitch IMail Client

Web browsers Internet Explorer, Mozilla Firefox

Anti-virus Clam AV, CA, Symantec, Norton, Trend Micro, Microsoft

Other applications Samba, IBM Websphere, IBM Lotus Domino Web Access, X.Org, X Font Server prior, Rsync, OpenSSL, Novell

Client

Como cotar?


deep security

Technology