deep security
DESCRIPTION
Agentless server security and virtual patchingTRANSCRIPT
André Tsutomu Takegawa
Channel Sales Manager
2012
Data Center Evolution: Physical. Virtual. Cloud.
1 1 9/21/2012 Copyright 2012 Trend Micro Inc.
Physical Desktops & Servers
Desktop Virtualization
Server Virtualization
Private Cloud
Hybrid Cloud Public Cloud
Mobile
BYOPC
Journey to the Cloud
Onde estão seus dados?
2 9/21/2012 Copyright 2012 Trend Micro Inc.
Riscos de segurança por plataforma
Um único modelo de segurança entre Fisico, Virtual, e Núvem
Visibility & Threats
• Menos visibilidade
• Risco externo maior
Performance & Ameaças
• Segurança degrada a
performance
• Novos tipos de desafios de
segurança
Gerenciamento
• Excesso de produtos de
segurança
• Menos segurança
• Maior TCO
Virtual Núvem Fisico
Aumentar eficiência Entregar agilidade Reduzir
complexidade
Segurança Integrada
Console de gerência única
3 9/21/2012 Copyright 2012 Trend Micro Inc.
Fisico
Deep Security
Virtual
Cloud Computing
5
IDS / IPS
Web Application Protection
Application Control
Firewall
Deep Packet Inspection
Log
Inspection
Anti-Virus
Detects and blocks known and
zero-day attacks that target
vulnerabilities Shields web application
vulnerabilities Provides increased visibility into,
or control over, applications
accessing the network
Reduces attack surface.
Prevents DoS & detects
reconnaissance scans
Detects malicious and
unauthorized changes to
directories, files, registry keys…
Optimizes the
identification of important
security events buried in
log entries
Detects and blocks malware
(web threats, viruses &
worms, Trojans)
Trend Micro Deep Security
Protection is delivered via Agent and/or Virtual Appliance
5 protection modules
Integrity
Monitoring
Vmware
OS
CRM
OS
OS
APP
OS
CRM
OS
+ OS
+ OS
+
OS
AV
IPS
OS OS
CR
M
MA
IL
CR
M
AP
P
OS
Citrix e Microsoft
AV
IPS
AV
IPS
AV
IPS
Com agentes em cada VM
Integrada na camada de
virtualização
Deep Security Arquitetura
OS
AV
IPS
OS OS
CR
M
MA
IL
CR
M
AP
P
OS
AV
IPS
AV
IPS
AV
IPS Com agentes
em cada servidor físico e
Cloud
Virtual Patching
Segur. Virtualização
Segur. Virtualização
Virtual
O Ambiente virtual é mais seguro que o físico?
Novos Desafios
Console
Típico AV 3:00am Scan
“Tempestade”
de Antivírus
Verificações automáticas sobrecarregam o sistema
Segurança de Virtualização
Desafio: Disputa de Recursos
• Smart Scan
VM VM VM
Citrix e Hypervisor
Appliance Vrtual de Segurança
VM VM VM
Vmware
VM
• Deduplicação
Segurança da Virtualização
Qual é a Solução? Trend Micro Deep Security
VM VM VM VM VM VM
Otimiza a Performance e o ROI
Fontes: “Tolly Enterprises Test Report, Trend Micro Deep Security vs. McAfee and Symantec”, Fevereiro/2011; Estimativa de economia baseada em cálculos do
ROI feitos pela VMware
0 10 20 30 40 50 60 70 80
Traditional AV
Agentless AV
Servidores de VMs por host
75
25 3X higher VDI VM consolidation ratios
Cost Reduction & Consolidation 1
Economia em 3 anos para 1000 VDI VMs = US$ 539.600
Em Vmware
Aumento de ROI com Deep Security
Exemplo: Antivírus sem Agentes
AV Tradicional Taxas de consolidação de VMs 3X maior
AV sem agentes
VMs reativadas e clonadas podem ter segurança desatualizada
Dormente
13
Cost Reduction & Consolidation 1 Segurança da Virtualização
Desafio: Instant-on Gaps
Ativa
Clonada
Reativada com
segurança
desatualizada
Copyright 2011 Trend Micro Inc. Classification 9/21/2012
Deep Security Virtual Appliance Melhor proteção
Regras de firewall aplicadas!
Anti-malware atualizado !
Web App Protection ativado !
Regras de IPS aplicadas !
Virtual Patching protegendo !
h y p e r v i s o r
OS
CRM
OS
OS
CRM
v
APP
OS v v v
APP
OS v
!
• Instant ON Protection, Tumper-Proofing, etc.
Ataques podem se espalhar entre as VMs
Segurança da Virtualização
Desafio: Inter-VM Attacks
15 9/21/2012 Copyright 2012 Trend Micro Inc.
Multiplicação de VMs inibe a conformidade Propaga-se segurança desatualizada
16
Cost Reduction & Consolidation 1 Segurança da Virtualização
Desafio: Complexidade de Gerenciamento
Aplicando
Patches Baixando
Vacinas
Ativando
novas VMs
Reconfigurando
agentes
Appliance Virtual de Segurança
VM VM VM
Com Segurança Agentless
VM
Segurança de Virtualização
Qual é a Solução? Proteção com o Trend Micro Deep Security
VM VM VM VM VM VM
Maximiza a Performance e o ROI
Gerenciamento
Simplificado
Maior
Densidade
Recursos
Otimizados
Segurança
Superior
Proteção com o Deep Security:
• Anti-malware
• Detecção e Prevenção a Intrusões
• Proteção de Aplicativos Web
• Controle de Aplicativos
• Firewall
• Virtual Patching
• Gerenciamento central escalonável
Virtual Patching
9/21/2012 19 Confidential | Copyright 2012 Trend Micro Inc.
ATUALMENTE!!
9/21/2012 20 Confidential | Copyright 2012 Trend Micro Inc.
9/21/2012 21 Confidential | Copyright 2012 Trend Micro Inc.
Infecções em sistemas
• Microsoft's Security Intelligence Report (SIR)
99%
1%
Patch
AV
70% dos exploits de Windows são criados dentro de 24 horas do anuncio do seu patch.
2003
MS- Blast
28 days
2004
Sasser
18 days
2005
Zotob
10 days
2006
WMF
Zero-day Zero-day
2010
IE zero-day
Source: InformationWeek, Analytics Report: 2010 Strategy Security Survey
Virtual Patching for MS12-020
CVE 2012 - 002
9/21/2012 24 Confidential | Copyright 2012 Trend Micro Inc.
História da vulnerabilidade MS12-020
• Luigi Auriemma descobriu a vulnerabilidade no dia 16 de Maio do ano 2011.
• Microsoft foi alertada no dia 24 de Agosto do ano passado.
• 13 de Março 2012 a Microsoft anunciou novo boletim de segurança MS12-020
Que é a vulnerabilidade MS12-020?
• A vulnerabilidade é categorizada
como CRÍTICA e afeta todas as
versões de Windows (servidores
e desktops) onde o serviço RDP
está ativo.
• Permitiria ao atacante:
– Instalar programas, visualizar, mudar ou apagar dados
– Criar contas de usuários com privilégios.
• A vulnerabilidade poderia ser explorada por malware
pelo fato de ser de rede e sem autenticação.
Qual é o cenário atual e futuro?
• Até o momento existe um EXPLOIT que provoca um CRASH (BSOD - Blue Screen of Death) no sistema atacado. Ainda não existe um EXPLOIT conhecido para executar código remoto.
• Inclusive nossa equipe de pesquisa descobriu organizações que estão oferecendo uma recompensa para quem criar um EXPLOIT que permita acesso
Existe uma grande possibilidade de encontrar tentativas de exploração dessa vulnerabilidade nos próximos 30 dias.
Trend Micro já atualizou seus produtos e serviços para proteger atuais e futuros ataques.
TrendLabs continuará em alerta vermelho monitorando a situação e atualizando o que seja necessário para ajudar aos clientes na proteção.
Nosso dia a dia
9/21/2012 28 Confidential | Copyright 2012 Trend Micro Inc.
Custo do Patching
Mas 75% destas
empresas declaram que a
estratégia atual de
patching não é efetiva.
• Fonte: InformationWeek,
Analytics Report: 2011
Strategy Security Survey
Quais são os desafios?
• Mesmo quando existe o patch... Teremos desafios para implementá-lo...
Por que aplicar o patch rapidamente?
Evitar crash em sistemas
críticos.
Evitar possíveis acessos
remotos.
Roubo de informação
confidencial.
Impacto negativo na
reputação da empresa.
Conformidade com
regulamentações
• Ex: PCI-DSS 6.1
Etc.
Por que não aplicar o patch rapidamente?
Não saber quais sistemas estão
vulneráveis.
Não existe janela para manutenção de
sistemas.
Custos operacionais.
Impossibilidade de reiniciar alguns
servidores.
Necessidade de tempo para processo
de controle de qualidade do patch.
Sistemas que não podem ser
atualizados.
Etc.
COMO RESOLVEMOS?
9/21/2012 31 Confidential | Copyright 2012 Trend Micro Inc.
• Como membros do programa MAPP (Microsoft Active Protections Program), a Trend Micro recebeu a informação desta vulnerabilidade de forma adiantada.
• 13 de Março, no mesmo dia que a vulnerabilidade foi anunciada publicamente, a Trend Micro disponibilizou a atualização DSRU12-006 para o Deep Security
Soluções da Trend Micro
14 de Março disponibilizamos a atualização 12007 para o módulo IDF (Intrusion Defense Firewall) do OfficeScan
Estas atualizações protegem automaticamente os clientes de Virtual Patching da Trend Micro, mesmo antes de implementar o patch da Microsoft.
Ris
co
Tempo
“Necessito
tempo para
testar e aplicar
o patch”
“Não posso garantir a aplicação do
patch em todos os sistemas”
Deep Security Virtual Patching minimiza a
exposição ao risco de vulnerabilidades
Proposta de valor Gestão de risco
MAIO
16 2011
MARÇO
13 2012
• 13 de Março, no mesmo dia que a vulnerabilidade foi anunciada publicamente, Trend Micro disponibilizou a atualização DSRU12-006 para o Virtual Patching do Deep Security.
Como é a experiência com Virtual Patching? • Mesmo sem ter implementado o patch em todos os sistemas... O
cliente está rapidamente protegido...
A proteção foi aplicada rápida e automaticamente
Prevenção crashes em
sistemas críticos.
Evita possíveis acessos
remotos.
Previne roubo de informação
confidencial.
Conformidade com
regulamentações
• Ex: PCI-DSS 6.1 com
medida compensatória.
Etc.
Sem impacto significativo no ambiente
Foi feito um assessment da
vulnerabilidade em todos os
servidores usando o Scan for
Recommendation do Deep Security.
Não foi necessário nem reiniciar
servidores, nem alterar os sistemas.
Não teve impacto nos custos.
A aplicação do patch continuará
agendada para a próxima janela de
manutenção. Momento no qual, a
regra emergencial de Virtual Patching
poderá ser desativada
Etc.
Quais outros sistemas são protegidos? • Além de sistemas Windows, oVirtual Patching protege
mais de 100 aplicações de desktops e servidores
Operating Systems Windows (2000, XP, 2003, Vista, 2008, 7), Sun Solaris (8, 9, 10), Red Hat EL (4, 5), SuSE Linux (10,11)
Database servers Oracle, MySQL, Microsoft SQL Server, Ingres
Web app servers Microsoft IIS, Apache, Apache Tomcat, Microsoft Sharepoint
Mail servers Microsoft Exchange Server, Merak, IBM Lotus Domino, Mdaemon, Ipswitch, IMail,, MailEnable Professional,
FTP servers Ipswitch, War FTP Daemon, Allied Telesis
Backup servers Computer Associates, Symantec, EMC
Storage mgt servers Symantec, Veritas
DHCP servers ISC DHCPD
Desktop applications Microsoft (Office, Visual Studio, Visual Basic, Access, Visio, Publisher, Excel Viewer, Windows Media Player),
Kodak Image Viewer, Adobe Acrobat Reader, Apple Quicktime, RealNetworks RealPlayer
Mail clients Outlook Express, MS Outlook, Windows Vista Mail, IBM Lotus Notes, Ipswitch IMail Client
Web browsers Internet Explorer, Mozilla Firefox
Anti-virus Clam AV, CA, Symantec, Norton, Trend Micro, Microsoft
Other applications Samba, IBM Websphere, IBM Lotus Domino Web Access, X.Org, X Font Server prior, Rsync, OpenSSL, Novell
Client
Como cotar?
9/21/2012 36 Confidential | Copyright 2012 Trend Micro Inc.
Como cotar?
9/21/2012 37 Confidential | Copyright 2012 Trend Micro Inc.
Copyright 2012 Trend Micro Inc.