Asegurando el camino hacia la Nube. - EDUTIC · Estarán en la nube 70% Cuota estimada del trabajo...
Transcript of Asegurando el camino hacia la Nube. - EDUTIC · Estarán en la nube 70% Cuota estimada del trabajo...
Asegurando el camino hacia la Nube.
Alberto Ricord M.
Sales Director Latin America
Agenda
Inicios de la computación en la nube
Estrategia de Trend Micro para la Nube
Internet
Evolución de los datos
Amenazas en la Internet
Out side In + Inside Out
Modelos en la era de la nube
APT
Expansión del Perímetro
Desafíos en un entorno dinámico
Inhibidores de seguridad en la virtualización
Inicio del Cloud ComputingLa idea de un “ Intergalactic Computer Network “ fue introducida en los 60 por J.C.R Licklider, quien fue el responsable de habilitar el desarrollo de ARPANET.
60mUso de servidores
aproximados globalmente
$6.4bMercado estimado de servidores
que se utilizaran en la nubeen 2014 $146b
Mercado proyectado para el cloud computing en 2015
1 EXABYTE
1 YOTTABYTE
BIT BYTE KILOBYTE MEGABYTE GIGABYTE TERABYTE PETABYTE
1,000 terabytes, o 1 exabyteTráfico de datos móviles en
US en 2008
800 exabytes, o 0.8 zettabyteDatos globales digitales en 2009
*Fuente: IDC
35 zettabytesToda la data digital en 2020
11 zettabytesEstarán en la nube
70%Cuota estimada del trabajo realizado con el software de "virtualización"
de nuevos servidores en 2014
1,3 Zettabytes
Trafico Global de internet en 2016.
10mNúmero máximo de servidores
que Google dice puede administrarse con nuevo
software que se está desarrollando
1 yottabyte = 1,000 zettabytes20 millones de veces la memoria necesaria
para mantener cada palabra escrita en todos los idiomas, según la empresa Mozy
0.8 ZETTABYTE35 ZETTABYTE
8/7/2012 6Confidential | Copyright 2012 Trend Micro Inc.
7
Casos más conocidos
RSA suffers Data Security Breach— Mayo 22 2011
Massive Breach at EpsilonCompromises Customer Lists
— Abril 02 2011
— Junio 11 2011
Sophisticated Cyberattack is Reported by the I.M.F.
— Junio 08 2011
Citigroup Inc breach may have compromised hundreds of
thousands of bank card customers' data
Google Hack Attack Was Ultra Sophisticated, New Details Show
— Enero 14 2010
Five-year hacking scheme targeted U.S. gov’t as well as defense firms
and private industries— Agosto 4 2011
8/7/2012 9Confidential | Copyright 2012 Trend Micro Inc.
Sentinel RQ170
Lockheed Martin
• “On May 21, Lockheed Martin detected a significant and tenacious attack on its information systems network," the statement, released Saturday, said. "The company's information security team detected the attack almost immediately and took aggressive actions to protect all systems and data”
– Fuente: Dan Kaplan- SC Magazine
Lockheed Martin
2 mesesantes…
Spear-Phishing
• Dos tipos de e-mails,
• Dos días,
• Dos grupos pequeños de personas.
¿Cómo era el mensaje?
Vulnerabilidad CVE-2011-0609
Classification 8/7/2012 16
Remote Access Tool
RAT: Poison Ivy
• Acceso remoto a archivos, Registry, monitoreo de accesos a la red, ejecución de programas, cambio de configuraciones, etc.
6 meses antes del ataque…
REPUTATION
WEB
REPUTATION
FILE
REPUTATION
15 de Septiembre de 2010 a las 00:13:04 (UTC)
AdvancedPersistentThreats
¿Cómo funciona un APT tipicamente?
Identificación de usuarios con
privilégios
Spear-Phishing coningeniería social
Mapeo de ambiente interno (obtención
de privilégios)
Instalación de malware
Activación de ataque desde el
controlador externo
• Spoofed email with malicious link or
attachment
• Organizational mapping & intelligence on high value
employees
• Backdoors for C&C server communication
• Encrypt, compress and transmit stolen data
8/7/2012 23Confidential | Copyright 2012 Trend Micro Inc.
Servers
Desktops
Fase 1: ConsolidaciónEficiencia en costo.
Fase 1: ConsolidaciónEficiencia en costo.
Fase 2: Agilidad +Flexibilidad (velocidad)
Fase 2: Agilidad +Flexibilidad (velocidad)
Fase 3:Cloud + Elasticidad(Expansion)
Fase 3:Cloud + Elasticidad(Expansion)
15%
30%
70%
85%
El camino hacia la Nube
• Auto asegurado la carga de trabajo
• Inteligencia de contenido
• Cuando - Tiempo
» Quien - Identificar
» Donde - Localizar
» Que - Contenido
• Inteligencia local de amenazas
• Usuarios- Definición de políticas de acceso
• Encripción de datos
Inside-OUT Protección de
datos
Smart DataProtection
• Inteligencia Global contra amenazas
• Correlación de correo, File, Web Reputation
• Comportamiento basado en controles
• Correlación de amenaza locales
Outside-IN Protección de
amenazas
Estrategia de Seguridad para la Nube
26
De-Perimeterization
•More Profitable
• More Sophisticated
• More Frequent
• More Targeted
AdvancedPersistent
Threats
Tendencias Clave: Amenazas altamente sofisticadas roban informaciónProteger los datos es un reto más grande que nunca
Defender el perímetro ya noes suficiente ni adecuado
Tendencias Clave: Regulaciones y AuditoríasLas soluciones necesitan mayor covertura y menor TCO
27
Más estándares: • PCI, SAS70, HIPAA, ISO 27001, FISMA / NIST 800-53, M ITS…
Más requisitos específicos
• Virtualization, Web applications, EHR, PII …
Más sanciones y multas• HITECH, Breach notifications, civil litigation
DMZ consolidation using virtualization will be a "hot spot ”””” for auditors, given the greater risk of mis-configuration and lower visibility of DMZ policy violation. Through year-end 2011, auditors will challenge virtualized deployments in the DMZ more than non-virtualized DMZ solutions.
-- Neil MacDonald, Gartner ””””
““““
INHIBIDORES
¿Cuáles son los Inhibidores?
Ataques Internos entre VM 3
Normativas de Seguridad5
Contención de Recursos1
Instant-on Gaps2
Vulnerabilidad / Protección del
servidor Web 4
Monitoreo de integridad6
Gerenciamiento Completo.7
Inhibidores de la Seguridad en ambientes virtualizados
Modelo Tradicional
3:00am Scan
14
1 Contención de Recursos1
VM reactivadas pero desactualizadas a nivel de seguridad
Dormant
���� ����
Activo
����
Reactivado sin parches Clonado
���� ���� ���� ����
Instant On Gaps2
Ataques entre maquinas virtuales.3
networkIPS
Parches de seguridad sobre VM
¿Cómo me protejo de vulnerabilidades?
Vulnerabilidades del sistema.
4
Microsoft warns: Expect exploits for critical Windows worm hole
By Ryan Naraine | March 13, 2012, 11:12am PDT
Summary:Microsoft to Windows administrators: Due to the attractiveness of this
vulnerability to attackers, we anticipate that an exploit for code execution will be developed in the next 30 days
Attention Microsoft Windows administrators: Stop what you’re doing and apply the new — and very critical — MS12-020 update.
Microsoft is warning that there’s a remote, pre-authentication, network-accessible code execution vulnerability in its implementation of the RDP
protocol
Vulnerabilidades.
Ventana Riesgo vs. Tiempo
Rie
sgo
Tiempo (0 a 30 – 90 días)
No existe parche oNo lo pude poner
Riesgo Vs Tiempo
Normativas de seguridad5
AntivirusIDS / IPS
Web Application Protection
Application Control
Firewall
Log Inspection
Integrity Monitoring
Gerenciamiento Complejo7
Zonas de Seguridad
Host
Within VM
•API to enable Agentless Antivrius
vShieldEnd Point
Network
VM to VM
•App Aware Firewall•Policy based
•Replaces VLAN Approach
vShieldApp
WAN
VDC to VDC
•Firewall de Perímetro•Load Balancing
•DHCP/NAT•VPN Site to Site
vShieldEdge
VMSafe
Ecosistema de Seguridad de VMware
EPSec
vCenter
NetworkIntrusion
Prevention
AgentlessAntivirus
DeepSecurityManager
Network
VMware vSphere™ ( Basic Zones now included here)
Agente
vShieldEndpoint
Antivirus
Agentless1
Security Virtual
MachinevSphere
Agentless
vSphereAPIs
IDS / IPS
Web Application Protection
Application Control
Firewall
3
Security agent on individual VMs
Log Inspection4
Agent-based
Integrates with
vCenter
Integrates with
vCenter
Integrity Monitoring
Agentless
vShieldEndpoint
2
DEEPSECURITY
Typical AV Console
3:00am Scan
14
1
Contención de Recursos
Vshield Endpoint APIs
� Anti-malware actualizado !
� Reglas de firewall aplicadas
!
�Web App Protection
activado !
� Reglas de IPS aplicadas !
�Virtual Patching protegiendo
!
h y p e r v i s o r
OS
CRM
OS
OS
CRM
v
APP
OS
v v v
!APP
OS
v
Instant on
Ventana Riesgo vs. Tiempo
Rie
sgo
Tiempo (0 a 30 – 90 días)
Esperando el parche
No existe parche oNo lo pude poner
Con “Parche Virtual”
Virtual Patching
Los clientes de Trend Micro ya estánprotegidos (blindados)
• Como miembro de Microsoft Active Protections Program, Trend Micro conocía en adelanto la información de la vulnerabilidad.
• El mismo 13 de marzo de 2012 Trend Micro liberó el update DSRU12-006 para Deep Security
• Al día siguiente Trend Micro liberó la actualización 12007 para IDF
• Las dos actualizaciones proveen blindaje inmediato a los clientes de Deep Security y de OfficeScan.
• Los clientes de Trend Micro pueden aplicar el parche de Microsoft en su siguiente ventana de mantenimiento.
45
Operating Systems Windows (2000, XP, 2003, Vista, 2008, 7), Sun Solaris (8, 9, 10), Red Hat EL (4, 5), SuSELinux (10,11)
Database servers Oracle, MySQL, Microsoft SQL Server, Ingres
Web app servers Microsoft IIS, Apache, Apache Tomcat, Microsoft Sharepoint
Mail servers Microsoft Exchange Server, Merak, IBM Lotus Domino, Mdaemon, Ipswitch, IMail,, MailEnable Professional,
FTP servers Ipswitch, War FTP Daemon, Allied Telesis
Backup servers Computer Associates, Symantec, EMC
Storage mgt servers Symantec, Veritas
DHCP servers ISC DHCPD
Desktop applications Microsoft (Office, Visual Studio, Visual Basic, Access, Visio, Publisher, Excel Viewer, Windows Media Player), Kodak Image Viewer, Adobe Acrobat Reader, Apple Quicktime, RealNetworks RealPlayer
Mail clients Outlook Express, MS Outlook, Windows Vista Mail, IBM Lotus Notes, Ipswitch IMail Client
Web browsers Internet Explorer, Mozilla Firefox
Anti-virus Clam AV, CA, Symantec, Norton, Trend Micro, Microsoft
Other applications Samba, IBM Websphere, IBM Lotus Domino Web Access, X.Org, X Font Server prior, Rsync, OpenSSL, Novell Client
46
Virtual Patching es más que sólo WindowsBlindaje para más de 100 aplicaciones de servidores y des ktops
Trend Micro Confidential 8/7/2012 47
Bloqueo de ataques conocidos sobre código WEB, SQL INJECTION /
CROSS SITE SCRIPTING
79 % de los ataques son a por SQL Injection(verizon, 2009)
75 % de los ataques ocurren en la capa de aplicación (Gartner)
Web aplication Protection
1. Monitoreo de archivos, registros y llaves2. Notifica cambios en archivos3. Cambios en las configuraciones de registros
Recomendaciones automáticas
Integrity Monitor
Deep Security & PCI-DSS 2.0
� (1.) – Network Segmentation
� (1.x) – Firewall
� (6.1) – Virtual Patching*
� (6.5) – Web Application Firewall
� (10.6) – Review Logs Daily
� (11.4) – Deploy IDS / IPS
� (11.5) – Deploy File IntegrityMonitoring* Control compensatorio que debe ser aprobado por el auditor QSA
Normativas de Seguridad
“De-Militarized Zone” (DMZ)
Mission Critical Servers Business Servers
FirewallIPS Firewall
NIPSIPS
Firewall IPS
File Integrity
Monitoring
Log Inspection
Anti-malware
DEEPSECURITY