Asegurando el camino hacia la Nube.

Alberto Ricord M.

Sales Director Latin America

Agenda

Inicios de la computación en la nube

Estrategia de Trend Micro para la Nube

Internet

Evolución de los datos

Amenazas en la Internet

Out side In + Inside Out

Modelos en la era de la nube

APT

Expansión del Perímetro

Desafíos en un entorno dinámico

Inhibidores de seguridad en la virtualización

Inicio del Cloud ComputingLa idea de un “ Intergalactic Computer Network “ fue introducida en los 60 por J.C.R Licklider, quien fue el responsable de habilitar el desarrollo de ARPANET.

60mUso de servidores

aproximados globalmente

$6.4bMercado estimado de servidores

que se utilizaran en la nubeen 2014 $146b

Mercado proyectado para el cloud computing en 2015

1 EXABYTE

1 YOTTABYTE

BIT BYTE KILOBYTE MEGABYTE GIGABYTE TERABYTE PETABYTE

1,000 terabytes, o 1 exabyteTráfico de datos móviles en

US en 2008

800 exabytes, o 0.8 zettabyteDatos globales digitales en 2009

*Fuente: IDC

35 zettabytesToda la data digital en 2020

11 zettabytesEstarán en la nube

70%Cuota estimada del trabajo realizado con el software de "virtualización"

de nuevos servidores en 2014

1,3 Zettabytes

Trafico Global de internet en 2016.

10mNúmero máximo de servidores

que Google dice puede administrarse con nuevo

software que se está desarrollando

1 yottabyte = 1,000 zettabytes20 millones de veces la memoria necesaria

para mantener cada palabra escrita en todos los idiomas, según la empresa Mozy

0.8 ZETTABYTE35 ZETTABYTE

8/7/2012 6Confidential | Copyright 2012 Trend Micro Inc.

7

Casos más conocidos

RSA suffers Data Security Breach— Mayo 22 2011

Massive Breach at EpsilonCompromises Customer Lists

— Abril 02 2011

— Junio 11 2011

Sophisticated Cyberattack is Reported by the I.M.F.

— Junio 08 2011

Citigroup Inc breach may have compromised hundreds of

thousands of bank card customers' data

Google Hack Attack Was Ultra Sophisticated, New Details Show

— Enero 14 2010

Five-year hacking scheme targeted U.S. gov’t as well as defense firms

and private industries— Agosto 4 2011

8/7/2012 9Confidential | Copyright 2012 Trend Micro Inc.

Sentinel RQ170

Lockheed Martin

• “On May 21, Lockheed Martin detected a significant and tenacious attack on its information systems network," the statement, released Saturday, said. "The company's information security team detected the attack almost immediately and took aggressive actions to protect all systems and data”

– Fuente: Dan Kaplan- SC Magazine

Lockheed Martin

2 mesesantes…

Spear-Phishing

• Dos tipos de e-mails,

• Dos días,

• Dos grupos pequeños de personas.

¿Cómo era el mensaje?

Vulnerabilidad CVE-2011-0609

Classification 8/7/2012 16

Remote Access Tool

RAT: Poison Ivy

• Acceso remoto a archivos, Registry, monitoreo de accesos a la red, ejecución de programas, cambio de configuraciones, etc.

6 meses antes del ataque…

EMAIL

REPUTATION

WEB

REPUTATION

FILE

REPUTATION

15 de Septiembre de 2010 a las 00:13:04 (UTC)

AdvancedPersistentThreats

¿Cómo funciona un APT tipicamente?

Identificación de usuarios con

privilégios

Spear-Phishing coningeniería social

Mapeo de ambiente interno (obtención

de privilégios)

Instalación de malware

Activación de ataque desde el

controlador externo

• Spoofed email with malicious link or

attachment

• Organizational mapping & intelligence on high value

employees

• Backdoors for C&C server communication

• Encrypt, compress and transmit stolen data

8/7/2012 23Confidential | Copyright 2012 Trend Micro Inc.

Servers

Desktops

Fase 1: ConsolidaciónEficiencia en costo.

Fase 1: ConsolidaciónEficiencia en costo.

Fase 2: Agilidad +Flexibilidad (velocidad)

Fase 2: Agilidad +Flexibilidad (velocidad)

Fase 3:Cloud + Elasticidad(Expansion)

Fase 3:Cloud + Elasticidad(Expansion)

15%

30%

70%

85%

El camino hacia la Nube

• Auto asegurado la carga de trabajo

• Inteligencia de contenido

• Cuando - Tiempo

» Quien - Identificar

» Donde - Localizar

» Que - Contenido

• Inteligencia local de amenazas

• Usuarios- Definición de políticas de acceso

• Encripción de datos

Inside-OUT Protección de

datos

Smart DataProtection

• Inteligencia Global contra amenazas

• Correlación de correo, File, Web Reputation

• Comportamiento basado en controles

• Correlación de amenaza locales

Outside-IN Protección de

amenazas

Estrategia de Seguridad para la Nube

26

De-Perimeterization

•More Profitable

• More Sophisticated

• More Frequent

• More Targeted

AdvancedPersistent

Threats

Tendencias Clave: Amenazas altamente sofisticadas roban informaciónProteger los datos es un reto más grande que nunca

Defender el perímetro ya noes suficiente ni adecuado

Tendencias Clave: Regulaciones y AuditoríasLas soluciones necesitan mayor covertura y menor TCO

27

Más estándares: • PCI, SAS70, HIPAA, ISO 27001, FISMA / NIST 800-53, M ITS…

Más requisitos específicos

• Virtualization, Web applications, EHR, PII …

Más sanciones y multas• HITECH, Breach notifications, civil litigation

DMZ consolidation using virtualization will be a "hot spot ”””” for auditors, given the greater risk of mis-configuration and lower visibility of DMZ policy violation. Through year-end 2011, auditors will challenge virtualized deployments in the DMZ more than non-virtualized DMZ solutions.

-- Neil MacDonald, Gartner ””””

““““

INHIBIDORES

¿Cuáles son los Inhibidores?

Ataques Internos entre VM 3

Normativas de Seguridad5

Contención de Recursos1

Instant-on Gaps2

Vulnerabilidad / Protección del

servidor Web 4

Monitoreo de integridad6

Gerenciamiento Completo.7

Inhibidores de la Seguridad en ambientes virtualizados

Modelo Tradicional

3:00am Scan

14

1 Contención de Recursos1

VM reactivadas pero desactualizadas a nivel de seguridad

Dormant

���� ����

Activo

����

Reactivado sin parches Clonado

���� ���� ���� ����

Instant On Gaps2

Ataques entre maquinas virtuales.3

networkIPS

Parches de seguridad sobre VM

¿Cómo me protejo de vulnerabilidades?

Vulnerabilidades del sistema.

4

Microsoft warns: Expect exploits for critical Windows worm hole

By Ryan Naraine | March 13, 2012, 11:12am PDT

Summary:Microsoft to Windows administrators: Due to the attractiveness of this

vulnerability to attackers, we anticipate that an exploit for code execution will be developed in the next 30 days

Attention Microsoft Windows administrators: Stop what you’re doing and apply the new — and very critical — MS12-020 update.

Microsoft is warning that there’s a remote, pre-authentication, network-accessible code execution vulnerability in its implementation of the RDP

protocol

Vulnerabilidades.

Ventana Riesgo vs. Tiempo

Rie

sgo

Tiempo (0 a 30 – 90 días)

No existe parche oNo lo pude poner

Riesgo Vs Tiempo

Normativas de seguridad5

AntivirusIDS / IPS

Web Application Protection

Application Control

Firewall

Log Inspection

Integrity Monitoring

Gerenciamiento Complejo7

Zonas de Seguridad

Host

Within VM

•API to enable Agentless Antivrius

vShieldEnd Point

Network

VM to VM

•App Aware Firewall•Policy based

•Replaces VLAN Approach

vShieldApp

WAN

VDC to VDC

•Firewall de Perímetro•Load Balancing

•DHCP/NAT•VPN Site to Site

vShieldEdge

VMSafe

Ecosistema de Seguridad de VMware

EPSec

vCenter

NetworkIntrusion

Prevention

AgentlessAntivirus

DeepSecurityManager

Network

VMware vSphere™ ( Basic Zones now included here)

Agente

vShieldEndpoint

Antivirus

Agentless1

Security Virtual

MachinevSphere

Agentless

vSphereAPIs

IDS / IPS

Web Application Protection

Application Control

Firewall

3

Security agent on individual VMs

Log Inspection4

Agent-based

Integrates with

vCenter

Integrates with

vCenter

Integrity Monitoring

Agentless

vShieldEndpoint

2

DEEPSECURITY

Typical AV Console

3:00am Scan

14

1

Contención de Recursos

Vshield Endpoint APIs

� Anti-malware actualizado !

� Reglas de firewall aplicadas

!

�Web App Protection

activado !

� Reglas de IPS aplicadas !

�Virtual Patching protegiendo

!

h y p e r v i s o r

OS

CRM

OS

MAIL

OS

CRM

v

APP

OS

v v v

!APP

OS

v

Instant on

Ventana Riesgo vs. Tiempo

Rie

sgo

Tiempo (0 a 30 – 90 días)

Esperando el parche

No existe parche oNo lo pude poner

Con “Parche Virtual”

Virtual Patching

Los clientes de Trend Micro ya estánprotegidos (blindados)

• Como miembro de Microsoft Active Protections Program, Trend Micro conocía en adelanto la información de la vulnerabilidad.

• El mismo 13 de marzo de 2012 Trend Micro liberó el update DSRU12-006 para Deep Security

• Al día siguiente Trend Micro liberó la actualización 12007 para IDF

• Las dos actualizaciones proveen blindaje inmediato a los clientes de Deep Security y de OfficeScan.

• Los clientes de Trend Micro pueden aplicar el parche de Microsoft en su siguiente ventana de mantenimiento.

45

Operating Systems Windows (2000, XP, 2003, Vista, 2008, 7), Sun Solaris (8, 9, 10), Red Hat EL (4, 5), SuSELinux (10,11)

Database servers Oracle, MySQL, Microsoft SQL Server, Ingres

Web app servers Microsoft IIS, Apache, Apache Tomcat, Microsoft Sharepoint

Mail servers Microsoft Exchange Server, Merak, IBM Lotus Domino, Mdaemon, Ipswitch, IMail,, MailEnable Professional,

FTP servers Ipswitch, War FTP Daemon, Allied Telesis

Backup servers Computer Associates, Symantec, EMC

Storage mgt servers Symantec, Veritas

DHCP servers ISC DHCPD

Desktop applications Microsoft (Office, Visual Studio, Visual Basic, Access, Visio, Publisher, Excel Viewer, Windows Media Player), Kodak Image Viewer, Adobe Acrobat Reader, Apple Quicktime, RealNetworks RealPlayer

Mail clients Outlook Express, MS Outlook, Windows Vista Mail, IBM Lotus Notes, Ipswitch IMail Client

Web browsers Internet Explorer, Mozilla Firefox

Anti-virus Clam AV, CA, Symantec, Norton, Trend Micro, Microsoft

Other applications Samba, IBM Websphere, IBM Lotus Domino Web Access, X.Org, X Font Server prior, Rsync, OpenSSL, Novell Client

46

Virtual Patching es más que sólo WindowsBlindaje para más de 100 aplicaciones de servidores y des ktops

Trend Micro Confidential 8/7/2012 47

Bloqueo de ataques conocidos sobre código WEB, SQL INJECTION /

CROSS SITE SCRIPTING

79 % de los ataques son a por SQL Injection(verizon, 2009)

75 % de los ataques ocurren en la capa de aplicación (Gartner)

Web aplication Protection

1. Monitoreo de archivos, registros y llaves2. Notifica cambios en archivos3. Cambios en las configuraciones de registros

Recomendaciones automáticas

Integrity Monitor

Deep Security & PCI-DSS 2.0

� (1.) – Network Segmentation

� (1.x) – Firewall

� (6.1) – Virtual Patching*

� (6.5) – Web Application Firewall

� (10.6) – Review Logs Daily

� (11.4) – Deploy IDS / IPS

� (11.5) – Deploy File IntegrityMonitoring* Control compensatorio que debe ser aprobado por el auditor QSA

Normativas de Seguridad

“De-Militarized Zone” (DMZ)

Mission Critical Servers Business Servers

FirewallIPS Firewall

NIPSIPS

Firewall IPS

File Integrity

Monitoring

Log Inspection

Anti-malware

DEEPSECURITY

Gracias

52

Alberto Ricord M.Sales Director Latin America

alberto_ricord@trendmicro.com.