Soluciones de Seguridad, para un planeta más inteligente

Transcripción

1 Soluciones de Seguridad, para un planeta más inteligente Juan Paulo Cabezas Security Architect for Spanish South America

2 Hacia donde va la seguridad en un planeta más inteligente? Nuestro mundo esta cada vez más Instrumentado Nuestro mundo esta más Interconectado Nuestro mundo es cada vez más Inteligente Nuevas posibilidades. Nuevas complejidades. Nuevos Riesgos. Smart supply chains Smart water management Intelligent oil field technologies Smart countries Smart weather Smart regions Smart retail Smart energy grids Smart healthcare 2 Smart traffic systems Smart cities Smart food 2 systems

3 Características de 25 eventos 3

4 Características del nuevo escenario y cambio de paradigma En el informe de X-Force del 2010 se indica:.. En vez de enfocarse en un único punto de entrada, las nuevas amenazas tienen como objetivo múltiples recursos en la compañía. No sólo lo expuesto al público esta en riesgo, sino que, cada empleado y endpoint se ha convertido en un potencial punto de entrada. El adversario externo es altamente entrenado e inteligente, por lo que se requiere una postura más activa ante el riesgo. Un memo de la Casa Blanca en el 2010 sobre FISMA (Federal Information Security Management Act) indica: Las agencias deben ser capaces de monitorear continuamente la información de seguridad a través de la organización, de una manera gestionable y procesable Alan Paller, Director de investigación del instituto SANS, indicó ante el Congreso:.. Las Agencias deben dejar de gastar dinero en reportes anticuados, en vez deben enfocar su gasto en el monitoreo continuo y reducción del riesgo

5 IBM Security Solutions Portafolio 5

6 TOP 20 Controles Críticos de Seguridad, según SANS Institute 1. Inventory of Authorized and Unauthorized Devices: Tivoli Endpoint Mgr 2. Inventory of Authorized and Unauthorized Software: Tivoli Endpoint Mgr 3. Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers: Tivoli Endpoint Mgr y IBM Security Server Protection 4. Secure Configurations for Network Devices such as Firewalls, Routers, and Switches: Tivoli Netcool Configuration Manager 5. Boundary Defense: IBM Security Network IPS 6. Maintenance, Monitoring, and Analysis of Security Audit Logs: Tivoli Security Information & Event Mgr 7. Application Software Security: IBM Security Network IPS + Rational Appscan 8. Controlled Use of Administrative Privileges: Tivoli Identity Mgr+Tivoli Access Mgr ESSO = Privileged Identity Manager 9. Controlled Access Based on the Need to Know: IBM Security Server Protection y Tivoli Endpoint Mgr 10. Continuous Vulnerability Assessment and Remediation: Tivoli Endpoint Mgr y IBM Security Network IPS 11. Account Monitoring and Control: Tivoli Identity Mgr+Tivoli Security Information & Event Mgr 12. Malware Defenses: Tivoli Endpoint Mgr for Core Protection, IBM Security Network IPS S y IBM Security Server Protection 13. Limitation and Control of Network Ports, Protocols, and Services: Tivoli Endpoint Mgr, IBM Security Network IPS, IBM Security Virtual Server Protection, IBM Security Server Protection 14. Wireless Device Control 15. Data Loss Prevention: IBM Security Network IPS, IBM Security Virtual Server Protection, IBM Security Server Protection 6

7 Protección de Amenazas en profundidad Prevención Detección n de Eventos de Seguridad Prevención Reconocimiento Infiltración Detección n de Anomalías as Ataque Cubrirse Parchado, Control de Acceso, etc. Network IPS, Host IPS, AV, Net Flow Prevención de fuga de información, Listas Blancas de Aplicaciones Solución n de Aseguramiento de Seguridad 7

8 Gestión de Infraestructura Integrada 8 Usando Tivoli Endpoint Manager, puede: Ver todas las estaciones: físicas, virtuales, fijas o móviles Corregir problemas en cualquier lugar en minutos, sin importar el ancho de banda o conectividad Desplegar en días, sobre cualquier red o geografía Lograr el cumplimiento continuo a través de plataformas Simplificar las operaciones y disfrutar un rápido time to value 8

9 Más inteligente, Gestión más rápida Reportar Publicar Reportar Publicar Evaluar Evaluar Decidir Decidir Imponer Evaluar Imponer Reto Herramientas Tradicionales Plataforma TEM Incrementar la precisión y la velocidad Completar el ciclo de aplicación de la política Escalabilidad no puede ser lograda sin gran inversión en infraestructura Todo es controlado por el servidor, lo que es lento Puede tomar dias para cerrar el ciclo de aplicación de políticas en forma precisa Los administradores todavía están gestionando herramientas en lugar de ser productivos Un nuevo modelo de gestión de sistemas y seguridad Aplicación de políticas se cumple y está provada en minutos en lugar de dias Procesamiento distribuido significa que la escalabilidad no tiene límite 9

10 Tivoli Endpoint Manger for Security & Compliance Gestión de Parches Gestión de Configuración de Seguridad Gestión de Vulnerabilidades Control de Dispositivos Auto-Cuarentena en la Red Gestión de Antivirus de Terceros Anti-Malware Descubre 10% - 30% más activos que previamente reportados Automáticamente y en forma continua impone la política en la estación Biblioteca de +5,000 definiciones de cumplimiento, incluyendo soporte para FDCC SCAP, DISA STIG Logra tasas de +95% de éxito en la Primera Pasada en horas de desplegar la política o parche 10

11 Gestión de Vulnerabilidades Repositorios OVAL: Open Vulnerability and Assessment Language CVE: Common Vulnerabilities and Exposures CVSS: Common Vulnerability Scoring System 11

12 Gestión de Antivirus de Terceros Seguimiento Instalado Actualizado Corriendo Patrón al día Antivirus: McAfee Symantec Trend Micro Sophos CA etrust Proventia Desktop Windows Defender 12

13 Gestión de Configuración de Seguridad SANS Top Vulnerabilities Defense Information Systems Agency, Security Technical Implementation Guide, para Unix y Windows Federal Desktop Core Configuration Win XP/Vista Win 2003 United States Government Configuration Baseline Windows 7 13

14 Análisis de Seguridad y Cumplimiento Reportes Cumplimiento total Por Checklist Por Checks Por máquina Por Grupo de máquinas Excepciones 14

15 Tivoli Endpoint Manager for Core Protection Basado en tecnología de Trend Micro Protección en tiempo real para virus, troyanos, spyware, rootkits Firewall personal Reputación de archivos y Web Consiente de ambientes virtualizados Consola única administrativa Bajo consumo de recursos Efectividad probada NSS Labs: 15

16 TEM for Core Protection, utiliza tecnología líder 16 Source: Real World Corporate Endpoint Test Report, January

17 Qué fue de ISS? 17

18 Nuevos equipos en IBM Security Network IPS Mejor relación precio/mb analizado del mercado Tres modos de funcionamiento: PASSIVE MONITORING INLINE SIMULATION INLINE PREVENTION GX7800 y GX7412 Capacidades GX7412 GX7800 Latencia <150µSec <150µSec New Conexiones/Seg 647, ,788 Conexiones abiertas 12,500,000 12,500,000 Modelos de IBM Security Network IPS Remoto Perimetro Core NEW NEW NEW Modelo GX GX4004 GX5008 GX5108 GX5208 GX GX GX7412 GX7800 Tráfico Inspeccionado Segmentos protegidos Mbps 800 Mbps 1.5 Gbps 2.5 Gbps 4 Gbps 5 Gbps 10 Gbps 15 Gbps 20 Gbps

19 IBM Security Intrusion Prevention Systems Funcionalidades Claves Equilibrio entre seguridad y rendimiento de las aplicaciones críticas de negocio Enfocado a gestionar amenazas cambiantes en un ambiente con pocos recursos y baja especialización Reducir el costo y la complejidad de la infraestructura de seguridad Capacidades de protección a nivel de red de Core Capacidades básicas Protección más allá de los IPS de red tradicionales: Protección de aplicaciones Web Protección de ataques a nivel cliente Funcionalidades de Data Loss Prevention (DLP) Control Aplicativo Tecnología de Virtual Patch 19

20 Investigación y Desarrollo de IBM X-Force IBM X-Force Investigación y Desarrollo IBM X-Force Database 20 Qué es lo que hace? Investiga y evalúa las vulnerabilidades y problemas de seguridad Desarrolla la evaluación y la tecnología de contramedidas para las ofertas de seguridad de IBM Educa al público sobre las nuevas amenazas de Internet En qué se diferencia? Uno de los team comerciales de investigación en seguridad más reconocidos en el mundo La tecnología desarrollada por X-Force en promedio protege 341 días antes que existan las amenazas. IBM Xforce Database se actualiza diariamente por un grupo dedicado de investigación que revisa sobre: 7,600 Vendors 17,000 Products 40,000 Versions IBM X-Force Database mantiene la más amplia información de vulnerabilidades del mundo, más de , conteniendo información desde 1990

21 Fuentes de información de IBM X-Force Darknet y Honeynets X-Force opera una red clase B para recibir ataques y detectar tráfico anómalo en Internet. MSS Telemetry Data IBM automatiza la alimentación de más de millones de eventos a PAM por día, para asegurar que los falsos positivos sean lo más cercano a 0, como sea posible 4,000 Clientes de GTS con más de 20,000 sensores IPS Sitios y clientes de pruebas para nuevos códigos e ideas Ninguno de nuestros competidores maneja esta cantidad de información La precisión de la seguridad provista por PAM es evaluada cada hora, si se encuentran inconvenientes estos son identificados y corregidos. X-Force mantiene investigación en la red de manera continua. 21

22 Behind the Scenes of X-Force Análisis de protocolos/contenidos a todos los niveles Al día de hoy 260 protocolos decodificados, se adicionan un promedio de 3 x mes durante el último año 22

23 Behind the Scenes of X-Force Protección aplicativa a través de Shellcode Heuristics MIME Types: application/acrobat application/pdf application/msword application/vnd.ms-excel application/vnd.ms-powerpoint application/vnd.pdf application/x-pdf text/x-pdf text/pdf asd mpp pps wks xlk csv mpt ppt wpd xlr doc mso pptx wri xls docx pdf pub wbk xlsx dot pot pwz wps xlt fpx ppa rtf wiz xlw 23

24 Behind the Scenes of X-Force Protección de ataques sofisticados de Aplicaciones Web SQL (Structured Query Language) Injection XSS (Cross-site scripting) PHP (Hypertext Preprocessor) file-includes CSRF (Cross-site request forgery) Path Traversal HTTP Response Splitting Forceful Browsing Integración con Rational Appscan 24

25 IBM IPS Capacidades Web App Día Cero (Vuln/Exploit) 25 El motor de los IBM IPS ha detenido los ataques en gran escala de zero-day SQL injection o XSS. Asprox reportado 12/11/2008 bloqueado 6/7/2007 Lizamoon reportado 3/29/2011 bloqueado 6/7/2007 SONY (publicado) reportado May/Jun/2011 bloqueado 6/7/2007 Apple Dev Network reportado Jul/2011 bloqueado 6/7/2007 Nueva Vulnerabilidad o Exploit Fecha Reportada Protegido desde Nagios expand cross-site 5/1/2011 6/7/2007 scripting Easy Media Script go parameter 5/26/2011 6/7/2007 XSS N-13 News XSS 5/25/2011 6/7/2007 I GiveTest SQL Injection 6/21/2011 6/7/2007 RG Board SDQL Injection 6/28/2011 6/7/2007 Published: BlogiT PHP Injection 6/28/2011 6/7/2007 IdevSpot SQL Injection (isupport) 5/23/2011 6/7/2007 2Point Solutions SQL Injection 6/24/2011 6/7/2007 PHPFusion SQL Injection 1/17/2011 6/7/2007 ToursManager PhP Script Blind 7/2011 6/7/2007 SQli Oracle Database SQL Injection 7/2011 6/7/2007 LuxCal Web Calendar 7/2011 6/7/2007 Apple Web Developer Website 7/2011 6/7/2007 SQL25 MySQLDriverCS Cross-Param 6/27/2011 6/7/2007 SQLi

26 Sistemas de prevención de intrusos Integración provista por IBM: Análisis de vulnerabilidades aplicativas e infraestructura de prevención de intrusos. Los datos extraídos de Rational AppScan son importados en las políticas de protección de la solución de Network IPS 26

27 Sistemas de prevención de intrusos Integración provista por IBM: Análisis de vulnerabilidades aplicativas e infraestructura de prevención de intrusos. Los datos extraídos de Rational AppScan son importados en las políticas de protección de la solución de Network IPS 27

28 Adelante de la amenaza/ Ahead of the Threat 3309 De las 48 Top Vulnerabilidades reveladas Ahead of the Threat Mismo dia Dentro de los 15 Dias 35% 35% (Average (Average 1 yr+) 1 yr+) 54% 11% 54% 11% Los clientes de IBM estaban protegidos antes o durante las 24hrs de un ataque en un 89% del tiempo durante el Adobe Reader Heap Corruption Vulnerability 13 Microsoft Vulnerability in ASP.NET Could Allow Information Disclosure 11 Java Web Start Allows Arbitrary Commands to be Passed 4 Microsoft Windows Help/Support Center Could Allow Remote Code Execution 0 Microsoft OpenType CFF Driver Could Allow Remote Code Execution 0 Microsoft Windows SMB Server Remote Code Execution 0 Microsoft Movie Maker Buffer Overflow 0 Microsoft Excel XLSX Code Execution 0 DoS Conditions in Microsoft Exchange and SMTP Service 0 Microsoft DirectShow Remote Code Execution 0 Microsoft Office Outlook Could Allow Remote Code Execution 0 Microsoft Windows Shell Could Allow Remote Code Execution 0 Microsoft Windows SMB Server Remote Code Execution 0 Microsoft Windows Cinepak Codec Remote Code Execution 0 Microsoft Office Word Could Allow Remote Code Execution 0 Microsoft Office Word Could Allow Remote Code Execution 0 Microsoft Windows has a vulnerability in the IPv6 processing of the TCP/IP 0 MS Win Local Sec Auth Subsystem Service Could Allow Remote Code Execution 0 Microsoft Windows SChannel Could Allow Remote Code Execution 0 Vulnerabilities in Microsoft ATL Could Allow Remote Code Execution 0 Microsoft Office RTF Could Allow Remote Code Execution 0 Microsoft Office (DLL) Could Allow Remote Code Execution 0 Microsoft Internet Explorer Could Allow Remote Code Execution 0 Microsoft Windows OTF Driver Could Allow Remote Code Execution 0 Microsoft Windows OTF Driver Could Allow Remote Code Execution 0 Microsoft Windows OTF Driver Could Allow Remote Code Execution 0 Microsoft Windows Media Encoder Could Allow Remote Code Execution 0 Microsoft Windows Could Allow Remote Code Execution 0 Insecure Library in ICSW Could Allow Remote Code Execution 0 Microsoft Windows NetLogon Service Could Allow Denial of Service 0 Microsoft Office Graphics Filters Could Allow Remote Code Execution Java Plug-in for Internet Explorer Remote Code Execution MS Windows OpenType CFF Driver Could Allow Elevation of Privilege Microsoft Office Outlook Could Allow Remote Code Execution Improper Validation of COM Objects in Microsoft Office Adobe Flash Player, Acrobat, and Reader Remote Code Execution Apple QuickTime ActiveX Control Code Execution Adobe Flash, Reader, and Acrobat Remote Code Execution Microsoft Internet Explorer Freed Object Code Execution Microsoft Internet Explorer Use-After-Free Code Execution ACCWIZ Release-After-Free Remote Code Execution Vulnerability Adobe Flash Player Remote Code Execution Adobe Reader and Acrobat Remote Code Execution Microsoft Internet Explorer Deleted Object Code Execution Adobe Shockwave Director rcsl Chunk Remote Code Microsoft Internet Explorer Could Allow Remote Code Microsoft Internet Explorer CSS Remote Code Execution Microsoft Windows Shell Could Allow Remote Code Execution 28

29 IBM Virtual Server Protection for VMware Protección de amenazas Integrales para VMware vsphere 4 Ofrece la más amplia, integrada y profunda protección para ambientes virtualizados con un solo producto Firewall Integración con VMsafe Detección de Rootkit Intrusion Detection & Prevention Análisis de tráfico entre VMs Gestión separada de VMs Aplicación de política de red Protección integrada con VMotion Auto descubrimiento de VMs Auditoría de Infraestructura Virtual (Monitoreo de usuarios privilegiados) Protección de segmentos virtuales Virtual Network-Level Protection Virtual NAC Gestión Centralizada Protección de Web Application Virtual Patch 29

30 Por que IBM? Opinión de los analistas Liderazgo en Gartner Magic Quadrant User Provisioning (Nov 2010) Web Access Management (November 2008) Static Application Security Testing (Dic 2010) Enterprise Governance, Risk and Compliance Platforms (Oct 2010) Security Information and Event Management (May 2009) Gartner en Marketscope Enterprise Single Sign-On - Strong Positive (Sept 2010) Web Access Management - Positive (Nov 2010) Network Intrusion Prevention System Appliances Magic Quadrant IDC Market Share Leadership #1 Identity & Access Management (2009) #1 Identity Management Provider (2007) #1 Security & Vulnerability Management Software Worldwide (2007) #1 Vulnerability Assessment Software Worldwide (2007) #1 Application Vulnerability Assessment Software Worldwide (2007) 30 Liderazgo en Forrester Wave Database Auditing and Real-Time Protection (May 2011) Managed Security Services Wave (Ago 2010) Information Security And Risk Consulting Services (Ago 2010) SC Magazine Identity Access & Assurance, Best Identity Management Application 2011 IBM, Best Security Company, 2010 ENTERPRISE MANAGEMENT ASSOCIATES Leadership in Intrusion Prevention (Ene 2010)

31 IBM cuenta con una perspectiva única en seguridad. Asesor Confiable Compañía de Seguridad Proveedor de Soluciones La Compañía Ayudando a los clientes a construir ciudades más inteligentes, redes eléctricas más inteligentes, nuevos centros de datos, sistemas confiables Passport y más Un proveedor líder de software y servicios a lo largo de un conjunto vasto de segmentos de productos y servicios de seguridad Un proveedor líder de soluciones de software y hardware en todo el mundo empleados en 130 países que cuentan con datos privados que se deben proteger. Como el externalizador de TI principal, contamos con conocimiento único en relación a la conformidad regulatoria. IBM Security Solutions 31

32 Finalmente Desafío 30/30 Demo completamente funcional de Tivoli Endpoint Manager para 30 endpoints durante 30 días. Incluye: TEM for Lifecycle TEM for Security & Compliance TEM for Power Management TEM for Patch Management 32

33 Consultas? 33

34 Por Un Mundo Más Inteligente La Gente Lo Quiere Nosotros Lo Hacemos