Consolidando la Protección Anticipando la Amenaza! Hermes Romero R Systems Engineer
Agenda El Panorama de Seguridad La Protección de datos de ISS Proventia G: IPS/IDS Proventia Network Anomaly Detection System Proventia Network Enterprise Scanner Por qué ISS?
El panorama de la Seguridad
Delitos y estafas a la orden del día. Aumentan las estafas en Internet mediante el método de "phishing", Spyware o petición de datos bancarios Detenida una mujer por hacer pedidos a través de Internet a nombre de su vecina La Guardia Civil detiene a dos hombres por estafa de Phishing Detenido un presunto estafador por realizar compras con datos de tarjeta bancaria ajena Detenida una joven por un presunto delito por realizar compras en tiendas de Internet mas
Los meses de Febrero y Marzo de 2005 fueron muy malos LexisNexis (Seisint): 310,000 datos de clientes robados Los Hackers robaron los passwords de usuarios autorizados La pesadilla de RP : 39,600 menciones de El robo de LexisNexis en Google DSW: 100,000 datos de clientes robados Un ataque remoto en la base computacional de 103 tiendas La pesadilla de RP : 10,600 menciones en Google ChoicePoint: 145,000 datos de clientes robados Los Criminales usan métodos " no basados en tecnología para robar los datos. El robo ocurrió en el 2004 pero fue publicada en el 2005 La pesadilla de PR : 132,000 menciones El robo de ChoicePoint en Google
A un lado la Mala Publicidad ChoicePoint: Las acciones cayeron un nueve por ciento Los mas altos ejecutivos están bajo investigación de la SEC Una Demanda a los CEO de ChoicePoint y LexisNexis quienes debe dar testimonio en audiencia a las autoridades por los hechos ocurridos. 90 días para hacer enormes cambios en su sistema de seguridad DSW: La intrusión se hizo publica seis días antes del anuncio de su IPO
Hechos Clave Estos ataques están sucediendo y ellos van en aumento La base de datos de su computadora es dinero valioso para un hacker Los chicos malos están apuntando a bases de datos corporativas por que saben que muchas de ellas son inseguras: En los pasados doce meses 23% han sufrido las consecuencias por brechas en la seguridad 27% no saben que ya fueron hackeados 17% de esos hackeados dijeron que fue atacada su propiedad intelectual 16% de las empresas atacadas nunca habían tenido una auditoría No tenían idea de cuales eran sus vulnerabilidades Muchas medidas de seguridad solo son dirigidas a las computadoras, descuidando otras muchas áreas de vulnerabilidad crítica Y solo un 25% a entrenado a sus empleados en tener buenas prácticas de seguridad Los empleados son el área mas importante en un programa de seguridad Enterprise Strategy Group survey, 2004
La protección de Datos de ISS
Soluciones principales en el mercado para proteger los datos de sus clientes
Protección Punto a Punto
Fácil de Manejar Gestión Centralizada
Proventia G : IPS/IDS
Desafíos de las Empresas Inhabilidad de bloquear los ataques antes que el daño sea realizado Firewalls y anti-virus no son suficientes IDS son reactivos y la mayoría de IPS no pueden bloquear ataques eficientemente Tráfico no deseado Ataques Maliciosos, P2P, file sharing Consume significativamente el ancho de banda Potentialcialmente impacta la disponibilidad de la red Recursos de Seguridad Limitados Incapacidad de responder rápidamente a las amenzas Incapacidad de aplicar los Patches de seguridad a tiempo
Introducing Proventia Intrusion Prevention Appliances Proventia intrusion prevention appliances are inline intrusion prevention systems (IPS) that automatically stop malicious or unwanted traffic while preserving network bandwidth and availability
Soluciones Legacy ya no son Efectivas Cada año, 1 de 2 organizaciones sufre una brecha de seguridad seria. 99% de las organizaciones que las han sufrido tenían tanto firewalls como antivirus protegiéndolas. Source: 2004 CSI/FBI Computer Crime & Research Survey Question: Why does this happen?
IDS versus IPS Intrusion Detection
Validación del Liderazgo ISS #1 en el mercado Mundial de IDS/IPS por 5to año consecutivo. (IDC 04) Líder en Rendimiento y Presencia (Meta 05)
Network Performance Poderoso y Flexible Detección basada en Vulnerabilidades Hasta 2 Gbps throughput Formato Appliance Operación Inline Bypass capa-2 Alta Disponibilidad Active/Active Modelos para perímetro o para implementación de infraestructura intrusion prevention appliance
Proventia Network Anomaly Detection System Hace su seguridad mas inteligente Próximamente en Q1,2006!!
Qué es Proventia ADS? Proventia ADS utiliza la infraestructura existente para mostrar una visión clara de la red interna, mientras protege de amenazas conocidas y desconocidas. Proventia ADS señala 20-25 eventos accionables por día mientras que en un IPS Pueden ser millones. Proventia ADS colecta información de network flows de los Routers y Switches existentes, construyendo un profundo modelo relacional de la red y utilizando un sistema de detección N-Dimensional para proteger contra amenazas de día cero, inmunizando contra ataques a través de la integración con Firewalls y Switches. Proventia ADS Manager Proventia ADS Sensor
Proventia Network Anomaly Detection System Key Value Areas 1. Detectando y Deteniendo ataques Detectando y deteniendo gusanos (zero-day!) Detectando escaneos previos a un ataque Comportamiento malicioso conocido (Trojans, back doors, botnets, etc.) 2. Policy compliance y reduciendo riesgos de seguridad Controlando el acceso a recursos críticos (mal uso interno, cambios no planificados, infecciones) Bloqueando actividad riesgosa (verificando encripción, servicios sospechosos, p2p, anonymous browsing, T7 nations, etc.) 3. Uptime de la Red Protección contra denegaciones de servicio Detección de interrupciones en la red 4. Planificación y Segmentación de la Red Capacity planning, servicios en uso, soft firewalling, developing firewall policies
Today s Security Solution Network Applications Policy Yesterday TENS of targets MEGABITS of traffic Today Intelligent Network Security THOUSANDS of targets GIGABITS of traffic TENS of applications WEB, MAIL, DNS Intrusion Prevention Anomaly Detection Endpoint Security Access Control Vulnerability Assessment Content Filtering HUNDREDS of applications And CUSTOM more protocols, PAYROLL, TRADING INSIDE and OUTSIDE groups DEFAULT DENY HUNDREDS of groups DEFAULT ALLOW ISS layered protection technologies uniquely capable of protecting today s connected enterprise.
Proventia ADS Analyzer SiteProtector Management System Proventia AD120 Collector Partners Proventia AD60 Collector ISA Remote Users Dept Dept Switch IPS IPS Switch Switch Dept IPS IPS DMZ Dept2 Dept22 Key Systems Dept
Como funciona el Anomaly Detection Appliance-based, distributed Internal IPS 1. Recolecta información de network flow desde Routers y Switches 2. Construye en profundidad, un modelo relacional de la red 3. Utiliza técnicas de Detección Multidimensionales para proteger contra las amenazas del día cero, mal uso y abuso 4. Vacuna en contra de ataques por medio de la integración de firewalls y switches (Proventia G en el futuro)
Detección Multi-Dimensional Proventia ADS contínuamente desarrolla nuevos algoritmos paradetectar con precisión las amenazas de la red interna: Detección de Gusanos (Worms) Detecta patrones de propagación de comportamiento anormal: the SQL Slammer worm. Fingerprint Detection (ATF) Detecta tráfico que viola la huella dactilar de un comportamiento: malware, phishing, botnet traffic, etc. Detección de Anomalías por Baseline Detecta cambios del tráfico establecido por el baseline: a DoS attack on a trading feed. Detección Reconocimientos Detecta slow scans, fast scans, stealth scans, and host sweeps. Maluso Interno Detecta violaciones al comportamiento de una política de seguridad especificada:rmiembro del Helpdesk hablando o accesando la base de datos de pagos. Interrupción en la Disponibilidad Detecta caídas en el tráfico de servidores críticos o enlaces.
Inteligencia en la Seguridad de Redes Aseguramiento de la Red Reporte de puertos abiertos no utilizados Sugiere que puertos abiertos pueden ser cerrados porque no hay tráfico en ellos Descubrimiento Pasivo de Dispositivos Gatilla escaneos de nuevos dispositivos descubiertos por el ADS Explorador de la Red Naveguela red para encontrar: QUIÉN hace QUÉ DÓNDE se utilizan los SERVICIOS Crear alertas ante cambios de comportamiento no esperados
Aseguramiento de la Red Inteligencia en la Seguridad de Redes Estos son los servidores que utilizan el puerto 1026.
Gestión de Eventos Inteligencia en la Seguridad de Redes Eventos de ADS en SiteProtector
Proventia Network Enterprise Scanner Próximamente en Q1,2006!!
Proventia Network Enterprise Scanner Appliance El Proventia Enterprise Scanner protege la información mas valiosa, los activos mas críticos de la red y la Propiedad Intelectual por medio de la rápida y precisa identificación de la vulnerabilidades, proveyendo los pasos para remediarlas, rastreando y verificando que las vulnerabilidades sean corregidas. Automatización de las acciones claves del Enterprise Scanner Appliance básado en Linux de fácil instalación y utilización Integrable con las actuales herramientas de IT Escaneo Escalable y Distribuido Rendimiento y Precisión Superior Proventia ES1500 Appliance Componente de nuestro Proventia Enterprise Security Platform (ESP)
Proventia Network Enterprise Scanner Product Overview Fácil-de-Usar: Seguridad Acelerada v GUI intuitiva, reduce costos operacionales v Appliance, plug-and-protect v Linux, reduce los requerimientos de mantenimiento v Updates de contenido distrubuidos a los Scanners Automatización: EconomizaTiempo y Dinero v Eliminando pasos manuales, se reduce el costo de operación CIOs aseguran que su problema #1 es Comunicar el Estado de la Seguridad al resto de la compañía
Proventia Network Enterprise Scanner Reporte - Resumen
Proventia Network Enterprise Scanner Workflow Entrega mejores prácticas en Procesos de Seguridad permitiendo el descubrimiento, rastreo, solución, confirmación y reporte de vulnerabilidades.. Para que los usuarios no deban manejar los procesos por su cuenta. Procesos Seguridad: Ticketing Interno Ticketing Externo Procesos de Workflow Validación de Resolución Identificación del Propietario del Activo Reporte de Tareas
Proventia Network Enterprise Scanner Ticketing Interno
Por qué ISS?
Leading the Industry in Research From Executive Involvement National Infrastructure Advisory Council White House Task Force Cyber Security Industry Alliance Tom Noonan, CEO ISS To World Class Security Research Over 100 dedicated vulnerability researchers World s largest proprietary security knowledge base Threat Intelligence, Emergency Response, Advanced Research
X-Force en Números Ingenieros trabajando en la investigación y desarrollo para mejorar la seguridad de su empresa Porciento del tiempo dedicados a investigación y desarrollo Porciento de las vulnerabilidades de Alto Riesgo encontradas del 1998 hasta 2005 El grupo número uno en investigación y desarrollo de seguridad
X-Force en Acción High Risk Vulnerabilities * 1998-2005 ** McAfee (FoundStone, IntruVert) 5.1% Symantec (@Stake) 6.6% Core SDI 3.6% Bindview 2.2% (powered by X-Force ) idefense 8.0% NGS 10.9% ISS 51.1% eeye 12.4% * High risk vulnerabilities are comprised of vulnerabilities that meet the following combination of conditions: - all for remote compromise (compromise over a network), not local - do not require user interaction to exploit - do not require authentication to exploit ** Q1 2005 Source: Frost & Sullivan, April 2005
Seguridad Proactiva en Acción Ejemplos que lo comprueban..! ISS stopped all major worms before impact, 1. SQL Slammer 2. NACHI 3. MS Blaster 4. Sasser 5. Code Red 6. Nimda 7. Zotob 8. Many others. Collectively, they caused billions of dollars in business losses, but ISS customers were unaffected.
Gracias! Preguntas: Hermes Romero Rosanía Systems Engineer hromero@iss.net