Deep Security 7.5 Agent-less Anti Malware pro virtualizaci serverů a desktopů

Deep Security 7.5

Agent-less Anti Malware pro virtualizaci serverů a desktopů Ondrej KOVAC Technical Sales Engineer Copyright 2009 Trend Micro Inc.

Agenda •  Potřeba hostovaného zabezpečení –  Proč okrajové zabezpečení není dostačující –  Jak dochází k útokům

•  Virtualization Security Challenges •  Deep Security 7.5 •  Deep Security 7.5 Architecture •  Instalace Deep Security 7.5 –  Instalace Gotcha’s from PoCs

•  Deep Security AV vs OfficeScan •  Kdy nasadit Deep Security •  Q&A 5/5/11

Copyright 2009 Trend Micro Inc.

2

High Profile Cases – proč potřebují hostovanou ochranu May-2009: Hackers broke into 2 databases over a 6 month period, and exposed the data of 160,000+ students. Mar-2009: Hackers hijack PII for 45,000 employees & retirees. Dec-2008: PII of 1.5M customers & 1.1M Social Security Numbers. Dec-2008: DNS hijacking puts 5,000,000 check processing accounts at risk. May-2008: Security breach cost $68 million, 130 million records affected Aug-2007: Hackers placed software on the company’s network, and steal 45 M credit card #’s. Costs soar to $256 M. Copyright 2009 Trend Micro Inc.

3

Cílený útok Srdce platebních systémů •  5. největších zpracovatelů plateb v USA •  K porušení bezpečnosti došlo v květnu 2008; zveřejněny 20. ledna 2009 •  Největší kriminální úlovek kreditních kart všech dob (130 milionu záznamů), což stálo přes $68 milionu. –  V březnu 2010 byl Albert Gonzalez odsouzen k 20 letům odnětí svobody

•  Útok –  Přes sítě (DMZ) prostřednictvím webové aplikace (SQL injection) a instalaci Malware –  Zpropagovaný odposlouchávač paketů přes korporátní síť –  Stejné techniky používané k útokům Hannaford, 7-eleven, JC Penny Copyright 2009 Trend Micro Inc.

Útoky vedené za účelem prospěchu

more than 70% of the Malware today is being served or linked from legitimate web sites Copyright 2009 Trend Micro Inc.

Okrajové zabezpečení není dostatečné 1

2

3

Šifrované útoky

1001110011100

Mobilní zařízení Bezdrátové sítě

4

Nic netušící uživatelé

5

Útoky interních pracovníků

?

6

Copyright 2009 Trend Micro Inc.Third Brigade Inc. © 2005,

Postaveno na dynamických datových centrech zítřka Stage 1

Stage 2

Stage 3

Consolidation

Expansion & Desktop

Private > Public Cloud 85%

Desktops

15%

30%

70%

Servers

Security Built for Virtualization

Security Built for Virtualization

Security Built for Virtualization

Virtualization Aware:

Enable Increased Virtualization:

Support Cloud Deployments:

-  Remove Network Blind spots

- Reduce Operation Cost

-Manage private and cloud assets

-  Instant On Protection

- Enable Full Virtualization

-Centrally Enforced Security

- Reduce Resource Contention

- Remove Security Restrictions

-Enable Compliance

Copyright 2009 Trend Micro Inc.

Virtualizace na vzestupu

10 X vyšší růst v příštích 3 letech: 58 Milionu Virtuálních zařízení do r. 2012

Do roku 2012, 60 % virtualizovaných serverů bude méně zabezpečených než fyzické servery, které je nahrazují** 5/5/11

**Gartner, Inc

Copyright 2009 Trend Micro Inc.

Virtualizace & Cloud Computing vytvořily nové bezpečnostní výzvy

Inter-VM attacks

PCI Mobility

Cloud Computing

Hypervisor

Copyright 2009 Trend Micro Inc.

9

Bezpečnostní výzvy virtualizovaného prostředí •  Stejné hrozby jako ve fyzickém prostředí •  Nové výzvy: Security Challenges

Compliance Challenge

Inter VM Traffic

Network Segmentation IDS/IPS

Concentration of VM with Mixed Trust Levels

Network Segmentation IDS/IPS

Variable State - Instant ON, Reverted, Paused, Copied, Restarted...

Network Segmentation IDS/IPS Patch Management Anti Virus Integrity Monitoring

VM Movement

Network Segmentation IDS/IPS

VM Sprawl

Network Segmentation IDS/IPS

5/5/11

Copyright 2009 Trend Micro Inc.

Další výzvy Virtualizovaného prostředí Resource contention

3:00am Scan Typical AV Console

Copyright 2009 Trend Micro Inc.

DEEP SECURITY Kompletní, rentabilní a modulární systém, který doplňuje síť obrany pro fyzické i virtualizované servery NSS Labs Deep Security je první produkt, který prošel NSS Labs’ PCI Suitability testováni pro Host Intrusion Prevention Systems (HIPS). Copyright 2009 Trend Micro Inc.

Trend Micro Deep Security 5 ochranných modulů

DSA

Deep Packet Inspection IDS / IPS

Shields web application vulnerabilities

Web Application Protection Application Control

Reduces attack surface. Prevents DoS & detects reconnaissance scans Optimizes identification of important security events across multiple log files

Firewall

Anti-Virus

Log

Integrity

Inspection

Monitoring

DSVA Detects and blocks known and zero-day attacks that target vulnerabilities Provides increased visibility into, or control over, applications accessing the network Detects and blocks malware (viruses & worms, Trojans) Detects malicious and unauthorized changes to directories, files, registry keys…

Ochrana je poskytována pomocí Agenta a nebo Virtuálního zařízení Copyright 2009 Trend Micro Inc. 13

Trend Micro Deep Security

Agentless ochrana pro VMware servery Security Virtual Appliance •  Firewall •  IDS/ IPS

Vmware Introspection APIs

•  Anti-virus

•  Virtual Appliance zabezpečuje VMs z venčí, bez změn ve VM •  VMware APIs umožňuje o  FW, IDS/IPS funkce na provni hypervizoru o  AV skenování na úrovni hypervizoru •  Virtual Appliance izoluje bezpečnost lépe než fyzické zabezpečení Classification 5/5/11

Copyright 2009 Trend Micro Inc. 14

Deep Security Productové portfólio VIRTUAL

PHYSICAL

CLOUD

Deep Security Agent

Deep Security Virtual Appliances

Security Profiles

Alerts

Deep Security Manager

IT Infrastructure Integration •  vCenter •  SIEM •  Active Directory •  Log correlation •  Web services Security Center

Security

Reports

Updates Copyright 2009 Trend Micro Inc.

15

Trend Micro Deep Security Virtuální Apliance

Guest VMs

Trend Micro Deep Security Virtual Appliance

OS

IDS/IPS - Virtual Patch

Anti Malware

-  App Control

- On Access

Kernel

-  On Demand Firewall VMsafe-net API

(EPSEC) API

Introspection API’s

vSphere 4.1 (ESX) Copyright 2009 Trend Micro Inc.

VMTools

Deep Security/Vmware rozmístění VCenter 4.1 Vshield Manager 4.1 ESX A (4.1) Vshield Kernel Driver

ESX B

VMSafe KernelDriver

DSVA

Driver

Driver

DSVA

Guest 1

Vshield Guest Driver

Guest

Driver

Guest 2

Vshield Guest Driver

Guest

Driver

5/5/11

Copyright 2009 Trend Micro Inc. 17

Deep Security Manager

Deep Security/EPSec API Componenty Deep Security Virtual Appliance Deep Security Manager

VM VM Guest VM

Deep Security Super Agent

Security Admin

EPsec

vShield Endpoint Library

APPs APP APP APPs APPs

Interface On Access Scans

OS OS OS

REST

On Demand Scans Status Monitor

Kernel Kernel

Remediation

Vshield Guest Driver BIOS BIOS

Caching & Filtering

vShield Manager 4.1

VI Admin

ESX 4.1

vShield Endpoint ESX Module

vSphere Platform

vCenter

Legend Trend Micro Deep Security

EPSEC API Components (Within DS)

vShield Endpoint Components

VMware Platform

Copyright 2009 Trend Micro Inc.

VMware

Partner

Internal

Accessible

Interfaces

Interfaces

Deep Security/EPSec API Main Features •  Agent-Less Real Time Scan –  Triggers notifications to AV engine on file open/close –  Provides access to file data for scanning

•  Agent-Less Manual and Schedule Scan –  On demand scans are coordinated and staggered –  Traverses guest file-system and triggers notifications to the AV engine

•  Auto-protection of new VMs or reactivated VMs •  Zero Day Protection –  Trend Micro iCRC Support (no WRS)

•  Agent-Less Remediation –  Active Action, Delete, Pass, Quarantine, Clean

•  API Level Caching –  Caching of data and results to minimize data traffic and optimize performance

Copyright 2009 Trend Micro Inc.

Deep Security zlepšení •  DSM průvodce –  Asistence v obtížných začátcích(Add VCenter, výchozí profil..atd)

•  Anti Malware Dashboard/Alerts/Reports –  AV Historie, Top X –  Real time AV upozornění, aktualizace záznamů a na vyžádání scan upozornění –  AV zprávy, aktualizování auditových zprávy včetně AV

•  Trend Micro Product Registration –  Licence a aktivaci pomocí Trend Aktivačního kódu

•  Trend Micro Active Update –  –  –  – 

AU Update prostřednictvím proxy (and Socks4) AU Update for AV pattern, engine and DPI/Firewall AV Update rollback, schedule and manual update Trend Micro Download Center for software update

Copyright 2009 Trend Micro Inc.

Deep Security souhrn hodnot •  Méně složité –  Významně snižuje úsilí kolem aktualizací a nasazení bezpečnostních řešení –  60 to 1 snížení intenzity ve VMWare View prostředí –  30 to 1 snížení intenzity ve VMware ESX prostředí

•  Více ochrany –  Odolné agenti, žádné další komponenty pro vypínání hosta –  Instant On ochrana pro stávajícií i nové hosty

•  Lepší výkon –  Odstraňuje problémy s PCU, diskem a sítí –  Více VM = více uspořených zdrojů –  Zvýšení konsolidace hostů

5/5/11

Copyright 2009 Trend Micro Inc. 21

Q&A

Classification 5/5/11

Copyright 2009 Trend Micro Inc. 22