Deep Security 7.5
Agent-less Anti Malware pro virtualizaci serverů a desktopů Ondrej KOVAC Technical Sales Engineer Copyright 2009 Trend Micro Inc.
Agenda • Potřeba hostovaného zabezpečení – Proč okrajové zabezpečení není dostačující – Jak dochází k útokům
• Virtualization Security Challenges • Deep Security 7.5 • Deep Security 7.5 Architecture • Instalace Deep Security 7.5 – Instalace Gotcha’s from PoCs
• Deep Security AV vs OfficeScan • Kdy nasadit Deep Security • Q&A 5/5/11
Copyright 2009 Trend Micro Inc.
2
High Profile Cases – proč potřebují hostovanou ochranu May-2009: Hackers broke into 2 databases over a 6 month period, and exposed the data of 160,000+ students. Mar-2009: Hackers hijack PII for 45,000 employees & retirees. Dec-2008: PII of 1.5M customers & 1.1M Social Security Numbers. Dec-2008: DNS hijacking puts 5,000,000 check processing accounts at risk. May-2008: Security breach cost $68 million, 130 million records affected Aug-2007: Hackers placed software on the company’s network, and steal 45 M credit card #’s. Costs soar to $256 M. Copyright 2009 Trend Micro Inc.
3
Cílený útok Srdce platebních systémů • 5. největších zpracovatelů plateb v USA • K porušení bezpečnosti došlo v květnu 2008; zveřejněny 20. ledna 2009 • Největší kriminální úlovek kreditních kart všech dob (130 milionu záznamů), což stálo přes $68 milionu. – V březnu 2010 byl Albert Gonzalez odsouzen k 20 letům odnětí svobody
• Útok – Přes sítě (DMZ) prostřednictvím webové aplikace (SQL injection) a instalaci Malware – Zpropagovaný odposlouchávač paketů přes korporátní síť – Stejné techniky používané k útokům Hannaford, 7-eleven, JC Penny Copyright 2009 Trend Micro Inc.
Útoky vedené za účelem prospěchu
more than 70% of the Malware today is being served or linked from legitimate web sites Copyright 2009 Trend Micro Inc.
Okrajové zabezpečení není dostatečné 1
2
3
Šifrované útoky
1001110011100
Mobilní zařízení Bezdrátové sítě
4
Nic netušící uživatelé
5
Útoky interních pracovníků
?
6
Copyright 2009 Trend Micro Inc.Third Brigade Inc. © 2005,
Postaveno na dynamických datových centrech zítřka Stage 1
Stage 2
Stage 3
Consolidation
Expansion & Desktop
Private > Public Cloud 85%
Desktops
15%
30%
70%
Servers
Security Built for Virtualization
Security Built for Virtualization
Security Built for Virtualization
Virtualization Aware:
Enable Increased Virtualization:
Support Cloud Deployments:
- Remove Network Blind spots
- Reduce Operation Cost
-Manage private and cloud assets
- Instant On Protection
- Enable Full Virtualization
-Centrally Enforced Security
- Reduce Resource Contention
- Remove Security Restrictions
-Enable Compliance
Copyright 2009 Trend Micro Inc.
Virtualizace na vzestupu
10 X vyšší růst v příštích 3 letech: 58 Milionu Virtuálních zařízení do r. 2012
Do roku 2012, 60 % virtualizovaných serverů bude méně zabezpečených než fyzické servery, které je nahrazují** 5/5/11
**Gartner, Inc
Copyright 2009 Trend Micro Inc.
Virtualizace & Cloud Computing vytvořily nové bezpečnostní výzvy
Inter-VM attacks
PCI Mobility
Cloud Computing
Hypervisor
Copyright 2009 Trend Micro Inc.
9
Bezpečnostní výzvy virtualizovaného prostředí • Stejné hrozby jako ve fyzickém prostředí • Nové výzvy: Security Challenges
Compliance Challenge
Inter VM Traffic
Network Segmentation IDS/IPS
Concentration of VM with Mixed Trust Levels
Network Segmentation IDS/IPS
Variable State - Instant ON, Reverted, Paused, Copied, Restarted...
Network Segmentation IDS/IPS Patch Management Anti Virus Integrity Monitoring
VM Movement
Network Segmentation IDS/IPS
VM Sprawl
Network Segmentation IDS/IPS
5/5/11
Copyright 2009 Trend Micro Inc.
Další výzvy Virtualizovaného prostředí Resource contention
3:00am Scan Typical AV Console
Copyright 2009 Trend Micro Inc.
DEEP SECURITY Kompletní, rentabilní a modulární systém, který doplňuje síť obrany pro fyzické i virtualizované servery NSS Labs Deep Security je první produkt, který prošel NSS Labs’ PCI Suitability testováni pro Host Intrusion Prevention Systems (HIPS). Copyright 2009 Trend Micro Inc.
Trend Micro Deep Security 5 ochranných modulů
DSA
Deep Packet Inspection IDS / IPS
Shields web application vulnerabilities
Web Application Protection Application Control
Reduces attack surface. Prevents DoS & detects reconnaissance scans Optimizes identification of important security events across multiple log files
Firewall
Anti-Virus
Log
Integrity
Inspection
Monitoring
DSVA Detects and blocks known and zero-day attacks that target vulnerabilities Provides increased visibility into, or control over, applications accessing the network Detects and blocks malware (viruses & worms, Trojans) Detects malicious and unauthorized changes to directories, files, registry keys…
Ochrana je poskytována pomocí Agenta a nebo Virtuálního zařízení Copyright 2009 Trend Micro Inc. 13
Trend Micro Deep Security
Agentless ochrana pro VMware servery Security Virtual Appliance • Firewall • IDS/ IPS
Vmware Introspection APIs
• Anti-virus
• Virtual Appliance zabezpečuje VMs z venčí, bez změn ve VM • VMware APIs umožňuje o FW, IDS/IPS funkce na provni hypervizoru o AV skenování na úrovni hypervizoru • Virtual Appliance izoluje bezpečnost lépe než fyzické zabezpečení Classification 5/5/11
Copyright 2009 Trend Micro Inc. 14
Deep Security Productové portfólio VIRTUAL
PHYSICAL
CLOUD
Deep Security Agent
Deep Security Virtual Appliances
Security Profiles
Alerts
Deep Security Manager
IT Infrastructure Integration • vCenter • SIEM • Active Directory • Log correlation • Web services Security Center
Security
Reports
Updates Copyright 2009 Trend Micro Inc.
15
Trend Micro Deep Security Virtuální Apliance
Guest VMs
Trend Micro Deep Security Virtual Appliance
OS
IDS/IPS - Virtual Patch
Anti Malware
- App Control
- On Access
Kernel
- On Demand Firewall VMsafe-net API
(EPSEC) API
Introspection API’s
vSphere 4.1 (ESX) Copyright 2009 Trend Micro Inc.
VMTools
Deep Security/Vmware rozmístění VCenter 4.1 Vshield Manager 4.1 ESX A (4.1) Vshield Kernel Driver
ESX B
VMSafe KernelDriver
DSVA
Driver
Driver
DSVA
Guest 1
Vshield Guest Driver
Guest
Driver
Guest 2
Vshield Guest Driver
Guest
Driver
5/5/11
Copyright 2009 Trend Micro Inc. 17
Deep Security Manager
Deep Security/EPSec API Componenty Deep Security Virtual Appliance Deep Security Manager
VM VM Guest VM
Deep Security Super Agent
Security Admin
EPsec
vShield Endpoint Library
APPs APP APP APPs APPs
Interface On Access Scans
OS OS OS
REST
On Demand Scans Status Monitor
Kernel Kernel
Remediation
Vshield Guest Driver BIOS BIOS
Caching & Filtering
vShield Manager 4.1
VI Admin
ESX 4.1
vShield Endpoint ESX Module
vSphere Platform
vCenter
Legend Trend Micro Deep Security
EPSEC API Components (Within DS)
vShield Endpoint Components
VMware Platform
Copyright 2009 Trend Micro Inc.
VMware
Partner
Internal
Accessible
Interfaces
Interfaces
Deep Security/EPSec API Main Features • Agent-Less Real Time Scan – Triggers notifications to AV engine on file open/close – Provides access to file data for scanning
• Agent-Less Manual and Schedule Scan – On demand scans are coordinated and staggered – Traverses guest file-system and triggers notifications to the AV engine
• Auto-protection of new VMs or reactivated VMs • Zero Day Protection – Trend Micro iCRC Support (no WRS)
• Agent-Less Remediation – Active Action, Delete, Pass, Quarantine, Clean
• API Level Caching – Caching of data and results to minimize data traffic and optimize performance
Copyright 2009 Trend Micro Inc.
Deep Security zlepšení • DSM průvodce – Asistence v obtížných začátcích(Add VCenter, výchozí profil..atd)
• Anti Malware Dashboard/Alerts/Reports – AV Historie, Top X – Real time AV upozornění, aktualizace záznamů a na vyžádání scan upozornění – AV zprávy, aktualizování auditových zprávy včetně AV
• Trend Micro Product Registration – Licence a aktivaci pomocí Trend Aktivačního kódu
• Trend Micro Active Update – – – –
AU Update prostřednictvím proxy (and Socks4) AU Update for AV pattern, engine and DPI/Firewall AV Update rollback, schedule and manual update Trend Micro Download Center for software update
Copyright 2009 Trend Micro Inc.
Deep Security souhrn hodnot • Méně složité – Významně snižuje úsilí kolem aktualizací a nasazení bezpečnostních řešení – 60 to 1 snížení intenzity ve VMWare View prostředí – 30 to 1 snížení intenzity ve VMware ESX prostředí
• Více ochrany – Odolné agenti, žádné další komponenty pro vypínání hosta – Instant On ochrana pro stávajícií i nové hosty
• Lepší výkon – Odstraňuje problémy s PCU, diskem a sítí – Více VM = více uspořených zdrojů – Zvýšení konsolidace hostů
5/5/11
Copyright 2009 Trend Micro Inc. 21
Q&A
Classification 5/5/11
Copyright 2009 Trend Micro Inc. 22