www.daten.com.mx
2
EL incremento en las amenazas actuales y su impacto en los negocios
3
El incremento en las amenazas de seguridad y como impactan los
negocios en la actualidad
SummarySummary
Los gusanos de red y los spyware son
amenazas importantes en la actualidad
Las 3 rutas de infeccion preferidas por los
gusanos de red:
E-mail, weak network defense, NetBIOS.
Gusanos de Red y spyware
La perdida de una Red causada por una
infeccion podria disparar los costosde una
empresa de una manera excesiva.
Network downtime
La mayoria de la empresas tienen defensas
inadecuadas contra ataques del tipo Zero Day y
alertas producidas por gusanos de red.
Defensas debiles contra
los ataques mas comunes
Respuesta lenta y costosa a nuevos ataques
por gusanos de red.
IPS instalados en el Internet gateway no
previenen la propagacion interna de
infecciones.
Defensas existentes inadecuadas o limitadas en su funcionamiento
4
Damage of Worms and SpywareDamage of Worms and Spyware
Biggest issue in
security
Total of 336
surveyed
Worms45.83%Worms45.83%
Spam Mail13.69%
Spam Mail13.69%
Hacking7.14%
Hacking7.14%
MaliciousTraffic(i.e. P2P)
16.07%
MaliciousTraffic(i.e. P2P)
16.07%
Virus16.07%Virus
16.07%
Los gusanos de red representan el principal topico de seguridad que enfrentan las areas de TI hoy dia (45.83% de todos los entrevistados)
Source: Datanet, November 2004
-Surveyed 336 IT administrators within the Korean IT industry
Source: AhnLab Security Emergency Response Center
(ASEC) Monthly Report (Feb. 2005)
Los incidentes reportados se incrementaron 28.7- veces respecto
del año anterior
Total: 11,598 incidents
1 2 3 4 5 6 7 8 9 10 11 12 1
2004 2005
5
Tendencia hacia el Spyware.El Spyware es una de las mas peligrosas amenazas para las redes Corporativas y representa actualmente el 66% de los codigos maliciosos.
El incremento de Spyware que intenta “robar” informacion privada importante, ha cambiado el paradigma de la Seguridad Informatica, ya que causa daños a los sistemas y al mismo tiempo perdidas financieras.
El Spyware se clasifica en adware, downloader, y dialer.
▶ La sofisticacion y diversificacion del Spyware causa a los usuarios perdidas financieras, y esta situacion se incrementa de forma alarmante.
Worm
13%
Trojan Horse
15%
Spyware
66%
Dropper
3%
File
0%
Script
1%
extra2%
worm, virustotal 2,956(34%)
spyware(66%)
Estadisticas reportadas en cuanto a codigo malicioso en 2006
* 출처 : ASEC Annual Report 2005_ 안철수연구소
Category Status
Worm 1,133
Trojan Horse 1,353
Dropper 258
Script 53
File 9
Others 150
Spyware 5,837
Total 8,793
6
• Al inicio de una contingencia por
gusanos de Red, resulta ineficaz tratar
de bloquearla en las PC’s de la Red.
• Los ataques que explotan
vulnerabilidades son dificiles de detener
con productos que funcionen a nivel
estacion de trabajo.
• El incremento de las infecciones por
gusanos se debe a :
Que no usan productos antivirus
El uso de motores no actualizados
No aplicaron parches de seguridad
Usuarios mobiles, laptop, celular, etc
Los gusanos de Red causan daños importantes a pesar de tener instalados
productos antivirus en los sistemas de la Red.
Limitaciones en la respuesta comun a infecciones por gusanos de red.
Limitaciones en la respuesta comun a infecciones por gusanos de red.
Time
Infection
Damage
($)
Antivirus deployment
point for new worms
Client protection
from this point
forward
Life Cycle of Worms
Initial
Spread
Rapid
Spread
Rapid
Reduction
Remains
Extermination
7
Ausencia de Seguridad dentro de la Organizacion
Ausencia de Seguridad dentro de la Organizacion
La propagacion interna de una infeccion no puede ser detenida mediante un IPS
• Hay un incremento del uso de VPN entresocios de negocios, wireless LAN, usuarios mobiles, y acceso a usuarios invitados a Redes LAN.
• La frontera entre amenazas internas y externas esta desapareciendo.
• Es necesario establecer nuevas fronteras para evitar el acceso a los recursos corporativos.
• Necesidad de medidas de seguridad mas robustas y confiables que la DMZ .
Mail Server
Desktop
Back bone Switch
Workgroup Switch
Internet
IPS
Workgroup Switch
Worm Infection
Firewall
Router
File Server
Web Server
Notebook
Importancia
De la Seguridad Interna
8
Falsos Positivos en trafico normal
Falsos Positivos en trafico normal
Internal Security Perimeter Security
Network
EnvironmentOver 1,000 systems to be secured Approximately 100 systems to be secured
Application
Environment
Over 1,000 applications
Over 100 protocols
Protocol independent
Approximately 10 applications
Approximately 10 protocols
Protocol dependent
Management
Environment
Classification by over 100 user roles and
member groups
Observation of even unknown traffic
(communication should not be interrupted)
Need to be controlled locally
Approximately 10 user groups when setting
policy
Able to block unknown traffic
Central control is possible
Minimizar los falsos positivos es mas importante en la seguridad interna
El trafico desconocido puede incrementar el numero de falsos positivos detectados en la Red Interna debido a la existencia de una gran variedad de aplicaciones y protocolos usados en esta.
9
TrusGuard Features and Advantages
10
Caracteristicas y VentajasCaracteristicas y Ventajas
SummarySummary
Las mejores contramedidas para gusanos de red/spyware de la Industria, reunidas en un Appliance.
Proteccion 24x7 contra gusanos y spyware
Actualizaciones en “tiempo real” del AhnLab Security Emergency Response Center (ASEC)
Bloqueo efectivo de Gusanos de Red
La mejor tecnologia de prevension y limpieza contra spyware (SpyZero)
Bloqueo efectivo de Spyware
Instalacion Plug & Play y facil configuracion Minimiza costos de operacion con su administracion
centralizadaFacil de usar
Garantiza el trafico de Red en caso de fallo del equipo (Fail Open)Disponibilidad
Politicasde deteccion basadas en identificacion de firmas digitales
Minimizacion de Falsos Positivos
11
ASEC (AhnLab Security Emergency Response Center)
Las medidas para conterrestar amenazas que ofrece AhnLab permite asegurar la continuidad de los procesos productivos.
LA perte del analisis esta realizada por 1 o 2 equipos de ingenieros especialistas
en vulnerabilkidades 24 hours x 365 days
El cliente tendra la confianza de contar con un equipo de especialistas investigando y trabajando continuamente para dar una respuesta inmediata
ASECASEC
VulnerabilityInformation
Network Monitoring
Discover/Analyze New Worms/Virus/
Spyware
Response Decision (Possible Malicious Code)
AbnormalitiesFound
Response Decision(Damage, Distribution)
Create Network Signature Distribute
Que es ASEC (AhnLab Security Emergency Response Center)?
TrusGuard Response Process
12
Worm BlockingWorm Blocking
Defensa Proactiva y Prevencion
Phase 1: Despliegue de Reglas de Defensa Proactiva -> Analisis de vulnerabilidades de OS para predecir las posibles formas de explotarlas por gusanos de
red y/o spyware
-> Defensa contra patrones de mutacion
(possible to defend against 20-30 mutated worms with 2-3 rules generated at Phase 1)
Phase 2: Despliegue de Outbreak Prevention Rule -> Prevencion de la propagacion temprana a traves de email filtering
-> Filtrado de los paquetes de entrada y salida con la posibilidad de realizarlo por IP/Port/Protocol
Phase 3: Despliegue de los patrones de deteccion por firmas digitales -> Despliegue de los patrones de deteccion y bloqueo de gusanos/spyware a traves de sus firmas
digitales despues de la recoleccion de ejemplos
Weakness Reported Worm AppearanceDeploy Vaccine
Phase 1: Proactive Defense
Phase 2: Early Prevention of Worm Outbreak
Phase 3: N/W Signature based Worm Blocking
13
Block SpywareBlock Spyware
Actualizacion de Politicas en tiempo real por el “Equipo Spyzero” usando la mejor tecnologia disponible
• Bloqueo de Sitios Web que contengan codigos maliciosos
• Identificarlos es una de las tareas mas prioritaria para el Equipo de desarrollo de Spyzero
Block spyware which exploits IE
weaknesses
Block URLs of major spyware sites
• Bloquear spyware que explote vulnerabilidades de IE autoinstalandose sin el
consentimiento del usuario
• Bloquear intentos de transmision de paquetes de instalacion de spyware que utilicen
vulnerabilidades de IE en estaciones de trabajo
Actual Spyware Block Screen Blocked Spyware Analyze Screen
14
Detecta y Bloquea Ataques a la RedDetecta y Bloquea Ataques a la Red
Protege a la Red Interna de “hackers” mediante sus caracteristicas de “network attack detection”
Aplica Politicas de AhnLab optimizadas para el bloqueo de intrusiones de red
DoS, DDoS, Network Scanning Attack WEB, CGI weaknessesProtocol Anomaly attacks . . .
AT
TA
CK
S
Block
15
Efectos de la implementacion de
Politicas de TrusGuard
16
Efectos de la ImplementacionEfectos de la Implementacion
SummarySummary
Bloqueo temprano de gusanos de red mejorando la estabilidad del backbone de la red
Bloqueo de las amenazas representadas por usuarios mobiles, etc.
Proteccion del Backbone de la Red
Deteccion de PC’s infectadas minimizando la perdida del ancho de banda disponible
Configuraciones de seguridad y control de los clientes mediante APC 3.0
Robustas Politicas de Seguridad en Estaciones
de Trabajo
Previene la perdida de informacion con su bloqueo temprano de Spyware
Previene la perdida de informacion
Minimiza los tiempos muertos en la red causados por infecciones
Protégé la red y sistemas de gusanos de red
Ofrece continuidad en la Operacion
Previene el daño producido por gusanos mediante la prevencion temprana
Prevencion de daños producidos por gusanos
de red
Minimiza falsos positivos mediante las politicas de deteccion y bloqueo por firmas digitales
Ofrece disponibilidad de Comunicacion Interna
17
Effect of 3-Phase Worm BlockingEffect of 3-Phase Worm Blocking
Time
Infection
Initial Spread Rapid Spread
Rapid
Reduction Remains
Extermin-
ation
General distribution point of vaccine engines
Outbreak
blocking policy
distribution point
System Stable
from this point
Vulnerability
reported
N/W signature
Blocking policy
distribution
point
Proactive
Blocking
policy
distribution
point
Worm
Created
System Stable
from this point
System Stable
from this pointSystem Stable
from this point
Reduce rapidamente la propagacion de gusanos de red mediante sus 3-
fases de politicas de bloqueo, antes e inmediantamente despues de la
identificacion del codigo
Phase 1Phase 2
Phase 3
Life Cycle of Worms
Distribution of
TrusGuard’s
3 Phase
Block Policy
18
Ventajas en la Red Interna al utilizar TrusGuard
Reforzando la Seguridad InternaReforzando la Seguridad Interna
IPS
Block
TrusGuard 3100
Block
Block
Internet
Block
Block
Alto indice de deteccion y bloqueo en tiempo real
de gusanos mediante la implementacion de politicas
Bloquea ataques producidos por hackers y/o
gusanos/ spyware que pudieran tener un origen interno
Control sobre las PCs infectadas que han violado las polioticas establecidas
Protégé las Redes que no han sido protegidas
internamente con un IPS
Minimiza interrupciones en la comunicacion con las politicas basadas en firmas
19
N/W Security ApplianceAhnLab TrusGuard 3100
Email Gateway SecurityAhnLab GateScanV3 Email
Groupware SecurityV3NetGroup for MS Exchange 2003V3NetGroup for Lotus Notes 5.0
Client SecurityV3Pro 2004AhnLab Security PackAhnLab SpyZero
File Server / Internet Server Security V3Net for Windows Server 6.0V3VirusWall FileScan
Security ManagementAhnLab Policy Center 3.0AhnLab Outbreak Management ServicesAhnLab TrusGuard Manager 1.0
Mobile Devices SecurityV3Mobile for PalmV3Mobile for WiPi
AhnLab SolutionAhnLab Solution
On-line Game SecurityHackShield
ASPmyV3myFirewallMyKeyDefenseVmonSpyZero
Internet IntranetGateway
Management