Segurana em Servidores Corporativos

Marcos Rizo

Desafios de Segurana

Confidential | Copyright 2012 Trend Micro Inc.

Verizon 2009 Investigao Violao de Dados

99.9% dos casos registrados partiram de brechas em servidores e aplicaes

2009 Data Breach Investigations Report conducted by Verizon Business RISK Team
12/6/2012

Verizon 2009 Investigao Violao de Dados

22% das brechas exploradas so atravs de
vulnerabilidades.

90%

das vulnerabilidades exploradas conhecidas por esses ataques, o patch j estava disponvel por pelo menos 6 meses antes da ameaa explor-lo.
Relatrio de investigao de vazamento de dados
Estudo realizado com mais de 500 investigadores forenses pela Verizon Business Investigative Response team durante o perodo de quatro anos.

Dados do ambiente de ameas

1.5 milhes de pginas Web foram afetadas por ataque em massa via SQL injection (2008) 34% das brechas de vazamento de dados exploraram brechas de aplicaes web (2008) Em 2009, 69% das Vmwares de produo sero menos seguras do que suas contrapartes fsicas (2008) 94% dos exploits pblicos que afetaram Web browsers e relacionados foram lanadas no mesmo dia de suas publicaes (estatsticas de 2008)

Casos de Falhas de Segurana

Maio2008: Brecha de segurana custou $12.6 milhes at ento, incluindo custos legais e multas da MasterCard e Visa. Mais >>

Dez-2008: ataque DNS hijacking colocou em risco 5.000.000 contas. Mais >>

Dez-2008: roubo de 1,5 M de informaes pessoais de usurios & 1.1M de nmeros de seguro social. Mais >>

Maro-2009 (Federal Aviation Administration): Hackers seqestraram informaes pessoais de 45.000 empregados & retirantes. Mais >>

Agosto-2007: Hackers injetaram software na rede da companhia, e roubaram 45 M de nmeros de cartes de crditos. Custos em torno de $256 M. Mais >>

Maio-2009: Hackers quebraram em duas bases 2 bases de dados em um perodo de 6 meses, e expuseram os dados de mais de 160.000 estudantes. Mais >>

Cenrio de ameaas

RSA suffers Data Security Breach

May 22 2011

Massive Breach at Epsilon Compromises Customer Lists

April 02 2011

Google Hack Attack Was Ultra Sophisticated, New Details Show

Jan 14 2010

Sophisticated Cyberattack is Reported by the I.M.F.

June 11 2011

Citigroup Inc breach may have compromised hundreds of thousands of bank card customers' data

June 08 2011

Five-year hacking scheme targeted U.S. govt as well as defense firms and private industries August 4 2011

A estrategia de segurana OUTSIDE-IN j no suficiente

Virtualization Infrastructure Changes (de-perimeterization) Mobility (Workloads and Data) Advanced Persistent Threats

Mquinas Virtuais precisam de proteo Especilizada As mesmas ameaas em servidores virtuais, como em fsicos
Novos Desafios:
1. 2. 3. 4. 5. VMs Dormentes Disputa de Recursos Acumulo de VMs Trfego entre VMs vMotion

Problem 1:

Dormant VMs are unprotected

Dormant VMs
AV App App AV App App

Active VMs
AV App App AV App App AV App App

OS

OS

OS

OS

OS

ESX Server
Dormant VMs includes VM templates and backups:

Cannot run scan agents yet still can get infected

Stale AV signatures
10

Problem 2:

Full System Scans

3:00am Scan
AV
App

OS

Typical AV Console

ESX Server
Resource Contention with Full System Scans Existing AV solutions are not VM aware Simultaneous full AV scans on same host causes severe performance degradation No isolation between malware and antimalware 11

Problem 4:

Inter-VM Traffic
Dormant
AV
App

Active
AV
App

AV

App

AV

App

OS

OS

OS

OS

Network IDS / IPS

vSwitch

vSwitch

Inter-VM traffic NIDS / NIPS blind to intra-VM traffic First-generation security VMs require intrusive vSwitch changes

12

Problem 5:

VM Mobility
Dormant
AV
App

Active
AV
App

AV

App

OS

OS

OS

Network IDS / IPS

vSwitch

vSwitch

vMotion & vCloud: Reconfiguration required: cumbersome VMs of different sensitivities on same server VMs in public clouds (IaaS) are unprotected

13

A Soluo Deep Security

Confidential | Copyright 2012 Trend Micro Inc.

14

O que o Deep Security?

Proteo para Servidores & Aplicaes em ambiente:
FSICO VIRTUAL NUVEM

Deep Packet Inspection IDS / IPS Web App. Application Protection Control Firewall Integrity Monitoring Log Inspection Malware Protection

16

Deep Security - Modulos

Integrity Monitoring Deep Packet Inspection
Habilita IDS / IPS, Web App Protection e Application Control

Examina trfego incoming e outgoing para: Desvio de Protocolos Contedo que indique ataque Violaes de Polticas.

Monitora arquivos crticos, arquivos de sistemas e registros de mudanas Arquivos crticos de Sist. Operacionais e de aplicaes (arquivos, diretrios, chaves de registros, e valores de registros) Monitoramento prtico, flexvel, atravs de incluses e excluses Relatrios auditveis

Firewall
Centralized management of server firewall policy Pre-defined templates for common enterprise server types Fine-grained filtering: IP & MAC addresses, Ports Coverage of all IP-based protocols: TCP, UDP, ICMP, IGMP

Log Inspectiong
Coleta e Anlise de logs de sistemas operacionais e logs de aplicaes em busca de eventos de segurana. Regras otimizam a identificao de eventos de segurana importantes espalhados em mltiplas entradas de log.

12/6/2012 Internal Training

17

Gesto de risco
Vulnerabilidades
No existe o patch ou no consigo aplic-lo

Esperando aplicao do patch

Risco

Deep Security Virtual Patching

Tempo

Physical

Virtual

Private Cloud / Public Cloud

18

Boletim de 14 de Maio de 2012

Alertas Importantes da Oracle e Microsoft

Nos ltimos dias, a Oracle emitiu um alerta de segurana relacionado a uma vulnerabilidade no "TNS listener" em diversas verses do Oracle Database Server, Oracle Fusion Middleware, E-Business Suite e Enterprise Manager. J existem exploits de prova de conceito para esta vulnerabilidade, mas a Oracle no tem previso de lanar um patch no futuro prximo. J a Microsoft, em seu alerta Patch Tuesday de maio, anunciou o boletim crtico MS12-034, que trata de vulnerabilidades encontradas no Windows, MS Office, Silverlight e .NET Framework. Esta vulnerabilidade a mesma explorada pelo malware Duqu no ltimo ano. Porm, devido quantidade de sistemas e aplicaes afetadas, pode ser difcil aplicar os patches necessrios. Proteo para solues Trend Micro
Os clientes que utilizam o Trend Micro Deep Security e o plugin Intrusion Defense Firewall para OfficeScan j esto automaticamente protegidos contra ataques de dia-zero que exploram essas vulnerabilidades.
12/6/2012 Confidential | Copyright 2012 Trend Micro Inc.

19

Proteo em Tempo Real

New Alert Raised: DPI Rule (1000552 - Generic Cross Site Scripting(XSS) Prevention) alert on 1 Computer(s)

12/6/2012

Confidential | Copyright 2012 Trend Micro Inc.

20

IDC Recomenda Virtual Patch

12/6/2012

Confidential | Copyright 2012 Trend Micro Inc.

21

Security Center: Time dedicado de experts em segurana

Time dedicado de experts em segurana

Rastreamento de Vulnerabilidades Globais

100+ fontes de informao(public, private, govt): SANS, CERT, Bugtraq, VulnWatch, PacketStorm, e Securiteam Membro do programa Microsoft Active Protections

Respostas para novas vulnerabilidades e ameaas

Avisos & Atualizaes de segurana

6 passos: Rpidos, Resposta, Processo, Suportado

por Ferramentas Automticas

12/6/2012 Internal Training

22

Componentes do Produto Deep Security

Deep Security Agent

Security Profiles

Deep Security Virtual Appliance

Alerts

Integrao com Infraestrutura: vCenter SIEM Active Directory Log correlation Web services

Deep Security Manager

Security Center
Reports Security Updates

23

Deep Security Virtual Appliance

Deep Security Agent

Security Profiles

Deep Security Virtual Appliance

Alerts

Integrao com Infraestrutura: vCenter SIEM Active Directory Log correlation Web services

Deep Security Manager

Security Center
Reports Security Updates

24

Deep Security Virtual Appliance

Deep Security Virtual Appliance

Introduzindo a plataforma VMsafe

Novos Desafios:
VMs dormentes Conteno de Recursos

Disceminao de VMs
Trfego entre VMs vMotion

26

Abordagem Coordenada

Deep Security Virtual Appliance*

VMware vCenter

VMware vSphere 4

27

Segurana tradicional com agentes

CRM

CRM

IPS AV

CRM OS

IPS AV

APP OS

IPS AV

CRM OS

IPS AV

MAIL

OS

hypervisor

MAIL

APP

Segurana integrada sem agentes

CRM OS

APP OS

+
OS

CRM

+
OS

MAIL

OS OS

OS

hypervisor

Deep Security Virtual Appliance

Estratgia tradicional de segurana com agentes em cada VM

CRM

CRM

IPS AV

IPS AV

IPS AV

IPS AV

OS

OS

OS

OS

hypervisor

Nova estratgia integrada camada de virtualizao

CRM OS

APP OS

CRM OS

MAIL

+
OS

+
OS

+
OS

OS

vSphere

MAIL

APP

internet

Proteo hbrida
demilitarized zone
ERP APP OS OS

FTP OS

MAIL OS

WEB OS

vSphere

Firewall

mission critical servers

APP 1 ERP PCI
OS OS

Deep Security Manager

ERP OS

FILE OS

CRM OS

perimeter

IPS / IDS

vSphere

Email / Web

endpoints

public cloud

roaming

vSphere

Deep Security Manager - Visibilidade

32


Trend Micro 22.9%

Vulnerability Assessment IDS/IPS with Virtual Patching

Self Defending Host

Web Application Protection

File Integrity Monitoring

STOP

Application Control Log Inspection

Outros 77.1%
Source: Worldwide Endpoint Security 2010-2014 Forecast and 2009 Vendor Shares, IDC

Trend Micro 13%

Anti-Malware

Outros 87%
Source: 2011 Technavio Global Virtualization Security Management Solutions

Compliance

Encryption Firewall

Trend Micro #1 Again in Worldwide Server Security Market Share

34

35

Certificaes

Common Criteria Evaluation Assurance Level 4 Augmented (EAL 4)

Achieved certification across more platforms (Windows, Solaris, Linux) than any other host-based intrusion prevention product. Higher certification than any other HIPS vendor Validated against US National Security Agency defined profile for IDS

NSS Labs
Third Brigade Deep Security is the first product to pass NSS Labs PCI Suitability testing for Host Intrusion Prevention Systems (HIPS). Across Windows, Solaris and Linux

36

Benefcios chave do Deep Security

Bloqueia vulnerabilidades em Aplicaes Web, aplicaes corporativas e sistemas operacionais. Detecta e bloqueia atividades suspeitas.
Deep Packet Inspection
IDS / IPS Web App. Application Protection Control Firewall Integrity Monitoring Log Inspection

Polticas internas PCI & outros requerimentos. Relatrios detalhados de preveno de ataques e status de compliance.

Malware Protection

Prioriza os esforos de reviso de cdigos (segurana em programao). Gerenciamento no agendado de corretivos (patching).

Proporciona a segurana necessria a ambientes virtuais gerando economia Aumenta o valor dos investimentos em SIEM (Security Incident and Event Manager )
37

Por que Implementar ?

Conformidade (Compliance)
Motivador imediado Conformidade interna, poltica de segurana Conformidades externas como CI, FISMA, NERC, FDIC, SAS 70 Relatrios Detalhados, suporte em auditorias

Segurana em Virtualizao
Razo para revisar prticas de segurana Prov a segurana necessria para chegar a virtualizao plena Habilita a mobilidade e a evoluo para computao em nuvem

Defesa em Profundidade / Continuidade de Negcios

Boas prticas Previne vazamento de informaes e interrupo de negcios Proteo contra ataques do dia Zero e virtual patching Deteco de atividades suspeitas

The Blue Pill

39

The Blue Pill Concept - Hyper-Jacking + undetected

Rootkit

Explora a extenso SVM para mover o sistema operacional dentro da Mquina Virtual Prove um pequeno hypervisor para controlar o Sistema Operacional Hypervisor responsvel por controlar eventos "interessantes dentro SO Instalao on-the-fly sem modificao na BIOS, sistemas de arquivos ou setor de boot
Joanna Rutkowska Invisible Things Lab

Fonte: http://bluepillproject.org/ http://invisiblethingslab.com

40

Reduo de custo - ROI

Servidores Virtualizao Numero de servers a Virualizar Servidores VMs por ESX Host ESX Server Necessarios para Suportar VMs 10 20 Av Convencional Com TrendMicro DeepSecurity 200 13,5 14,81481481 CAPEX/OPEX (TCO VmWare) 2 CPU 4 Core ESX por VDI 4 CPU 4 Core ESX por VDI 2 CPU 4 Core ESX por servidor 4 CPU 4 Core ESX por servidor

Econommia - CAPEX (US$ )

Economia - OPEX (3 anos ) (US$) Custo do DS AV (US$) Economia Total (US$)

92.400,00 26.444,44 27.000,00 91.844,44

Custo US$ CAPEX = $13635 / OPEX = $1114/ano CAPEX = $31725 / OPEX = $2228/ano CAPEX = $5805 / OPEX = $1317/ano CAPEX = $17820 / OPEX = $1700/ano

Soluo de Seguranca Valor unitario US$ DS AV Server DS AV VDI VMware VSE (Faixa 500) / server/VDI 135,00 32,00 47,00

41

Obrigado!!