Soluciones de Seguridad, para un planeta más inteligente

Presentación del tema: "Soluciones de Seguridad, para un planeta más inteligente"— Transcripción de la presentación:

1 Soluciones de Seguridad, para un planeta más inteligente http://www
Soluciones de Seguridad, para un planeta más inteligente Juan Paulo Cabezas Arquitecto de Seguridad para Sudamérica

2 Nuevos Riesgos. Instrumentado Interconectado Inteligente
Soluciones de Seguridad , para un planeta más Inteligente ¿Hacia donde va la seguridad en un planeta más inteligente? Smart water management Smart energy grids Smart healthcare Smart food systems Intelligent oil field technologies Smart regions Smart weather Smart cities Smart traffic systems Smart retail Smart countries Smart supply chains Nuestro mundo esta cada vez más Instrumentado Nuestro mundo esta más Interconectado Nuestro mundo es cada vez más Inteligente 4 areas principales Amenaza Interna, de varias formas: comportamiento involuntario, falta de entendimiento de políticas, falta de educación, ingeniería social Necesidad de cumplir regulaciones Móviles Seguridad asociada a la innovación, Cloud/social networking/nuevos negocios This new magnitude of data and the new services using the data, raises privacy and safety concerns. Greater efficiency relies on better data, and often very sensitive data. Greater control relies on physical assets installed well outside of the data center or at consumer’s locations. This opens new avenues for criminals, new kinds of denial of service attacks. Nuevas posibilidades. Nuevas complejidades. Nuevos Riesgos. 2

3 Características de 25 “eventos”
Soluciones de Seguridad , para un planeta más Inteligente Características de 25 “eventos”

4 Características del nuevo escenario y cambio de paradigma
Soluciones de Seguridad , para un planeta más Inteligente Características del nuevo escenario y cambio de paradigma En el informe anual de X-Force del 2010 se indica: “.. En vez de enfocarse en un único punto de entrada, las nuevas amenazas tienen como objetivo múltiples recursos en la compañía. No sólo lo expuesto al público esta en riesgo, sino que, cada empleado y endpoint se ha convertido en un potencial punto de entrada”. El “adversario” externo es altamente entrenado e inteligente, por lo que se requiere una postura más activa ante el riesgo. Algunos mensajes de nos avisan el cambio: “Las agencias deben ser capaces de monitorear continuamente la información de seguridad a través de la organización, de una manera gestionable y procesable” Alan Paller, Director de investigación del instituto SANS, indicó ante el Congreso: “.. Las Agencias deben dejar de gastar dinero en reportes anticuados, en vez deben enfocar su gasto en el monitoreo continuo y reducción del riesgo”

5 Framework de Soluciones de Seguridad IBM
Soluciones de Seguridad , para un planeta más Inteligente Framework de Soluciones de Seguridad IBM GOBIERNO DE SEGURIDAD, GESTIÓN DE RIESGO Y CUMPLIMIENTO Asegurar gestión integral de actividades de seguridad y conformidad con todos los mandatos de seguridad GRC USUARIOS E IDENTIDADES GOBIERNO DE SEGURIDAD, GESTIÓN DE RIESGO Y CUMPLIMIENTO DATOS E INFORMACIÓN APLICACIONES Y PROCESOS REDES, SERVIDORES Y END POINT INFRAESTRUCTURA FÍSICA Servicios administrados Servicios profesionales Hardware y software PERSONAS E IDENTIDAD Mitigar los riesgos asociados con el acceso de usuarios a recursos corporativos DATOS E INFORMACIÓN Comprender, desplegar, y probar correctamente controles para el acceso y uso de datos sensitivos APLICACIONES Y PROCESOS Mantener a las aplicaciones seguras, protegidas de uso malicioso o fraudulento, y más robustas contra fallas There are 5 unique security focus areas in the Framework that we speak about and that we have organized our solutions around in addition to the overarching area of Governance, Risk Management and Compliance -- each with their own value proposition and financial payback: People and Identity Mitigate the risks associated with user access to corporate resources Data and Information Understand, deploy and properly test controls for access to and usage of sensitive business data Application and Process Keep applications secure, protected from malicious or fraudulent use, and hardened against failure Network, Server and End Point Optimize service availability by mitigating risks to network components Physical Infrastructure Provide actionable intelligence on the desired state of physical infrastructure security and make improvements Governance, Risk Management and Compliance Provides underlying model to manage your security program to achieve the risk management and compliance posture desired by your organization REDES, SERVIDORES Y END POINT Optimizar la disponibilidad de servicio al mitigar riesgos para componentes de red INFRASTRUCTURA FÍSICA Proporcionar inteligencia practicable en el estado deseado de seguridad de infraestructura física y realizar mejoras 5

6 IBM Security Solutions Portafolio
Soluciones de Seguridad , para un planeta más Inteligente IBM Security Solutions Portafolio TIVOLI TIVOLI TIVOLI TIVOLI TIVOLI TIVOLI TIVOLI TIVOLI TIVOLI (Note to presenter: The purpose of this slide is to highlight that IBM offers the breadth and depth – unlike any other vendor -- with our security portfolio. The intent is not to engage in a technical discussion at this point or try to cover all areas in detail (Note to presenter: If there is interest in a certain domain (i.e., people and identity, application and process, etc.), use the drill down slides that provide the next level of information on our offerings – including how we can help with our software, professional and managed services In presentation mode, you can click on the icons displayed on the top left hand side of the focus area boxes to quickly navigate to the appropriate drill down slide.) Keep in mind that customers often usually jump in at the wrong point so they may not have completely addressed all security risks. At times they buy something they don’t understand (aka shelfware)… they implement a security solution but forget the need to monitor it ongoing or to invest in training and awareness for a more security aware culture. What this means to you is that even if a customer already has a solution in place… it’s not the end of the story. They may still need services to optimize, or managed services to monitor – for example.) IBM has a unique position in the market as an end-to-end security provider – we can address virtually any dimension of a secure infrastructure – and provide the services and consulting to help customers develop a strategic approach to their security challenges. Across our portfolio, we provide many capabilities that help customers solve a wide range of security problems completely and in the process result in cutting costs, reducing complexity, and assuring compliance. The IBM Security Framework provides Customers with Implementation Choices Professional services IBM helps clients address expertise gaps through consulting services that leverage our industry and security expertise Managed services IBM helps clients address skills and staffing gaps through our managed security services, including SaaS and Cloud based services Hardware and software IBM helps clients address security challenges through direct licensing of hardware and software products TIVOLI TIVOLI TIVOLI TIVOLI TIVOLI 6

7 TOP 20 Controles Críticos de Seguridad, según Instituto SANS
Soluciones de Seguridad , para un planeta más Inteligente TOP 20 Controles Críticos de Seguridad, según Instituto SANS Inventario de Dispositivos autorizados y no autorizados: Tivoli Endpoint Mgr Inventario de Software autorizado y no autorizado: Tivoli Endpoint Mgr Asegurar la configuración de Hardware y Software para Laptops, estaciones de trabajo y servidores: Tivoli Endpoint Mgr y IBM Security Server Protection Asegurar la configuración de dispositivos de redes como Firewalls, Routers, y Switches: Tivoli Netcool Configuration Manager Defensa perimetral: IBM Security Network IPS Almacenamiento, Monitoreo y Análisis de registros de auditoría de seguridad: Tivoli Security Information & Event Mgr Seguridad de Software Aplicativo: IBM Security Network IPS + Rational Appscan Control del uso de Privilegios Administrativos: Tivoli Identity Mgr+Tivoli Access Mgr ESSO = Privileged Identity Manager

8 TOP 20 Controles Críticos de Seguridad, según Instituto SANS
Soluciones de Seguridad , para un planeta más Inteligente TOP 20 Controles Críticos de Seguridad, según Instituto SANS Controlar el acceso basado en lo que se necesita saber: IBM Security Server Protection y Tivoli Endpoint Mgr Revisión y Remediación continua de vulnerabilidades: Tivoli Endpoint Mgr y IBM Security Network IPS Control y Monitoreo de Cuentas: Tivoli Identity Mgr+Tivoli Security Information & Event Mgr Defensas de Malware: Tivoli Endpoint Mgr for Core Protection, IBM Security Network IPS y IBM Security Server Protection Limite y Control de Puertos, Protocolos y Servicios: Tivoli Endpoint Mgr, IBM Security Network IPS, IBM Security Virtual Server Protection, IBM Security Server Protection Control de Dispositivos Inalámbricos Prevención de Fuga de Información: IBM Security Network IPS, IBM Security Virtual Server Protection, IBM Security Server Protection

9 Protección de Amenazas en profundidad
Soluciones de Seguridad , para un planeta más Inteligente Protección de Amenazas en profundidad Prevención Detección de Eventos de Seguridad Detección de Anomalías Prevención Reconocimiento Infiltración Ataque Cubrirse Security Event Detection technology has matured and is widely deployed. We have see that it is not enough and that monitoring solutions on the endpoint are required. Anomaly detection on the endpoint is still maturing. Methods to detect suspicious, unauthorized changes and activity on the endpoints are required to identify (1) successful infiltration from the outside (2) insiders circumventing controls (3) privilege escalation (from internal or external threat agents) Solución de Aseguramiento de Seguridad Parchado, Control de Acceso, etc. Network IPS, Host IPS, AV, Net Flow Prevención de fuga de información, Listas Blancas de Aplicaciones 9

10 Tivoli Endpoint Manager
Soluciones de Seguridad , para un planeta más Inteligente Tivoli Endpoint Manager permite a los clientes consolidar sus operaciones de TI y funciones de seguridad en una sola vista Comentarios de clientes: “Se reemplazó el antivirus existente en 4300 estaciones de trabajo en 2 semanas, sin problemas” “Se pasó de un 60% al 95%+ de A/V actualizados a la última firma” “No se necesitó hardware adicional para su funcionamiento” Tivoli Endpoint Manager Patch Management for Lifecycle Management Security and Compliance Power Management Core Protection Transcript: At Pulse it's been talked about many times that the system management world and security world is coming together. I think we've seen that on the horizon, but I think we're now to the point we see it in reality as well, that secure is going to equal managed. It's not that we can put the products in place, but we've got to add them to our active operational management for them to work. A great case in point has been with our BigFix acquisition. We've now rebranded that as Tivoli Endpoint Management, that we have the capability now to identify all of the endpoints out there, do active automation and patching around those. And with that platform in place, we can drive significant functionality out across the board. We're in the midst of rolling BigFix out at IBM. The first thing that surprised us as we started running the app was how many endpoints IBM actually has. You know, we've got 400,000 employees. We found out we have over 800,000 endpoints now to manage. As we started bringing together the system management aspect of BigFix with our antivirus, typically our antivirus efficiency is at about 65%. When we started marrying the two together so that we had auto detection on the endpoints that we saw with automated patching in place, we got up into the high 90s. We also found that doing this automation allowed us to have much better ratings in our remote geographies where we don't have the training, we don't have the dedicated staff. It's been a tremendous saver for us with hard facts around it. Author's Original Notes: 10

11 Course Title (Change on Notes Master)
Soluciones de Seguridad , para un planeta más Inteligente Tivoli Endpoint Manager for S&C, Visualizando el estado de las vulnerabilidades Detección y Gestión de vulnerabilidades basadas en: OVAL Open Vulnerability and Assessment Language CVE Common Vulnerabilities and Exposures CVSS Common Vulnerability Scoring System Through a repository of vulnerability assessment policies, Tivoli Endpoint Manager can assess managed computers against Open Vulnerability and Assessment Language (OVAL) vulnerability definitions. OVAL is a collection of XML schema for representing system information, expressing specific machine states, and reporting the results of an assessment. © Copyright IBM Corp Course materials may not be reproduced in whole or in part without the prior written permission of IBM.

12 Soluciones de Seguridad , para un planeta más Inteligente
Tivoli Endpoint Manager for S&C, mejorando la gestión de antivirus de terceros Seguimiento Instalado Actualizado Corriendo Patrón al día Antivirus: McAfee Symantec Trend Micro Sophos CA eTrust Proventia Desktop Windows Defender Consolidation One Single Console Partner with Trend Micro

13 Soluciones de Seguridad , para un planeta más Inteligente
Tivoli Endpoint Manager for S&C, revisando continuamente el estado cumplimiento de configuraciones de seguridad SANS Top Vulnerabilities Defense Information Systems Agency, Security Technical Implementation Guide, para Unix y Windows Federal Desktop Core Configuration Win XP/Vista Win 2003 United States Government Configuration Baseline Windows 7 DISA STIG is a United States Department of Defense agency that provides information technology (IT) and communications support to the President, Vice President, Secretary of Defense, the military Services, and the Combatant Commands. Defense Information Systems Agency Security Technical Implementation Guide FDCC Federal Desktop Core Configuration is a list of security settings recommended by the National Institute of Standards and Technology for general- purpose microcomputers that are connected directly to the network of a United States government agency USGCB The purpose of the United States Government Configuration Baseline (USGCB) initiative is to create security configuration baselines for Information Technology products widely deployed across the federal agencies. The USGCB baseline evolved from the Federal Desktop Core Configuration mandate. The USGCB is a Federal government-wide initiative that provides guidance to agencies on what should be done to improve and maintain an effective configuration settings focusing primarily on security.

14 Tivoli Endpoint Manager for Core Protection
Soluciones de Seguridad , para un planeta más Inteligente Tivoli Endpoint Manager for Core Protection Basado en tecnología de Trend Micro Protección en tiempo real para virus, troyanos, spyware, rootkits Firewall personal Reputación de archivos y Web Consiente de ambientes virtualizados Consola única administrativa Bajo consumo de recursos 14 14

15 TEM for Core Protection, utiliza tecnología líder
Soluciones de Seguridad , para un planeta más Inteligente TEM for Core Protection, utiliza tecnología líder AVTest.org tested each of the five vendor technologies with 200 pieces of malware. Trend Micro was able to block 100% of the malware presented, while the nearest vendor, Sophos, was a distant second, blocking just 77%. McAfee and Symantec both scored in the low 60s. Products Tested Trend Micro OfficeScan v Symantec Endpoint Protection v McAfee VirusScan Enterprise v Microsoft Forefront Client Security v Sophos Endpoint Security and Control v9.5.3 Source: Real World Corporate Endpoint Test Report, January 2011 15 15

16 Funcionalidades Claves
Soluciones de Seguridad , para un planeta más Inteligente IBM Security Intrusion Prevention Systems Funcionalidades Claves Equilibrio entre seguridad y rendimiento de las aplicaciones críticas de negocio Enfocado a gestionar amenazas cambiantes en un ambiente con pocos recursos y baja especialización Reducir el costo y la complejidad de la infraestructura de seguridad Tres modos de funcionamiento: PASSIVE MONITORING INLINE SIMULATION INLINE PREVENTION Capacidades básicas Protección más allá de los IPS de red tradicionales: Protección de aplicaciones Web Protección de ataques a nivel cliente Funcionalidades de Data Loss Prevention (DLP) Control Aplicativo Tecnología de Virtual Patch 16

17 Nueva Línea GX7000, mejor relación precio/Mb
Soluciones de Seguridad , para un planeta más Inteligente Nueva Línea GX7000, mejor relación precio/Mb Capacidades GX7412 GX7800 Latencia <150µSec Conexiones/Seg 647,481 703,788 Conexiones abiertas 12,500,000 GX7412 GX7800 Modelos de IBM Security Network IPS Remoto Perimetro Core Modelo GX GX4004 GX5008 GX5108 GX5208 GX7412-5 GX GX7412 GX7800 Tráfico Inspeccionado 200 Mbps 800 Mbps 1.5 Gbps 2.5 Gbps 4 Gbps 5 Gbps 10 Gbps 15 Gbps 20 Gbps+ Segmentos protegidos 2 4 8 NEW NEW NEW

18 Soluciones de Seguridad , para un planeta más Inteligente
IBM Virtual Server Protection for VMware Protección de amenazas Integrales para VMware vSphere 4 Ofrece la más amplia, integrada y profunda protección para ambientes virtualizados con un solo producto Firewall Integración con VMsafe Detección de Rootkit Intrusion Detection & Prevention Análisis de tráfico entre VMs Gestión separada de VMs Aplicación de política de red Protección integrada con VMotion Auto descubrimiento de VMs Auditoría de Infraestructura Virtual (Monitoreo de usuarios privilegiados) Protección de segmentos virtuales Virtual Network-Level Protection Virtual NAC Gestión Centralizada Protección de Web Application Virtual Patch I am proud to announce our newest offering to make virtualization easier, IBM Virtual Server Security. Our product offering will begin shipping later this year quickly followed by professional services and managed services offered to both direct clients as well as service providers in 2010. We are launching an integrated solution in a virtual appliance form factor – it is integrated with the new VMsafe initiative within the new vSphere 4 release from VMware and gives us the ability to have a hypervisor level view into security. We are providing the same Intrusion Prevention System and protocol analysis engine we are using in the rest of our IPS products. We are in line between all of the VMs not only capturing information in between, all without requiring any changes to the virtual network itself. This offers true plug and play connection which is the automated protection expertise. The product also provides firewall technologies for critical network level access control specifically designed to prevent virtual server sprawl. In conjunction with X-Force research we detect VMsafe APIs (based on a blacklist approach) to get signatures or finger prints of known rootkits to alert users to any malware in the system without any presence in the guest operating system. Our virtual infrastructure auditing ties into regulatory compliance initiatives to make sure there is a holistic view of the infrastructure to report on privilege user activities. We can report on virtual network changes, new VMs created, suspended and moved from one layer to another. As we originally promised to the industry, we are the first to market to incorporate our intrusion prevention technology and X-Force capabilities into true virtual infrastructure protection – providing our clients the flexibility to use both physical network, host or virtual devices all centrally managed through SiteProtector. 18

19 ¿Qué es IBM X-Force? IBM X-Force® Database ¿Qué es lo que hace?
Soluciones de Seguridad , para un planeta más Inteligente ¿Qué es IBM X-Force? ¿Qué es lo que hace? Investiga y evalúa las vulnerabilidades y problemas de seguridad Desarrolla la evaluación y la tecnología de contramedidas para las ofertas de seguridad de IBM Educa al público sobre las nuevas amenazas de Internet ¿En qué se diferencia? Uno de los equipos comerciales de investigación en seguridad más reconocidos en el mundo La tecnología desarrollada por X-Force en promedio protege 341 días antes que existan las amenazas. IBM Xforce Database se actualiza diariamente por un grupo dedicado de investigación que revisa sobre: 7,600 Proveedores 17,000 Productos 40,000 Versiones IBM X-Force Database mantiene la más amplia información de vulnerabilidades del mundo, más de , conteniendo información desde 1990 IBM X-Force® Database X-Force Research and Development is one of the best-known commercial security research groups in the world Researches and evaluates vulnerabilities and security issues Develops assessment and countermeasure technology for IBM security offerings Educates the public about emerging Internet threats The IBM X-Force research and development team provides the foundation for a preemptive approach to Internet security. The X-Force team is one of the best-known commercial security research groups in the world. This group of security experts researches and evaluates vulnerabilities and security issues, develops assessment and countermeasure technology for IBM products and educates the public about emerging Internet threats. IBM X-Force produces reports on threats affecting Internet security throughout the year. The Trend and Risk Report is produced twice per year - at mid-year and year-end - to provide statistical information about all aspects of threats that affect Internet security. The Threat Insight Report is produced at quarterly intervals throughout the year, and highlights some of the most significant threats and challenges facing security professionals today. The IBM X-Force database is the world's most comprehensive threats and vulnerabilities database. It is the result of thousands of hours of research by the X-Force team, and much of the data is used to power the preemptive protection delivered by IBM products. IBM X-Force delivers the latest information on Internet threats and vulnerabilities through notifications, such as Protection Advisories and Alerts. Along with information about the threat, these notifications provide customers with information about how IBM products and services can protect against the threat. 19

20 Como investiga IBM X-Force
Soluciones de Seguridad , para un planeta más Inteligente Como investiga IBM X-Force MSS Telemetry Data IBM automatiza la alimentación de más de millones de eventos a PAM por día, para asegurar que los falsos positivos sean lo más cercano a 0, como sea posible 4,000 Clientes de GTS con más de 20,000 sensores IPS Sitios y clientes de pruebas para nuevos códigos e ideas Ninguno de nuestros competidores maneja esta cantidad de información La precisión de la seguridad provista por PAM es evaluada cada hora, si se encuentran inconvenientes estos son identificados y corregidos. Darknet y Honeynets X-Force opera una red clase B para recibir ataques y detectar tráfico anómalo en Internet. X-Force mantiene investigación en la red de manera continua Al día de hoy 260 protocolos decodificados, se adicionan un promedio de 3 x mes durante el último año .

21 ¿Cuál es el valor de X-Force para mi?
Soluciones de Seguridad , para un planeta más Inteligente ¿Cuál es el valor de X-Force para mi? El motor de los IBM IPS ha detenido los ataques a gran escala de zero-day SQL injection o Cross Site Scripting (XSS) De las 48 Vulnerabilidades más importantes del 2010: 35% se encontraban protegidas con más de un año de anticipación 54% el mismo día que se dieron a conocer Sólo 11% dentro de los 15 días que se dieron a conocer En resumen estuve protegido de un 89% dentro de las primeras 24 horas 14 Vulnerabilidades y exploit reportados en 2011, se encontraban protegidos desde el 2007 21

22 ¿Por que IBM ? Opinión de los analistas
Soluciones de Seguridad , para un planeta más Inteligente ¿Por que IBM ? Opinión de los analistas Liderazgo en Gartner Magic Quadrant User Provisioning (Nov 2010) Web Access Management (November 2008) Static Application Security Testing (Dic 2010) Enterprise Governance, Risk and Compliance Platforms (Oct 2010) Security Information and Event Management (May 2009) Gartner en Marketscope Enterprise Single Sign-On - Strong Positive (Sept 2010) Web Access Management - Positive (Nov 2010) Network Intrusion Prevention System Appliances Magic Quadrant IDC Market Share Leadership #1 Identity & Access Management (2009) #1 Identity Management Provider (2007) #1 Security & Vulnerability Management Software Worldwide (2007) #1 Vulnerability Assessment Software Worldwide (2007) #1 Application Vulnerability Assessment Software Worldwide (2007) Liderazgo en Forrester Wave Database Auditing and Real-Time Protection (May 2011) Managed Security Services Wave (Ago 2010) Information Security And Risk Consulting Services (Ago 2010) SC Magazine Identity Access & Assurance, Best Identity Management Application 2011 IBM, Best Security Company, 2010 ENTERPRISE MANAGEMENT ASSOCIATES Leadership in Intrusion Prevention (Ene 2010)

23 Soluciones de Seguridad , para un planeta más Inteligente
¿ Consultas ? 23

24 Por Un Mundo Más Inteligente La Gente Lo Quiere Nosotros Lo Hacemos

25 Nueva Vulnerabilidad o Exploit
Anexos Zero-day SQL injection o Cross Site ScriXSS. Asprox – reportado 12/11/ – bloqueado 6/7/2007 Lizamoon – reportado 3/29/ – bloqueado 6/7/2007 SONY (publicado) – reportado May/Jun/ – bloqueado 6/7/2007 Apple Dev Network – reportado Jul/ – bloqueado 6/7/2007 Nueva Vulnerabilidad o Exploit Fecha Reportada Protegido desde Nagios expand cross-site scripting 5/1/2011 6/7/2007  Easy Media Script go parameter XSS 5/26/2011 6/7/2007 N-13 News XSS 5/25/2011 I GiveTest SQL Injection 6/21/2011 RG Board SDQL Injection Published: 6/28/2011 BlogiT PHP Injection IdevSpot SQL Injection (iSupport) 5/23/2011 2Point Solutions SQL Injection 6/24/2011 PHPFusion SQL Injection 1/17/2011 ToursManager PhP Script Blind SQli 7/2011 Oracle Database SQL Injection LuxCal Web Calendar Apple Web Developer Website SQL MySQLDriverCS Cross-Param SQLi 6/27/2011