– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t s e g u r i d a d e n t e c n o l o g í a s d e i n f o r m a c i ó n... s u s o c i o e n s e g u r i d a d T I

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t Nortrend, S.A. de C.V. Su Socio en Seguridad TI Carlos Javier Gámiz Urzúa Director General

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t ¿Qué tan Vulnerable es nuestra Información? Riesgos, Amenazas y Alternativas Agosto – 2003

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t Riesgos: o Falta de Políticas y Procedimientos o Usuarios con iniciativa o Tecnología desactualizada y/o mal configurada o Fallas en la Selección de Proveedores Amenazas: o Virus, Troyanos, Gusanos, Caballos de Troya,... o SPAM o Ataques dirigidos Alternativas o Antivirus – Antispam o Firewall – IDP o Servicios Profesionales a g e n d a

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t r i e s g o s

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t r i e s g o s o Falta de Políticas y Procedimientos Saber QUE, QUIEN y COMO DOCUMENTADO y con Revisiones / Actualizaciones periódicas acordes a los cambios que existen dentro de la institución COMUNICARLO Cumplir y Hacer cumplir o Usuarios con iniciativa Frases célebres: Reiniciemos el equipo, para ver si funciona, Así estaba...!, Yo no fui...., etc., etc., etc.,... Administradores natos

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t r i e s g o s t e c n o l o g í a d e s a c t u a l i z a d a y / o m a l c o n f i g u r a d a Ejemplo: Un Antivirus debe estar Bien Instalado.- Principio fundamental 2.Bien Configurado.- ¡Que haga lo que queremos que haga! 3.Actualizado.- Para detectar los virus nuevos 4.En Memoria.- ¡Prevención!

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t r i e s g o s f a l l a s e n l a s e l e c c i ó n d e p r o v e e d o r e s 1.¿Cuenta con Experiencia comprobable? 2.¿Está respaldado por los fabricantes que representa? 3.¿A qué más se dedica mi proveedor? 4.¿Qué opinan sus clientes del servicio que les proporciona? 5.¿Cuáles son sus Niveles de Escalación y Solución de problemas? 6.¿Con qué herramientas de medición de la Calidad del Servicio cuenta mi proveedor? Como clientes, habría que preguntarnos…

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a m e n a z a s

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a m e n a z a s v i r u s, t r o y a n o s, g u s a n o s, c a b a l l o s d e t r o y a,... Las amenazas migraron a los servidores e Internet IDC, 2002 Web/ Code Red Nimda Goner Bubbleboy Melissa Love Letter 1981 Contacto físico: Disquettes Apple 1,2,3 Brain Good Times Vías de propagación: antes y ahora

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a m e n a z a s v i r u s, t r o y a n o s, g u s a n o s, c a b a l l o s d e t r o y a,... Velocidad de propagación 250k equipos en menos de 10hrs!!

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a m e n a z a s v i r u s, t r o y a n o s, g u s a n o s, c a b a l l o s d e t r o y a,... Nimda llega vía . Contiene un gusano y su propio motor SMTP Crea una entrada en archivo.ini. Corre cada vez que el equipo es reiniciado. Buesca unidades de red donde el usuario tenga acceso. Deposita el gusano. Desde la PC, forza el IIS a descargar archivos infectados vía TFTP Se oculta como servicio en equipos con Win 9x Utilizan Ataques combinados

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a m e n a z a s v i r u s, t r o y a n o s, g u s a n o s, c a b a l l o s d e t r o y a,... Ataques combinados = Hacker + Virus + SPAM trojan worm spam virus Ataca como hacker! Infecta como virus! Se distribuye como spam!

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a m e n a z a s s p a m UPS!! CENSURADO!!!! ¿ Qué es el SPAM ?

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a m e n a z a s s p a m Indice de Correo Basura 2002 * EneFebMarAbrMayJunJulAgoSept 20% 25% 30% 35% 40% * Fuente: 7 mil millones de mensajes de clientes actuales procesados por Postini La tasa de crecimiento de correo basura en las corporaciones se aproxima al 50% y continúa creciendo Fuente: Gartner Group, Diciembre de 2002: Waves of Information Disruption Due in 2003 Spam Pornográfico causa conflictos laborales en el lugar de trabajo El volumen del Spam crece Esto provoca aumentos en los costos del servidor y el almacenamiento –En 2002, el costo total del Spam para las organizaciones corporativas en EU, fue de 8.9 mil millones de dólares Fuente: Ferris Research: Spam Control: Problems and Opportunities January 2003 Un problema en a u me n t o

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a m e n a z a s s p a m ¿ De dónde viene el SPAM ? Fuente:

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a m e n a z a s a t a q u e s d i r i g i d o s o Usuarios descontentos Enemigo en casa; conocen muy bien a su empresa; puede afectar la imagen Institucional; normalmente son silenciosos o Competencia o Espionaje Industrial; Blancos atractivos: Institucione$ Financiera$, Universidades, empresas de Seguridad, marcas líderes en su mercado, etc. o Ingeniería Social: Un numeroso grupo de internautas recibieron un correo electrónico que les confirmaba la compra en Internet de una mercancía, cargada en su cuenta corriente, que recibirían en un breve plazo de tiempo. Además de dar las gracias al supuesto cliente, la misiva indicaba que si tenía alguna duda llamaran al teléfono que aparecía al final del mensaje, donde también se atendería cualquier queja o reclamación. El número en cuestión era una especie de , aunque con llamada internacional, donde respondía una grabación que solicitaba unos momentos de espera a la víctima. No había ninguna empresa al otro lado de la línea, ni compra efectuada en Internet, ni mercancía alguna que recibir. La carta era más falsa que el beso de Judas. Su objetivo: asustar al inocente para que llamara al teléfono del timador, que cobraría por cada segundo que las víctimas pasaran con el auricular pegado a la oreja. El miedo y la codicia son patrimonio de la humanidad y los delincuentes sólo tienen que adaptar sus antiguas fórmulas al nuevo medio.

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a l t e r n a t i v a s

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t Antivirus – Antispam o Trend Micro – Firewall – IDP o NetScreen – Servicios Profesionales a l t e r n a t i v a s

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t La propuesta de Trend Micro: Enterprise Protection Strategy (EPS) + Spam Prevention Services (SPS) a l t e r n a t i v a s a n t i v i r u s – a n t i s p a m

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a l t e r n a t i v a s a n t i v i r u s – a n t i s p a m : e s q u e m a t r a d i c i o n a l Patrón liberado Patrón Implementado Esfuerzo y Costo durante una epidemia Limpieza

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t Servicio Outbreak Management Reportes y análisis en tiempo real Información proactiva sobre nuevas amenazas Rastreo específico: basado en amenazas Limpieza y análisis de daño (Fix Tools) Evaluación de vulnerabilidades y auditoria EPS: Administración del ciclo completo de un virus Prevención del ataque $$ Listas de virus $$ Rastreo y acción $$ Verificación y limpieza $$$$ Restauración y análisis $ Información de la amenaza $ Notificación y verificación $ Aproximadamente 80% de los costos de un incidente de virus son para tareas de limpieza. -- Computer Economics, 2001 a l t e r n a t i v a s a n t i v i r u s – a n t i s p a m Esquema tradicional

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a l t e r n a t i v a s a n t i v i r u s – a n t i s p a m : c e n t r a l i z a c i ó n

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a l t e r n a t i v a s a n t i v i r u s – a n t i s p a m : e l v a l o r d e e p s Política liberada Política implementada Patrón liberado Patrón Implementado Ahorros que EPS representa Limpieza

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t TCP PORT 135 Closed TCP PORT 135 Closed TCP PORT 135 Closed INFECTED SYSTEM ATTEMPTS TO INFECT OTHER CLIENTS A. Worm uses infected computer to search for other computers without the Microsoft patch B. Worm forces un-patched computer to receive a program. Then it takes control of the computer. The worm, MSBlaster begins spreading when the computer is restarted. In Windows XP, worm reboots the computer to begin spreading immediately. TCP PORT 135 OPEN a l t e r n a t i v a s C. MSBlaster continues spreading and all infected computers begin sending repetitive messages to creating a cyber traffic jam that could crash the site. a n t i v i r u s – a n t i s p a m : a t a q u e d e w o r m _ m s b l a s t. a

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a l t e r n a t i v a s a n t i v i r u s – a n t i s p a m : a t a q u e d e w o r m _ m s b l a s t. a Dinámica: WORM_MSBLAST.A Busca PCs sin el parche de MS: se propaga por el puerto TCP 135 Escribe en disco duro el archivo msblast.exe Ataca por el puerto TCP 4444 Descarga de Internet el archivo rpc.exe

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t Control Manager – Outbreak Commander a l t e r n a t i v a s a n t i v i r u s – a n t i s p a m : a t a q u e d e w o r m _ m s b l a s t. a

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a l t e r n a t i v a s a n t i v i r u s – a n t i s p a m : a t a q u e d e w o r m _ m s b l a s t. a Implementación de Política PREVENTIVA WORM_MSBLAST.A Escribe en disco duro el archivo msblast.exe Ataca por el puerto TCP 4444 Descarga de Internet el archivo rpc.exe

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a l t e r n a t i v a s a n t i v i r u s – a n t i s p a m : a t a q u e d e w o r m _ m s b l a s t. a WORM_MSBLAST.A Escribe en disco duro el archivo msblast.exe Ataca por el puerto TCP 4444 Descarga de Internet el archivo rpc.exe Implementación de Política PREVENTIVA

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a l t e r n a t i v a s a n t i v i r u s – a n t i s p a m : a t a q u e d e w o r m _ m s b l a s t. a WORM_MSBLAST.A Escribe en disco duro el archivo msblast.exe Ataca por el puerto TCP 4444 Descarga de Internet el archivo rpc.exe Implementación de Política PREVENTIVA

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a l t e r n a t i v a s a n t i v i r u s – a n t i s p a m : a t a q u e d e w o r m _ m s b l a s t. a WORM_MSBLAST.A Escribe en disco duro el archivo msblast.exe Ataca por el puerto TCP 4444 Descarga de Internet el archivo rpc.exe Implementación de Política PREVENTIVA

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a l t e r n a t i v a s a n t i v i r u s – a n t i s p a m : spam prevention services La mejor Solución: Es una combinación de tecnologías Heurística.- Ciencia de calcular la probabilidad de que un mensaje particular sea spam basado en la ocurrencia colectiva de un sistema de características. Base de Datos.- Se actualiza automáticamente y detiene el SPAM mundialmente conocido Reglas personalizadas.- Para crear reglas muy específicas Proteccion del puerto 25.- Evita ataques dirigidos al servidor de correo

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a l t e r n a t i v a s a n t i v i r u s – a n t i s p a m : spam prevention services Único con detección heurística Alta tasa de captura: Detiene de 90% a 95% del spam en inglés, español y portugués Tasa de errores muy baja: 1/80,000 para spam en inglés Respuesta rápida ante las nuevas técnicas de ataque de los spammers Tecnología estable y madura: 4 años funcionando; procesando más de 50 millones de correos diarios No requiere equipos robustos ni costosos Costos de operación más bajos que los servidores de correo electrónico y soluciones de desktop ¿Porqué SPS es único?

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t La propuesta de NetScreen: ASIC based Firewalls + Intrusion Detection & Prevention a l t e r n a t i v a s f i r e w a l l – i d p

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a l t e r n a t i v a s f i r e w a l l – i d p Equipos basados en ASIC: application-specific integrated circuit Desempeño a la velocidad del alambre Administración gráfica vía WEB y por línea de comandos Firewall, Administración de Ancho de Banda, Detección/Prevención de Intrusos y VPNs en un solo appliance y en TODOS los modelos Detección y Prevención de Intrusos: Único en el mercado; es capaz de detectar y prevenir los ataques eliminando los falsos positivos

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a l t e r n a t i v a s f i r e w a l l – i d p Ausencia de líderes??? Leading vendors will offer the ability to assemble and inspect packet payloads at wire speeds. Gartner believes that firewalls must provide a wider range of intrusion prevention capabilities, or face extinction. In 2003, the "SQL Slammer" worm proved that firewalls were still not providing useful protection at the application level. NetScreen was the first major firewall vendor to recognize the importance of deep packet inspection. Gartner Group Magic Quadrant for Enterprise Firewalls, 1H03

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t Nuestra propuesta: Foco de Negocios + Proactividad + Six a l t e r n a t i v a s s e r v i c i o s p r o f e s i o n a l e s

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t a l t e r n a t i v a s s e r v i c i o s p r o f e s i o n a l e s Especializada en Seguridad TI: Antivirus, Firewall y Detección de Intrusos Apoyo directo de los fabricantes: Trend Micro y NetScreen Alianzas Estratégicas: ITgestiona, R2Bi Metodologías de Calidad en el Servicio: Six La metodología Seis Sigma es una filosofía y un método orientado a la reducción de defectos en productos y servicios. Siguiendo una metodología se garantiza el cumplimiento de objetivos, permitiéndonos medir fácilmente el antes y después entrando así en un ciclo de mejora continua. Técnicos Certificados Somos una empresa de resultados: crecimiento continuo gracias a la fidelidad de nuestros clientes Atendemos 50 de las empresas más grandes de la región ¿Porqué Nortrend?

– Q3 03 – - u s o e x t e r n o - S u S o c i o e n S e g u r i d a d T I w w w. n o r t r e n d. n e t s e g u r i d a d e n t e c n o l o g í a s d e i n f o r m a c i ó n... s u s o c i o e n s e g u r i d a d T I ¡ G r a c i a s !