Filtrado de Contenidos y Seguridad Endpoint Ricardo Hernández Sales Engineer Spain & Portugal

La seguridad en las empresas hoy El 97% de las empresas tiene Firewall El 50% de las grandes empresas tuvo al menos 11 brechas (IDC) El 96% de las empresas tiene software antivirus. El 40% de las empresas sufrió al menos una brecha de seguridad con consecuencias Las redes "bot“ (zombies) aumentaron un 140% En un momento dado, puede haber de 10.000 a 200.000 "máquinas zombies" activas en una red "bot" ¡Se comunicaron 1.862 nuevas vulnerabilidades en 6 meses! ¡¡¡Caos !!! ¡No podemos parchear con suficiente rapidez!

Tendencias emergentes: No sólo los virus Código malicioso (Día Cero) – Vulnerabilidad WMF (iDefense) 71% Troyanos 15% Gusanos 9% Bots El 84% de las amenazas de mensajería instantánea son Gusanos (IMlogic) El 49% contra Messenger El 35% contra AOL/ICQ El 16% contra Yahoo! El "phishing" aumentó un 87% en 2005 15.244 ataques distintos de "phishing" en diciembre 5,3 días – tiempo medio que un sitio está en línea 2006: "Pharming" y "Spear Phishing" La segunda mayor amenaza en 2005 (subida desde el cuarto puesto en 2004) 8 de cada diez máquinas están infectadas Coste de 138$ por incidente Spyware Gusanos Phishing Malcode

Retos y Riesgos Crecientes en Internet La red es un sitio peligroso, con nuevas amenazas como los ataques desde la red, el “spyware”, el código móvil malicioso y el phishing, que han costado a las empresas un valor estimado de $16,700 millones al final del año 2004, según Computer Economics, 2004 Los Firewalls Gateway y el software antivirus no pueden, por sí solos, proteger al sistema contra estas amenazas complejas. Las empresas necesitan una solución que complemente a los firewalls y las soluciones antivirus con protección por niveles de contenidos. The web is a dangerous place– Seemingly every day a new threat emerges, whether through Web attacks, spyware, malicious mobile code, or phishing. These threats cost organizations an estimated $16.7 billion worldwide in 2004. Recent Web-based attacks such as the Trojan Horse ‘JS Scob’ illustrate clearly the inadequacies of most existing security measures. Gateway firewalls and antivirus software alone cannot protect against the complex malicious code that threatens the organization’s IT infrastructure. Organizations need a solution that complements firewalls and antivirus solutions with content-level protection

El antivirus no es suficiente Respuesta de los antivirus ante el ataque MSN Beta

Nuevos vectores de ataque Código malicioso Spyware Spyware Spyware Spyware Phishing

Ataques cibernéticos: No es sólo un juego de niños ENTONCES AHORA Pirateando en busca de fortuna Pirateando en busca de fama Fácil de descubrir y mitigar Cubierta y subterránea De dentro afuera, de dentro adentro, de fuera adentro De fuera adentro Ataques masivos Ataques dirigidos

Nuevas Amenazas I: Spear Phishing: Ataques dirigidos Con frecuencia estos ataques se dirigen a empleados de una empresa determinada (por ejemplo, simulando ser un correo electrónico del departamento de informática y solicitando un cambio de contraseña).

Nuevas amenazas II Espionaje industrial

Nuevas amenazas III Extorsión cibernética / Ransomware (secuestro de archivos) A: Víctima Archivos cifrados: 80 Bytes totales: 12982810 La lista completa de los archivos cifrados se encuentra en el siguiente archivo: пиздец к вам в гости!.TXT Así que, aquí está el motivo de que te diga esto. Si quieres recuperar estos archivos en un formato descifrado, tendrá que dirigirte a este correo electrónico: CodeXXXX@mail.ru

Nuestra propuesta

Un Vistazo a Websense® Líder del Mercado Mundial en filtrado de Internet y primer proveedor de software de seguridad para Web. Más de 24,000 clientes y 19.8 millones de usuarios en el mundo protegidos por los productos Websense. Fundada en 1994 ( Nasdaq: WBSN). Con base en San Diego, CA. Más de 600 empleados en todo el mundo. Una compañía estable y de crecimiento rápido. Facturación en 2005: 196$ Millones (40% de crecimiento anual). Un fabricante de software para empresas reconocido. Incluida en la Lista de Compañías “Top Tech” de Forbes 2005. Incluida en la lista de Compañías de Crecimiento más rápido de Fortune 2004. I’d like to say a few words about Websense in case you are not familiar with our company. Over the last year, Websense has achieved a number of milestones. Websense is the global market share leader in Web Filtering according to leading IT market research firms such as IDC. Today, more than 24 thousand customers, representing over 19 million protected users, have come to rely on Websense technology for managing their employee computing resources. Websense also had its best year financially in 2004. In fact, our annual billings have grown by 35% year over year for the last 2 years. Forbes recently recognized Websense as one of the fastest growing technology companies for 2005. And most importantly, Websense remains committed to product research and development. This focus on R&D enables our products to win awards like the 2004 PC Magazine Editor’s Choice.

Evolución del Mercado Web Filtering Software Market Share (2001 – 2005)* * Fuente IDC. Año 2005 Estimación Websense

Policy Enforcement Multicapa Many of today’s sophisticated security threats require a multi-layer solution that spans the internet gateway, the network, and of course, the desktop. Websense Enterprise delivers a solution that addresses each of these areas: At the Internet Gateway: Websense manages access to web sites and prevents the download of certain file types, depending on your corporate policy. As many of you already know, Websense is known for the flexible policy options that fit your organization’s unique culture. These powerful options include time-based quotas, warn/continue, yes lists, and password overrides. At the Network: Using our “Network Agent” that examines each packet of traffic on your network, Websense Enterprise allows you to manage non-HTTP protocols such as streaming media, Peer-to-Peer file sharing, and Instant Messaging. The Network Agent ensures that these protocols can be managed even if they hop to different ports or tunnel through port 80 disguised as HTTP traffic. And of course…at the Desktop: With the Client Policy Manager, you can enforce flexible policies on which applications can be launched or which applications can access the network. To recap…here’s a quick example of how Websense would tackle issues with peer-to-peer file sharing from a multi-layer perspective: First, Websense could limit access to P2P web sites. Second, Websense Enterprise could block P2P application traffic within your network. And finally, Websense Enterprise could prevent P2P applications from launching on connected or disconnected computers in your network. Gestión de aplicaciones de red, protocolos y Ancho de Banda Gestión de ejecución de Aplicaciones Gestión de acceso a sitios Web

La Solución: Websense Web Security Suite Gateway firewalls and antivirus software alone cannot protect against the complex malicious code that threatens the IT infrastructure. Firewalls can detect Web traffic, but most have no means of monitoring the specific information being transferred. Spyware is penetrating firewalls - and other threats like P2P or IM can do the same. Antivirus solutions are reactive, not preventive; they are effective only against very specific threats, and they provide even this limited protection only after an attack has already occurred. Organizations need a solution that complements firewalls and antivirus solutions with content-level protection. The network perimeter is rapidly disappearing -laptops, home networks, hotspots, wireless - and gateway security solutions are becoming ineffective. The Websense solution complements traditional Firewall/IDS and Antivirus security – it addresses the gaps that these traditional solutions offered, while creating a robust security solution spanning the gateway, network and desktop.

Websense Security Labs Somos diferentes Websense Security Labs Código Malicioso Primero en Identificar amenazas Escaneamos 75 millones/día Descubrimos 1 millón/año COMPROBADOS !!! Spyware Phishing Primero en Proteger Distribución automática y sin requerimiento de actuación del cliente (push)! Más de 30 Actualizaciones RTSU por día! URL’s Applicaciones Protocolos

Los laboratorios de seguridad Websense SecurityLabs son los primeros en… PRIMEROS (Diciembre de 2005) en descubrir e informar sobre esta vulnerabilidad WMF de Microsoft. La vulnerabilidad permite a los atacantes descargar software adicional a un PC de Windows vulnerable, incluyendo un keylogger y una herramienta de administración remota basada en IRC que se puede utilizar para tomar el control total del ordenador. PRIMEROS (Noviembre de 2005) en descubrir los sitios Web que utilizan la vulnerabilidad de Sony DRM en la Web. La vulnerabilidad permitió piratear sitios Web para utilizar el desinstalador Sony DRM como medio para ejecutar acciones maliciosas en los equipos de usuarios finales. PRIMEROS en informar sobre la Extorsión cibernética, un nuevo ataque que intenta extorsionar a los usuarios codificando los archivos en sus máquinas y luego solicitando un pago por la herramienta de descodificación. Principal fuente de información sobre el proyecto Crimeware para APWG y primero en investigar los informes de Phishing de APWG!

Integración en cualquier entorno

Incluye la galardonada tecnología de Filtrado Websense Aporta un filtrado preciso y comprensible en Internet, apoyado por una base de datos de sitios Web y protocolos de red. Permite políticas flexibles usando opciones como las cuotas temporales, autorización de contraseña… Minimiza el trabajo administrativo necesario para aplicar políticas de uso de Internet para empleados con un interfaz de Gestión Central fácil de usar. Provides comprehensive and accurate internet filtering supported by a database of websites and network protocols Allows flexible internet policies using options such as time-based quotas, password authorization and continue Minimizes administrative overhead in setting and enforcing employee internet policies with easy-to-use Websense Manager Provides report templates, block pages, and web page category names in ten languages

La Base de Datos Maestra de Websense Contiene más de 15 millones de sitios Web, publicados en más de 50 idiomas, y clasificados en más de 90 categorías Un gran número de categorías que permite un alto grado de especificidad al diseñar la política de uso de Internet en su empresa. Aplicaciones Más de 50 categorías de aplicaciones Más de 1,5 millones de aplicaciones catalogadas Comportamiento de aplicaciones al acceder a Internet Protocolos Más de 60 protocolos Protocolos para P2P, IM, streaming media, acceso remoto… Award Winning Web Filtering Technology The Websense Master Database Over 90 website categories More than 8.5 million categorized websites Websites in 50+ languages 25 million domains scanned daily for malicious mobile code Over 60 protocol categories Protocols for P2P, IM, streaming media, remote access Over 50 application categories More than 700,000 categorized executables WebCatcher™, a proprietary tool that captures the uncategorized URLs visited by users at customer sites and returns them for priority handling Dynamic Protocol Management Monitor & filter 60 additional Internet protocols Manage HTTP tunneled protocols IM, P2P, Streaming media Analyze and log all user request data Byte counts, Internet browse time Manage protocol bandwidth usage by user/group policies Más de 90 categorías Websense Sitios Web en más de 50 idiomas Más de 15 millones de sitios Web catalogados WebCatcher™ URLs

Spyware … y más Web Security Suite: Bloquea spyware, código móvil malicioso y otras amenazas basadas en la red incluyendo virus, troyanos, gusanos, “keylogging”, ataques de script y código pirata de Internet Bloquea las transmisiones de spyware y keylogging por canales traseros hacia sus sitios host (back-channel) Protege a los empleados y empresas del phishing e intentos de fraude

Control de Mensajería Instantánea Control de uso de Mensajería instantánea. Incluso tunelando IM a través del puerto 80 Control de envío y recepción de ficheros vía clientes de Mensajería instantánea (IM) Permite a las empresas asegurar los beneficios del negocio derivados de la mensajería instantánea manteniendo la seguridad, el ancho de banda, los temas de responsabilidad legal y evita las fugas de información. As we reviewed earlier, Instant Messaging attachments can introduce risk into an organization IM can transmit proprietary company information in unencrypted format and transfer file attachments that bypass the existing security infrastructure. Viruses, Trojans and worms can hitch a ride on IM attachments Websense Security Suite controls the sending and receiving of files via instant messaging (IM) clients Allows organizations to leverage business benefits from instant messaging while managing the security, bandwidth, and legal liability issues related to IM file attachments. Allows organizations to block file transfers via IM clients For example: Block all usage of IM clients except Microsoft Messenger (MSN) Block file attachments for all IM clients including MSN

Gestionar el tráfico P2P Poner en práctica las políticas de control riguroso de Internet para el acceso de los empleados a los sitios Web a fin de obtener acceso o descargar aplicaciones de intercambio de archivos (Peer-to-peer) Permite a las organizaciones reducir la difusión de los virus y evitar la fuga de información a través de las aplicaciones de intercambio de archivos (Peer-to-peer)

Protección ante las redes zombie Bloquea los sitios Web / protocolos que infectan con zombies Puerta de enlace (Gateway): Bloquea los sitios Web que alojan centros de comando y control (Host de las redes Zombies) Red: Bloquea las redes zombie que no se comunican por HTTP Fuente de infección Servidor de comando y control Carga útil adicional

Filtrado Remoto Usuario no Gestionado URL Usuarios remotos asegurados Integración con el entorno corporativo Usuario no Gestionado Bloqueado www.Spyware.com URL Websense Web Security Suite

Actualizaciones de seguridad en tiempo real Websense Lockdown Actualizaciones de seguridad en tiempo real Instalación de solución por el cliente Solución Antivirus Disponible Ventana de exposición Actualizaciones nocturnas Websense Amenaza a la seguridad descubierta Tiempo  Websense offers a new, optional service module – Websense Real-Time Security Updates. This module enables Websense Web Security Suite, Websense Enterprise and CPM to retrieve database updates for critical security-related events in real-time when new threats are added to the appropriate Websense database. With Websense Real-Time Security Updates We can publish a real-time updates when urgent new phishing scams, malicious websites, malicious applications, or related threats are detected This Complements nightly database downloads Real-time Security updates reduce “Window of Exposure” to minutes and deploy automatically Real-Time security updates are a “must have” for any security solution. The most dangerous threats are the ones that are unknown. Websense Web Security Suite - Lockdown Edition (and CPM Lockdown mode) protect against unknown or "zero-day" threats, providing a preemptive stance which mitigates the risk of attack. Preventivo Más de 30 actualizaciones diarias!!!

Websense Real-Time Security Updates Provee actualizaciones en tiempo real ante riesgos como websites maliciosos, phising, virus, gusanos, troyanos, etc. Protege las redes corporativas durante la ventana de exposición antes que las firmas de los antivirus sean actualizadas y distribuidas ¡¡Sin intervención del administrador!! (24x7)

Websense Web Protection Services™ ThreatWatcher Proporciona a los clientes unos servicios de exploración de vulnerabilidades del servidor Web Los clientes pueden establecer exploraciones periódicas de su servidor Web para determinar vulnerabilidades de servidor conocidas y problemas de cumplimiento de políticas

Websense Web Protection Services™ SiteWatcher™ Alerta a los clientes si el sitio Web de su empresa ha sido infectado con MMC Los clientes pueden tomar medidas inmediatamente para evitar la difusión de MMC a clientes, clientes potenciales y asociados que visiten el sitio Web BrandWatcher™ Alerta a los clientes si el sitio Web de su empresa o la marca han sido blanco de ataques de phishing o código de keylogging malicioso Los clientes pueden tomar medidas inmediatamente para notificarlo a sus clientes y minimizar el daño

Websense Enterprise Management Navigation Tree Category Set Policy Protocol Set Legend

Gestión de Protocolos Dinámica Manage Tres opciones de gestión (bloquear, permitir o bloquear por ancho de banda) Puede ser aplicado a usuarios, grupos o estaciones de trabajo en cualquier rango de tiempo Maneja peticiones tuneladas a través del puerto 80 Mensaje de bloqueo personalizable en el puesto Websense Enterprise offers the unique ability to extend policy control and enforcement to the network level. This allows organizations to: · Manage IM, P2P, and streaming media applications by network protocol. · Set policies based on application protocols and file types with Dynamic Protocol Management™. Automated updates to the protocol list ensure accuracy and minimize administration.

Portal de herramientas de gestión de informes

Análitica en profundidad --Informes estándar -- Informes favoritos -- Vista detallada flexible -- Exportar a PDF -- Informes de programas, correos electrónicos y documentos impresos

End-Point security

Web Security Suite – version Lockdown Edition™ (Client Policy Manager) Protege PCs de sobremesa, portátiles y servidores. Permite el cierre de los PC de sobremesa y de las redes para combatir amenazas de seguridad. Detiene la ejecución de aplicaciones no autorizadas, como el spyware, Peer-to-Peer (P2P), compartición de archivos y herramientas de hacking en el PC. Gestión flexible de otras aplicaciones que sólo se permiten a usuarios o grupos designados. Ofrece seguridad mejorada para conexiones móviles y dispositivos removibles. Proporciona el máximo control sobre entornos de PC, al permitir que tan sólo se ejecuten aplicaciones permitidas en PCs y servidores corporativos, mediante las prestaciones avanzadas de lockdown. Provides a comprehensive end-point security solution that protects corporate desktops, laptops, and servers.

Control de Dispositivos removibles Permite evitar el uso de dispositivos como USB, FireWire, grabadores de CD/DVD y discos duros externos en las estaciones de trabajo. Previene el uso de cualquier dispositivo removible o sólo bloquea dispositivos de escritura, dependiendo de la política de la organización. Key benefits: Improves control over desktops in order to prevent the theft of intellectual property Mitigates risk of malicious code being transferred through removable media Problem example: Proliferation of USB data storage devices, and protecting data against unauthorized copying Potential Solutions: Prevent the unauthorized devices from functioning at all Prevent data from being copied to unauthorized devices 3. Encrypt all data so that unauthorized users can't use the copied data CPM addresses items 1. and 2.

Express Lockdown Permite evitar la ejecución de cualquier codigo instalado en una máquina después del lockdown (virus, gusanos…). No es necesario un inventario previo. Lockdown: Prevents any new file on the desktop from executing after Express Lockdown communicated to the client agents. Outbreak: Specifically names file of concern, and leverages the P2P communications among the client agents to immediately update policy. Example: CPM administrators were able to enter the file name, msblaster.exe, into the Outbreak dialog box. Within seconds, Websense customers were protected, while other organizations needed to wait for their anti-virus provider to include the data in their downloads. The Outbreak process passes data to machines running Client Agent almost instantly, which then use peer-to-peer communications to distribute the information within a matter of seconds. As a result, machines are protected, long before anti-virus software is able to detect and stop the virus. Once peer-to-peer distribution is complete, the details in the Outbreak rule become part of the CPM policy. When machines that were offline become available on the network, the CPM policy is downloaded, with Outbreak information, to those machines.

Características del producto Mitigación de riesgos basados en Web Incorpora Base de Datos con categorías de aplicaciones maliciosas actualizada diariamente Incluye keyloggers, spyware, Troyanos, BOTs, scripts y controles ActiveX AppCatcher™ Identifica aplicaciones no categorizadas en la red del cliente, enviadas anonimamente a Websense para su analisis e inclusion en las actualizaciones de la Master Database Mobile Security Soporte para refuerzo de políticas en estado conectado y desconectado Actualización de políticas incrementales basado en la parte diferencial durante las descargas Provee comunicaciones encryptadas entre el Cliente y el Servidor

Características de producto – Distribución Despliegue automático del agente Provee despliegue automático del agente desde la consola de gestión Integración Soporta integración con Microsoft Directory Services Permite la gestión centralizada desde la consola de Websense Alertas Notifica al administrador de cambios no autorizados en las operaciones del agente Gestión de políticas flexible Permite políticas separadas al Administrador y al usuario local Reporting Avanzado Provee herramientas de detección e identificación temprana de potenciales vulnerabilidades en aplicaciones

Características de Producto - Lockdown Application Lockdown™ Permite sólo la ejecución de aplicaciones en la lista de permitidas ( “white-list”) Previene la ejecución de aplicaciones no autorizadas Network Lockdown™ Bloquea todos las comunicaciones de la red o de puertos específicos Incluye reglas a nivel de puertos para protocolos como UDP y TCP Removable Media Lockdown™ Previene que todos los dispositivos removibles sean usados o sólo bloquea aquellos dispositivos de escritura Express Lockdown™ Previene la ejecución de todas las aplicaciones tras el inicio de un Lockdown No requiere inventario inicial

Avance hacia la seguridad Web www.websense.com