1. Introdução ao Deep Security 8
Alexander Manfrin – Technical Account Manager
alexander_manfrin@trendmicro.com
Copyright 2009 Trend Micro Inc.
2. Trend Micro
EVA CHEN
CEO and Co-Founder
Fundação
$1 Bilhão de faturamento
VISÃO Estados |Unidos
em 1988 anual
Um mundo seguro
para a troca de Headquarters Maior empresa de
informações digitais Tokyo, Japan segurança com
Funcionários Headquarter fora dos EUA
MISSÃO 4,500
Top 3 em Messaging, Web
Inovar para prover Mercado e Endpoint Security
a melhor Segurança de
segurança de Conteúdo Lider em segurança para
conteúdo que se Virtualização e Cloud
1000+ Threat Experts Localização
encaixe na Computing
infraestrutura de Operações em 23
TI países
Copyright 2009 Trend Micro Inc. Classification 2/23/2012
2
3. Cenário de ameaças
“3.5 novos malwares Riscos Perigosos A segurança convencional
a cada segundo.” não pode se manter tão
—AV-Test.org atualizada como as
ameaças .
DANGER
Volume Explosivo Evitando Detecção
Novas Ameaças Únicas por Hora Ameaças Encontradas em Empresas
(Estimativa global*) (Real-world data from 150 assessments*)
2500
COMPLEXITY Network
Worms 42%
Data-Stealing
Malware 56%
Uma fuga de dados IRC
77%
Bots
poderia manchar uma Active
100%
2005 2006 2007 2008 2009 marca para sempre! Malware
“Malware esteve por trás
Um ataque de denial of de 90% dos registros de Você pensa que sua rede
service virtual na fuga” é diferente?
segurança! —Verizon Security Report, 2009
O novo cenário de ameaças requer uma nova abordagem
Copyright 2009 Trend Micro Inc.
*Source Trend Micro
4. Smart Protection Network
WEB
REPUTATION
Threats EMAIL
REPUTATION FILE
REPUTATION
Threat Collection
Management
• Mais de 1.000 pesquisadores de ameaças e
SaaS/Managed
Partners especialistas em serviços e suporte em 9 localidades
• ISPs • Operações 24/7
Cloud
• Routers • Alertas para novas ameaças em tempo real
• Etc.
Endpoint
Off Network Gateway
Messaging
Copyright 2009 Trend Micro Inc.
5. Soluções de segurança da informação
Web Security
Endpoint Security Web Gateway Security
PC, Laptop, Mobile Device Security Website Security
Extensive Platform/OS Support
Unified Security & Systems Mgt
Messaging Security
Email Gateway Security
Mail & Collaboration
Server Security
Data Center Security
Business Server Security
Protection, Integrity, Compliance
Physical/Virtual/Cloud Computing
Solutions & Services
Regulatory Compliance
Threat Management Services
Data Protection Premium Support Service & more
Data Loss Prevention
Email & Endpoint Encryption Central Management
Centralized Security Mgt
Unified Security & Systems Mgt
Copyright 2009 Trend Micro Inc.
6. Trend Micro: A primeira parceira de
Segurança junto a VMware
Improve Security Improve Virtualization
by providing the most by providing security solution
Secure virtualization infrastructure, architected to fully exploit the
with APIs, and certification programs VMware platform
Dec: Deep Security 7.5
w/ Agentless AntiVirus
VMworld: Trend Micro
VMworld: Announce Q1: Deep Security 8
Virtsec customer
Deep Security 8 & w/ Agentless Integrity
vShield OEM Monitoring
May: Trend RSA: Trend Micro
Feb: Join acquires Demos Agentless VMware Technology
VMsafe Third Brigade Alliance Partner
program of the Year Web Reputation
Q4: Joined EPSEC
Module
vShield Program
2008 2009 2010 2011 2012
RSA: Trend Micro
announces Coordinated Nov: Deep Security 7 Deep Security
approach & Virtual With virtual appliance Manager on Linux
pricings and shows Q1: VMware buy
VMworld: Announce
VMsafe demo RSA: Trend Micro Deep Security for
Deep Security 7.5
announces virtual Copyright 2009 Trend Micro Inc. Internal VDI Use
appliance
8. VMware vShield - EndPoint
Características
• Elimina o uso de agentes de anti-vírus em cada
servidor virtual;
• A segurança é oferecida por AV partners da VMware;
• Oferece remediação usando o driver na VM;
• Políticas e configurações de gerenciamento são
feitos por meio das APIs;
• Logging e auditoria.
Benefícios
• Provê performance devido ao não carregamento de
funções de antivírus dentro da VM;
• Provê performance para todo o datacenter devido a
eliminação de storms de antivírus (Scanning e
Updates);
• Redução do risco devido a eliminação de agentes
suscetíveis a ataques e remediação forçada;
• Satisfaz todos os níveis de auditoria exigidos com
logging detalhado das tarefas de AV.
Copyright 2009 Trend Micro Inc.
9. DSVA > Arquitetura de segurança sem agentes
Trend Micro
Deep Security Virtual Appliance
Trend Micro Guest VM
Deep Security
Manager Network Security Anti-Malware
Security APPs
Admin
- IDS/IPS - Real-time Scan APPs
- Web App Protection - Scheduled & APPs
OS
- Application Control Manual Scan Kernel
- Firewall Integrity Monitoring
OS
BIOS
VMsafe-net vShield Endpoint
API API Thin Driver
Trend Micro
vShield filter driver vShield Endpoint
Manager 5.0 ESX Module
VI ESXi 5.0/4.1
Admin vSphere Platform
vCenter
Trend Micro vShield
VMware
Legend product
Platform
Endpoint
components Components
Copyright 2009 Trend Micro Inc.
10. Deep Security 8
Solução de proteção para Datacenters físicos e
virtuais
Copyright 2009 Trend Micro Inc.
12. Características
• Deep Security Manager (DSM)
– Microsoft Windows 2003/2008 32 e 64Bits (R2 64Bits apenas)
– Linux Red Hat 5/6 (64-bit)
– Database Oracle 10g e 11g, SQL Server 2005 (SP2) e SQL Server 2008
(SP1)
– Requisitos de Hardware
• Memória 4GB
• Espaço em disco 1.5G recomendado 5GB
• Deep Security Virtual Appliance (DSVA)
– VMware vCenter 5.0 and ESX/ESXi 5.0
– Requisitos de Hardware
• Memória 1GB
• Espaço em disco 20G
• Deep Security Agent
– Windows, Solaris, Linux, AIX, HP-UX
• Deep Security Relay
• Windows, Linux
Copyright 2009 Trend Micro Inc. 12
13. Benefícios da segurança sem agentes
Plataforma de segurança
sem agentes
• Maior densidade de VM
• AV sem agentes permite 2-3 mais VMs
• Permite 40-60% mais servidores virtuais
• Melhora o gerenciamento
• Sem necessidade de configuração de Deep Security 8
atualizações e patchs por agentes
• Integração de módulos como AV, Firewall
IPS/IDS e outros
• Aumenta a segurança
• Adiciona segurança (Firewall, IPS/IDS, Segurança individual com agentes
Application Control, Web Application
Protection, Integrity Monitoring e etc)
• Proteção instantânea
Modelo tradicional
• Alta performance
• Livre de storms de atualizações e
AV Scans
Copyright 2009 Trend Micro Inc.
14. Deep Security 8
Agentless Security for VMware
Deep Security
Agentless
Integração
com IDS/IPS
vCenter
Instalação do
VMsafe API
Instalação do Deep vShield Manager
Security Manager, Deep vSphere
VMware
Security Virtual Appliance e
integração com vCenter
VMware vShield
Manager
Regras de DPI (Deep Packet
Inspection) protegem a máquina
contra vulnerabilidades conhecidas
e desconhecidas (Virtual Patching)
Copyright 2009 Trend Micro Inc.
15. Deep Security 8
Agentless Security for VMware
Deep Security
Agentless
Integração
com IDS/IPS
vCenter
Web Application Protection
VMsafe API
VMware vSphere
VMware vShield
Manager
Proteção contra vulnerabilidades
como Cross-Site-Script (XSS) e
SQL Injection em aplicações web
Copyright 2009 Trend Micro Inc.
16. Deep Security 8
Agentless Security for VMware
Deep Security
Agentless
Integração
com IDS/IPS
vCenter
Web Application Protection
VMsafe API
Application Control
VMware vSphere
VMware vShield
Manager
Controle que previne o
estabelecimento de conexões entre
aplicações como Skype, Emule,
Bittorrent e etc.
Copyright 2009 Trend Micro Inc.
17. Deep Security 8
Agentless Security for VMware
Deep Security
Agentless
Integração
com IDS/IPS
vCenter
Web Application Protection
VMsafe API
Application Control
Firewall
VMware vSphere
VMware vShield
Manager
Um sofisticado statefull firewall bi-
direcional que provê suporte para
protocolos de rede TCP, UDP e
ICMP.
Copyright 2009 Trend Micro Inc.
18. Deep Security 8
Agentless Security for VMware
Deep Security
Agentless
Integração
com IDS/IPS
vCenter
Web Application Protection
VMsafe API
Application Control
Firewall
VMware vSphere
Agentless
VMware vShield
Antivírus / Antimalware vShield Endpoint Manager
Proteção antimalware com ou sem
agentes que permite ações de
remediação como limpeza,
remoção, negação de acesso e
Copyright 2009 Trend Micro Inc.
quarentena.
19. Deep Security 8
Agentless Security for VMware
Deep Security
Agentless
Integração
com IDS/IPS
vCenter
Web Application Protection
VMsafe API
Application Control
Firewall
VMware vSphere
Agentless
VMware vShield
Antivírus / Antimalware vShield Endpoint Manager
Agentless
Integrity Monitoring vShield Endpoint
Permite o monitoramento por meio
de Logs sobre a integridade de
arquivos de sistema, chaves de
registro, diretórios e serviços.
Copyright 2009 Trend Micro Inc.
20. Deep Security 8
Agentless Security for VMware
Deep Security
Agentless
Integração
com IDS/IPS
vCenter
Web Application Protection
VMsafe API
Application Control
Firewall
VMware vSphere
Agentless
VMware vShield
Antivírus / Antimalware vShield Endpoint Manager
Agentless
Integrity Monitoring vShield Endpoint
Uso de agentes Centralização e
Inspeção de logs
Log Inspection e eventos gerados
Copyright 2009 Trend Micro Inc. pelo sistema.
21. Defesa completa com Trend Micro Deep Security
HIPS: Detecta e bloqueia
IDS/IPS ataques que exploram
vulnerabilidades conhecidas
Proteção para e ataques zero-day
vulnerabilidades em Web Application Protection
aplicações web
Provê visibilidade e controle
Application Control sobre aplicações que
acessam a rede
HIPS: Redução de attack surface. HIDS: Detecta alterações
Prevensão de ataques DoS e
Firewall Integrity maliciosas e não
detecção de scans de autorizadas em diretórios,
reconhecimento. Monitoring arquivos e chaves de
registro
HIDS: Otimiza a identificação Log Detecta e bloqueia
de importantes eventos de
Inspection Anti-Vírus malwares (ameaças web,
segurança vírus & worms, trojans)
Copyright 2009 Trend Micro Inc. 21
22. Trend Micro Deep Security para PCI 2.0
Compliance
Atende 7 regulamentações PCI
e 20+ sub-controles
IDS/IPS
Web Application Protection
Application Control
Firewall Integrity
Monitoring
Log
Inspection Anti-Vírus
22 Copyright 2009 Trend Micro Inc.
23. Antimalware
• Diferenças entre o uso de agentes (DSA) e o não uso
de agentes (DSVA)
Função DSVA/DSA
Second Action Ambos
Un-scannable File Action Ambos
Schedule of Real-time Scan Ambos
Per-malware type Action Ambos
Scan size limitation Ambos
“CPU Usage” for manual and sched scan DSA apenas
SPN Smart Feedback Setting DSA apenas
Spyware Approved List DSA apenas
Enable Agent Self-Protection DSA apenas
Notification on the VM/machine upon Ambos
virus/spyware detection
Copyright 2009 Trend Micro Inc. 2/23/2012
23
24. Deep Packet Inspection – Virtual Patching
• Os patches de segurança estão sendo
devidamente aplicados?
– Quanto tempo se demora para aplicar um patch
crítico? Testa-se o patch antes de aplicá-lo?
– Como saber se ainda existem vulnerabilidades a
serem corrigidas?
– Corrigimos apenas vulnerabilidades do SO, ou
também nos preocupamos com as aplicações? E
aplicações não Microsoft? E aplicações legadas?
Copyright 2009 Trend Micro Inc.
25. Deep Packet Inspection – Virtual Patching
4 Estágios da análise de pacotes
Copyright 2009 Trend Micro Inc. 25
26. Deep Security 7.5 vs McAfee and Symantec
Consumo de recursos on-demand scan (25 Virtual Machines)
Copyright 2009 Trend Micro Inc.
27. Deep Security 7.5 vs McAfee and Symantec
Consumo de recursos signature update (50 virtual machines)
Copyright 2009 Trend Micro Inc.
28. TCO vs Agentless Anti-malware
DESKTOP TCO SAVINGS
Removendo o agente das
VMs há redução imediata de
35% de recursos, reduzindo
o número de servidores
necessários de 28 para 18.
Fonte: TCO Savings of Agentless Anti-Malware
Março 2011
Copyright 2009 Trend Micro Inc.