SDN 3.0 Protegiendo la Red Humana - cisco.com · Protege contra las ultimas amenazas ... Pharming...
Transcript of SDN 3.0 Protegiendo la Red Humana - cisco.com · Protege contra las ultimas amenazas ... Pharming...
© 2008 Cisco Systems, Inc. All rights reserved.
SDN 3.0Protegiendo la Red Humana
Mario Velarde
Territory Manager for Spain & Portugal
Victor Mateos Gonzalo
Product & Marketing Manager
Bonny Shapira
Security Business Development
© 2008 Cisco Systems, Inc. All rights reserved. 2
Seguridad ayer, hoy y mañana
ASA – Todo en Uno
Agenda
Seguridad de Mensajeria y Web
Para Llevar
SDN 3.0
Seguridad del EndPoint
© 2008 Cisco Systems, Inc. All rights reserved. 3
Las Nuevas Tecnologías Evolucionan la seguridad
Human Network@ Work
Reputación
Compliance
Flexibilidad Operativa
Responsabilidad
Competitividad
© 2008 Cisco Systems, Inc. All rights reserved. 4
Financiero: Robo y Daño
Fortuna: Adware
Fama: Viruses y Malware
Tanteando : Intrusiones y viruses básicos
Severidad de la
amenaza
1990 1995 2000 2005
Ataquesal azar
Ataques enfocados
Que esta Cambiando?
© 2008 Cisco Systems, Inc. All rights reserved. 5
Nuevos Tipos de Ataques
2007 CSI Survey
Source: 2007 Computer Security Institute survey - http://www.gocsi.com/forms/csi_survey.jhtml
© 2008 Cisco Systems, Inc. All rights reserved. 6
Seguridad — “Mejor Juntos”
IPIP
MobilityMobility
Video &TelePresence
Video &TelePresence
DataData
UnifiedCommunications
UnifiedCommunications
© 2008 Cisco Systems, Inc. All rights reserved. 7
Network Security es un Sistema
Firewall + AV ≠ Network SecurityNetwork security no es algo que se puede comprar y olvidar
La Tecnologia ayuda pero…Políticas, Operaciones y Diseño están imprescindibles
Network security system:Un conjunto de dispositivos de red, tecnologías y modelos a seguir que funcionan en formas complementarias, suministrando seguridad a los activos de información
© 2008 Cisco Systems, Inc. All rights reserved. 8
Seguridad IntegradaSeguridad Integrada
ImplementaciónImplementación
concientización de Seguridad
concientización de Seguridad
• Todo en la red es un blanco y requiere ser protegido
• Defensa a Profundidad
• Todo en la red es un blanco y requiere ser protegido
• Defensa a Profundidad
• Definir, desplegar, y monitorear• Definir, desplegar, y monitorear
Enfoque Estratégico a la Seguridad
• Mentalidad "Proactiva versus Reactiva"
• Definición de la política
• Mentalidad "Proactiva versus Reactiva"
• Definición de la política
"Conozca y balancee sus riesgos de negocios..."
"Necesidades de negocios para
ser efectuadas; la seguridad es
vital para el éxito"
"La Seguridad y la Estrategia de Negocios Están ENLAZADAS…"!
© 2008 Cisco Systems, Inc. All rights reserved. 9
5Patch: MS04-011 Apr. 13, 2004
SASSERSASSERPatch: MS03-026
Jul. 16, 2003
18
NIMDANIMDA
Patch: MS00-078Oct.17, 2000
SLAMMERSLAMMER
Patch: MS02-039Jul. 24, 2002
BLASTER.ABLASTER.A 26
185
336Sept. 18, 2001
Jan. 25, 2003
Aug. 11, 2003
May 1, 2004
Patch: MS05-39 Aug. 9, 2005
ZOTOBZOTOB
Aug. 14, 2005
-11
Time(days)Updated RemovalTool: Feb. 14, 2006
NYXEMNYXEM
Feb. 3, 2006
¿Cuán Rápido Podemos Reaccionar?
© 2008 Cisco Systems, Inc. All rights reserved. 10
Presente – Bajo y LentoSilenciosamente infectar un PC y robar todo lo que puedo antes de que te des
cuentaAxioma:
Ataques Apuntan a las Organizaciones
Pasado – BotnetsCuanto rapido puedo infectar un PC y
generar SPAM
Robo de DatosDe Clientes Fraude
Extorción
EspionajeCorporativo
MandatorDisclosur
Scams Chantaje
¿Cuán Rápido Podemos Adaptar?
CrimenOrganizado
Cosecha de Información
© 2008 Cisco Systems, Inc. All rights reserved. 11
90% de las grandes empresas detectaron brechas de seguridad
42% de las empresas detectaron acceso no autorizado por insiders
Mito: Hackers causan la mayoría de las infracciones de SeguridadEn Realidad: “Empleados y otros insiders están responsables a mas de 70% de los ciber-ataques”
Source: 2006 Computer Security Institute and FBI Survey
¿Cuán Rápido Podemos Detectar?
Source: http://www.us-cert.gov/reading_room/prevent_detect_insiderthreat0504.pdf
© 2008 Cisco Systems, Inc. All rights reserved. 12
Foundation Security SolutionsFoundation Security Solutions
FirewallFirewallCisco ASACisco ASA
Intrusion PreventionIntrusion PreventionCisco IPSCisco IPS
Router SecurityRouter SecurityCisco ISR FamilyCisco ISR FamilySwitch SecuritySwitch Security
Catalyst EnginesCatalyst Engines
Security SystemsSecurity SystemsNACNAC
Security ManagementSecurity ManagementCSM / MARSCSM / MARS
Endpoint SecurityEndpoint SecurityCisco Security AgentCisco Security Agent
Converged SecurityConverged SecurityCisco ASA 5500Cisco ASA 5500
Mail/application SecurityMail/application SecurityACE,IronportACE,Ironport
PartnerAccess
Corporate Network Internet
Remote Access
Remote/Branch OfficeData
Center
Corporate LAN
Web Servers / Web Services
Partner Business
Apps
Public IM / Public IPC
Secure WANSecure Perimeter Secure Data Center
Secure LAN
Advanced SolutionsAdvanced SolutionsDay Zero
Web/Message Security Security Management and Operations
Network Admission Control
Cisco Security Portfolio
© 2008 Cisco Systems, Inc. All rights reserved. 13
La Red de Auto Defensa Cisco 3.0
Integra seguridad de la red, del endpoint, contenido y aplicación
Mejor Juntos
Protege contra las ultimas amenazas utilizando información recogida de
todas partes de la red
Amplia Inspección del Trafico
Suministra seguridad end-to-end con amplia protección
Solución End-to-End
© 2008 Cisco Systems, Inc. All rights reserved. 14
Agregando Seguridad del Contenido a la RedDeeper + Wider = Mejor Visibilidad
Locking the Network Doors, but Email and Web Stay Open
Network Security
Content Security
Cross Layer, Cross Protocol Analysis of Email and Web Traffic
Port 25 Port 80
© 2008 Cisco Systems, Inc. All rights reserved. 15
Seguridad ayer, hoy y mañana
ASA – Todo en Uno
Agenda
Seguridad de Mensajeria y Web
SDN 3.0
Seguridad del EndPoint
Para Llevar
¿Qué es?El hacker crea un sitio falso (similar a uno conocido), y obtiene datos confidenciales.
Nuevas tendenciasPharming
Phishing especial – ingeniería socialAtaques por errata – p.ej. : googkle.com
1/3 de los sitios de phishing alojan malware
Tiempo medio en línea de un sitio de phishing es de: 3.6 días
El Phishing está cambiando
Fuente : Anti-Phishing Working Group
150 000 tipos diferentes de spyware
El 7% de los PCs corporativos están contaminados con un troyano
Registradores de pulsaciones del teclado (keyloggers): se han
multiplicado por 20 en 5 años, evolución actual: capturadores de
pantalla
Gran crecimiento de rootkits(herramientas diseñadas para
esconder otros códigos más maliciosos)
El Malware prolifera
El hacker toma control de forma remota de un PC gracias a un código malicioso durmiente que no tiene acción
inmediata. El hacker puede entonces comenzar un ataque remoto gracias a ese código.
El PC contaminado se convierte realmente en un zombi, siguiendo las órdenes del hacker.
200 000 nuevos PC contaminados por día
Vida media de un zombi : menos de 1 mes (2006)
Usos : denegación de servicios, ciber-extorsión, phishing, spam, etc.
Las redes zombis se están multiplicando
La red Storm
• La red bot más importante del mundo•1000 PCs contaminados se alquilaban por $220 en Alemania•1000 PCs contaminados en USA $110• Se alquilaban por hora, con soporte telefónico disponible
• Auto-expansivo: e-mails para reclutar y spam tradicional • Coordinado: Sincroniza spam de correo con sitios web de inicio• Peer-to-Peer: Usa redes P2P y flujo rápido• Reutilizable: Spam, Phishing, DDoS, Blog Spam• Auto-defensivo: lanza un DDoS a aquellos que tratan de localizarlos
¡El spam continúa creciendo!¡x4 en 2 años!
0
20
40
60
80
100
120
Oct-05 Dec-05 Feb-06 Apr-06 Jun-06 Aug-06 Oct-06 Dec-06 Feb-07 Apr-07 Jun-07 Aug-07 Oct-07 Dec-07
Date
Avg
Dai
ly V
olum
e (b
illio
ns)
La nueva técnica: URL spamDe las imágenes a los enlaces web
El spam continúa creciendo, pero el spam de archivosadjuntos se reduce
El URL spam continúa creciendo
(+ 253% en 2007 vs 2006)
Percent of Spam Containing
Infe
ccio
nes
de M
alwar
e
Factor E-mail
Factor web
Factores de amenazas de malware Cambiando del e-mail a la web
Malware y Spyware son el enemigo escondido
Predicciones para 2008El año del “Malware Social”
Las amenazas utilizarán cada vez más los sitios colaborativos y serán adaptativas e inteligentesMás ingeniería social, se aprovecharán del usuario final para saltarse los controles
El volumen de spam continuará creciendo sin límiteLos filtros deben aumentar sus tasas de capturaUna consolidación de los fabricantes resultaría eficaz
Continuará el uso de ataques combinados
Las defensas deben cambiarDe sistemas basados en firmas a sistemas de reputación
Seguridad Web | Seguridad Email | Gestión de la seguridad | Cifrado
La visión de IronPort®
Appliance de seguridad EMAIL
Appliance de seguridadWEB
Appliance deGESTIÓN de la
seguridad
IronPortSenderBase
GATEWAYS DE SEGURIDAD DE APLICACIONES ESPECÍFICAS
CLIENTS
BLOQUEA las amenazas
entrantes
PROTEGER los recursos
corporativosPrevención de Pérdida de Datos
Administración CENTRALIZADA
Internet
Appliance deCIFRADO
Internet
IronPort SenderBase®
• Estadísticas de más del 25% del tráfico mundial de e-mail
• Dispositivos de red de Cisco • Detección de amenazas y alertas
• Volumen de datos• Estructura del mensaje
• Quejas• Listas negras y blancas
• Datos off-line
Puntuación de reputación
+ de 90parámetros
Puntuación de reputación
• Listas negras y blancas de URL• Contenido HTML
• Información del dominio• “Malas” URLs conocidas
• Historia de los sitios web…
+ de 50parámetros
E-Mail Reputation Filters
Web Reputation Filters
Arquitectura C-Series
HERRAMIENTAS DE GESTIÓN
LA PLATAFORMA DE E-MAIL IRONPORT ASYNCOS™
DEFENSAANTI-SPAM
DEFENSAANTI-VIRUS
PREVENCIÓN DE PÉRDIDA DE DATOS
CIFRADO DEE-MAIL
Defensa anti-spam de IronPort
- Bloquea el 80% del spam en el gateway
- Uso de las puntuaciones de reputación de SenderBase
IronPort Reputation Filters IronPort Anti-Spam
-Tasa de captura : 97%
-Tasa de falsos positivos: 3/1 millón
- 80.000 actualizacionesautomáticas diarias
Reputación
Puntuación muy positiva (ej. entre +5 y +10)Buenos e-mails conocidos son entregados
SenderBase
Puntuación muy negativa(ej. entre -5 y -10) :La conexión es rechazada
Suspicious(ex. between
-5 & +5)
¿Quién? ¿Cómo? ¿Qué? ¿Dónde?
El cifrado IronPort PXE™Más fácil de usar, más fácil de desplegar
El gateway cifra el mensaje El usuario abre IronPort PXE en el navegador
El usuario se autentica y consigue la clave del mensaje
Cisco Registered Envelope Service
PasswordDescifra el mensajedesplegado
Mensaje enviadoal receptor
Llavealmacenada
IronPort Reputation FiltersDell Case Study
BUZONES DE CORREO PROTEGIDOS 100.000+
“IronPort ha aumentado la calidad y fiabilidad de nuestras operaciones de red, a la vez que reduce
nuestros costes.”— Tim Helmsetetter
Manager, Global Collaborative Systems Engineering and
Service Management,
DELL CORPORATION
Dell’s challenge:Dell currently receives 26 million messages per day
Only 1.5 million are legitimate messages68 existing gateways running Spam Assassin were not
accurate
IronPort’s solution:IronPort Reputation Filters block over 19 million messages per
day5.5 million messages per day scanned by IronPort Anti-Spam
Replaced 68 servers with 8 IronPort appliancesPrecisión de filtrado de spam aumentó por 10Servidores consolidados en un 70%Costes operativos reducidos en un 75%
50% del tráfico es “fácil de clasificar”Tráfico predecibleDominios reconocidos
Nº de sitios
Volu
men
de tr
áfic
o
50% del tráfico es “difícil de clasificar”110 millones de sitios, creciendo el 40% anualmenteMezcla de sitios legítimos, spyware y malware
Grancabeza
Larga cola
Tráfico WebLa larga cola se hace más larga
HERRAMIENTAS DE GESTIÓN
Plataforma de seguridad Web IronPort AsyncOS
Arquitectura S-Series
Sistemaanti-malware
Filtros de reputación Web
FiltrosURL
Monitorizaciónde tráfico L4
La tecnología de Reputación Web de IronPort determina lasnecesidades para escanear para el:
- Motor de descifrado- IronPort Anti-Malware System™
Escaneo inteligente
URLs solicitadas
Los buenos sitiosconocidos no son escaneados
Los sitios desconocidosson escaneados por uno o más motores
Los malos sitiosconocidos son bloqueados
IRONPORTWEB REPUTATION
FILTERS
IRONPORTWEB REPUTATION
FILTERS
SISTEMAANTI-MALWARE
SISTEMAANTI-MALWARE
MOTOR DE DESCIFRADOMOTOR DE
DESCIFRADO
Gestión de políticasGestión de políticas
Webroot
McAfeeMOTOR DVS
DE IRONPORTMOTOR DVS
DE IRONPORT
DECISIÓNMOTOR
“N”
Motor DVS de IronPort Defensa contra el malware multi-capa
Inspección profunda de contenidos
Escaneo de alto rendimiento- Escaneos paralelos- Escaneo de flujo
Motores de múltiples decisiones- Integrados, en la caja- Motores soportados:Webroot, McAfee
Actualizaciones automáticas
NO SE FÍE DE NOSOTROS…
¡¡PRUÉBENOS!!
⇒ Evaluaciones gratis de los appliances y el software
⇒ Suscripciones a alertas víricas :http://www.ironport.com/toc/
⇒ Para más información:[email protected]
© 2008 Cisco Systems, Inc. All rights reserved. 39
El Crecimiento de SPAM en Cisco2001
Cisco promedia 50 millón email entrante por mes
2004Cisco promedia 100 millón email entrante por mes
Jun. 2005 – Dic. 2005157 millón email entrante por mes
74% marcados como mensajes de amenazas
Jun. 2006 – Dic. 2006568 millón email entrante por mes363% aumento de email entrante YoY
95% marcados como mensajes de amenazas
¿Cuán Rápido Podemos Adaptar?
© 2008 Cisco Systems, Inc. All rights reserved. 40
Cisco On CiscoIronPort Protege el Negocio
Anti-Spam
Anti-Virus
Content Filtering
Mail Routing
Antes
Internet
Firewall
Email Server (MTA)
Groupware
Users
IronPort Email Security Appliance
Después
Internet
Users
Groupware
Firewall
Despliegue inicial“solo” filtrado de contenido material confidencial
HoyAnti-SpamAnti-VirusContent FilteringEmail Server (MTA)
© 2008 Cisco Systems, Inc. All rights reserved. 41
010
020
030
040
050
060
070
080
090
01,0
00
Num
ber o
f Mes
sage
sMillions
Jun-
05Ju
l-05
Aug-05
Sep-0
5Oct
-05Nov
-05Dec
-05
Jan-06
Feb-0
6Mar
-06
Apr-06
May-06
Jun-
06Ju
l-06
Aug-06
Sep-0
6Oct
-06Nov
-06Dec
-06
Jan-07
Months
Message Volume
AVSPAMSBRCLEAN
© 2008 Cisco Systems, Inc. All rights reserved. 42
Network and Content SecurityMejor Juntos
Soluciones de Seguridad integrada por toda la red
Internet
EndpointCisco Security Agent
Network Admission Control
Network & PerimeterFirewall, IPS
SSL VPN, Anti-X
Branch OfficeFW, IPS, VPN
Wireless SecurityRogue AP, IPS
IPC SecurityInfrastructure,
Call Management, Applications, Endpoints
Data CenterEMAILSecurity
Appliance
WEBSecurity
Appliance
SenderBase
Ironport amplia la solución con servicios de seguridad de mensajería y web