Trend Micro partnernap - Deep Security Soós Zoltán Arrow Ecs kft.

Történeti áttekintés •2004-ben megalakult a Third Brigade nevű kanadai cég. •Elsősorban nagyvállalati termékeket fejlesztettek. •A “biztonság mindenek előtt”, és a könnyű menedzselhetőség mindig fontos volt a cég számára. •Mint sok minden más, ez a történet is egy akvizícióval zárult le. •A Trend Micro megvásárolta 2009-ben a céget. •A két cég együttműködésének a terméke aTrend Micro Deep Security. • én megjelenik a Deep Security 7.5

Gartner szerint a világ...

A fenyegetésekről számokban •100 milliárd USD kárt okozott 2008-ban az online bűnözés •285 millió személy adatait lopták el •Az esetek 75%-a felderítetlen marad •A Harvard egyetem ellen 7 másod- percenként kíséreltek meg betörést

Mi is a Trend Micro Deep Security... •TM weboldal: Deep Security provides advanced protection for systems in the dynamic datacenter—from virtual desktops to physical, virtual or cloud servers. It combines intrusion detection and prevention, firewall, integrity monitoring, log inspection and agentless anti-malware capabilities in a single, centrally managed enterprise software solution. •Arrow weboldal: Kiszolgáló- és alkalmazásvédelem az adatközpontok számára. •A Deep Security egy mind fizikai, mind virtualizált környezetben használható, egyedi, védelmi szoftver, melynek a segítségével bármely gép megvédhető a támadások ellen. Tartalmaz automatikus Agent telepítési lehetőséget, tűzfalat, IDS megoldást, logelemzést, változásfigyelő modult, és számos malware elleni védelmet.

Trend Micro Deep Security képekben •Teljes körű csomagellenőrzés, a behatolás észlelése és megelőzése, integritás figyelés, alkalmazások ellenőrzése, stateful inspection alapú, kétirányú szűrést végző tűzfal, valamint a naplózás ellenőrzése

A Deep Security architektúra I. •Deep Security Manager – központi menedzsment felület •Deep Security Agent – Agent a védendő gépekre (mindegy, hogy kliens vagy szerver, fizikai vagy virtuális) Deep Security Virtual Appliance – VMWare-re telepíthető szerver komponens, mely speciálisan az adott VMWare gépen lévő gépek védelmét valósítja meg (VMSafe API-t használ) •Security Center – A Trend Micro támogatásával működő szakértői csoport, mely cloud-computing-ot valósít meg (minimális a lokális erőforrás használat)

A Deep Security architektúra II.

Támogatott platformok •Operációs rendszer –Microsoft Windows 2000 (32 bit), XP (32 bit/64 bit), Embedded XP, Windows 7, Windows Vista (32 bit/64bit), Windows Server 2003 (32 bit/64 bit), Windows Server 2008 (32 bit/64 bit) –Solaris OS 8, 9, 10 (64 bit SPARC, x86) –Linux Red Hat Enterprise 3.0 (32 bit), 4.0, 5.0 (32 bit/64 bit), SUSE Enterprise 9, 10 (32 bit) –UNIX AIX 5.3, HP-UX 10, 11i v2, 11i v3 (részleges) •Virtualizációs platformok –VMware ESX Server 4, VMWare vSphere 4.1 –Citrix XenServer Guest VM –Microsoft HyperV Guest VM –Sun Solaris 10 op.rendszer partíciók

Deep Security Agent •Network layer tűzfal •Deep Packet Inspection (DPI) IPS modul •Integrity Monitoring modul •Log Inspection modul

Deep Security Virtual Appliance •4118-as port, 20 GB, 256 MB RAM, Ubuntu operációs rendszer

A virtualizáció plusz kockázata •Antivírus lokálisan? •IPS – lokálisan, vagy hardveres? •Hogyan ellenőrzöm le az éppen kikapcsolt VMWare image- ket? •Mit lehet tenni a beépített vSwitch-el? •Könnyedén másolhatóak a VMWare image-k, de mi van, ha az egyik vírust tartalmaz? •Hogyan optimalizálhatom az erőforrás használatot?

Deep Security egyedi előnyei •Recommendation scan (és a hozzá tartozó javítás) •Egyedi signature-ok telepítési lehetősége •Role-based autentikáció •Komplett workflow (ticketing rendszerrel) •HOST IPS és Deep Packet Inspection (DPI) •Network és Application layer firewall, vulnerability management •File integrity monitoring •Scan időzítés véletlenszerűvé tehető •VMWare esetén lehetséges whitelisting image alapján csak a változást scan-elni (másodpercek alatt végez egy teljes géppel) •Log inspection •Könnyű menedzselhetőség

Deep Security hiányossága - volt •Anti-malware beépítve, viszont az antivírus megoldás nem volt integrálva – én megjelent a 7.5 verzió, melyben már van vírusvédelem is (VMware vShield Endpoint API) –Eddig is egy gépre telepíthető volt a Deep Security Manager és az OfficeScan Server (a kliensek is működnek egy gépen)

Deep Security Manager hardver követelmények •Microsoft Windows Server 2008 (32- or 64-bit), vagy Microsoft Windows 2003 Server SP2 (32- or 64-bit) •4 GB HDD (NTFS) •2 GB RAM •Apache Derby database engine (installed by default), Oracle 10g, Oracle 10g Express Edition, Microsoft SQL Server 2008 SP1, Microsoft SQL Server 2005 SP2 or SP3, Microsoft SQL Server 2005 Express •4118 port (Deep Security Manager to Deep Security Agent) •4119, 443 (Deep Security web console communication) •4120 (Deep Security Agent to Deep Security Manager) •Mozilla Firefox 3 or later, vagy Microsoft Internet Explorer 7.0 or later

Deep Security Manager telepítése •Next, Next, Finish jellegű •Az adatbázis szerver típusát kell megadni •A license kulcs szükséges a telepítéshez

Deep Security Manager konzol • :4119/

Felhasználók, adminisztrátorok beállítása

Deep Security Manager frissítése •Először mindig frissítsük az adatbázist, az Agent és a Manager verziókat is (ehhez egy felhasználó név, jelszó páros szükséges)

License-k ellenőrzése

Deep Security rendszerbeállítások

Deep Security Virtual Appliance telepítése •A Deep Security Manager-t hozzá kell rendelni a VMWare vCenter-hez •A Prepare ESX Server menüvel elő lehet készíteni a VMWare szervert •A Deploy Appliance menüvel telepíteni lehet a virtuális szervert •IP címet kell rendelni a szerverhez •Aktiválni kell a kiszolgálót •Aktiválni kell a védelmi szabályrendszert

Deep Security Agent telepítése •.msi file-ok (OS specifikusak) megtalálható a Deep Security Manager szerveren –Software distribution programmal is telepíthető –Egyesével az.msi file-ok másolásával •A Deep Security Manager konzolról hozzá kell adni az Agent-et a listához

Deep Security Manager Discover •Felderíteni a hálózaton lévő gépeket

Assign Security Profiles •Az Agent-ekhez hozzárendeljük a szabályrendszert

Security Profiles •A csoportokhoz hozzárendelhető szabályrendszerek

Agent konfigurálása •Activate / Reactivate •Check status •Update now •Get events now •Clear warning/errors •Lock •Upgrade Agent software •Scan for open ports •Scan for recommendations •Clear recommendations •Scan for integrity changes •Rebuild baseline •Move to group •Assign Security profile •Assign asset value

Scan for recommendation •Melyek azok a sérülékenységek, melyek relevánsak az adott gépen •Időzíthető is

Integrity Monitoring •Egyes rendszerszintű beállítások változását vizsgálja a klienseken (registry, service-k állapota, dll file-ok, stb.) •Kell egy baseline scan •Közös image esetén könnyebb a használat •Lehet online is •Azonnali riasztás is küldhető

Tűzfal szabály létrehozása •Name: Deny Inbound Telnet •Action: Deny •Priority: 3 – High •Direction – Incoming •Frame Type: IP •Protocol: TCP •Packet Source (IP and MAC): Any •Packet Destination (IP): Any •Packet Destination (MAC): Any •Packet Destination Port: Telnet •Any Flags: checked

Deep Secuirty Manager riportok •Csatolva található egy példa riasztás •Csatolva található egy példa riport

Események továbbítása - SIEM •Képes nem csak a Deep security manager adatbázisába logolni, de syslog-on keresztül, más SIEM megoldásokba is: –RSA Envision, –ArcSight, –Intellitactics, –NetIQ, –Q1Labs, –Loglogic

Compliance •PCI DSS •FISMA •HIPAA

Szoftver demó célra • eb/1857_TrendMicro_DeepSecurity.htmlhttp:// eb/1857_TrendMicro_DeepSecurity.html • (csak partnereknek van azonosítójuk) •Kérhet tőlünk is:

Elérhetőségeink •Általános •Arrow ECS kft. • •Trend Micro specifikus • hphttp:// hp • roducts.phphttp:// roducts.php • •Havi hírlevél (feliratkozás a

Kérdések