Tivoli Day 2011.Panel 2.1.Technologia Trend Micro w TEM CPM

Copyright 2011 Trend Micro Inc.

Jarosław Samonek, Country Manager

eMail: [email protected], Tel. 22 486 3455

Tivoli Endpoint Manager forCore Protection 10.5


Agenda

• Wyzwania stojące przed zabezpieczeniem

firmowych urządzeń końcowych

(endpoint’ów)

• Trend Micro Endpoint Security -

Innowacje i Wydajność

• Tivoli Endpoint Manager &

Core Protection Module 10.5

• Podsumowanie


To wydarzyło się jedynie w czerwcu 2011!

Gmail: ostrzeŜenie przed przejęciami kont w wyniku pishingu Chińskich hackerów (2.06)

Citi Bank: Dane 200 000

posiadaczy kart

płatniczych zostały

wykradzione (13.06)

MFW: wykradziono e-

m a i l e , d a n e , B a n k

Ś w i a t o w y o d c i ą ł

połączenie z MFW (12.06)

Sony: Topo

logia sieci o

raz 54MB kod

u

źródłowego zosta

ły opublikow

ane. (8.06)

MacDefender, fałszywy antywirus na Maca,

Lockeed Martin: wymiana haseł dla 100tys. pracowników, pochodna włamania do RSA. (01.06)


Zmiana metod, motywacji, skutków

•Metody

•od zuchwałych do “cichych i powolnych”(Aurora)

•Cel

•Od chaotycznych do ukierunkowanych

• (Stuxnet)•Skutki

•Od destrukcyjnych do katastrofalnych(WikiLeaks)

•MotywacjaOd sławy do korzyści finansowych(Zeus)

•Źródło: Forrester


Ciemna strona rynku IT

Usługa Cena

Spłata kaŜdej unikatowej instalacji adware’u $0.02-0.30

Pakiet Malware, wersja podstawowa $1,000 – $2,000

Pakiet Malware z dodatkokwymi usługami Zaczyna się od $20

WypoŜyczenie Exploit kita (1 godzina) $0.99 do $1

WypoŜyczenie Exploit kita (2.5 godziny) $1.60 do $2

WypoŜyczenie Exploit kita (5 godzin) $4, moŜe się róŜnić

Niewykrywana kopia Trojana (info-sealing Trojan) $80, moŜe się róŜnić

Atak typu Distributed Denial of Service (DDoS) $100 dziennie

10,000 zaatakowanych PC-tów $1,000

Skradzione dane uwierzytelniające do konta bankowego Zaczyna się od $50

1 milion świeŜo zdobytych emaili (niezweryfikowanych) $8 i więcej

•Dane z roku 2007

•http://us.trendmicro.com/us/trendwatch

/


Ataki Webowe

Zmiany środowiska ITKrajobraz zagroŜeń

• Błyskawiczny rozwój szkodliwego oprogramowania– Jeden nowy i unikatowy szkodliwy kod co 1.5 sekundy– Zysk napędza wyrafinowanie i “jakość” szkodliwego kodu

• Internet jest #1 źródłem infekcji– Nawet legalne strony rozprzestrzeniają malware– 90% nowego malware wykorzystuje Sieć

• Podatności są wykorzystywane szybciej– 74% ataków pojawia się tego samego dnia, co poprawki/patche– 89% ataków przeprowadzanych jest zdalnie przez sieć


57 205 7991,484

2,3973,881

6,279

10,160

16,438

26,598

2007 2009 2011 2013 2015

Aktualizacje pliku sygnatur trwają zbyt długo• To opóźnia ochronę na wszystkich klientach i serwerach

• To pozostawia krytyczną lukę w bezpieczeństwie

Pliki sygnatur stają się zbyt duŜe• To zwiększa wpływ na zasoby endpointów

• Nieprzewidywalny wzrost rozmiaru klienta

Poprawki nie mogą zostać wdroŜone na czas• Systemy pozostają naraŜone na ataki/exploity

• Średni czas wgrania poprawki wynosił 55 dni w 2009

Unikalne próbki zagroŜeń NA GODZINĘ

Zmiany środowiska ITWyzwanie: tradycyjne podejście zawodzi


Coraz trudniej jest zapewnić solidną ochronę endpoint’a• Firmy wydają miliardy dokładając rozwiązania, a w efekcie tworzą siatkę

pojedynczych produktów

• Największym wyzwaniem bezpieczeństwa stało się zarządzanie złoŜonością

ZłoŜoność zwiększa kosztyWyzwanie #1 dla przedsiębiorstw


• Stale rośnie liczba podatności– Ponad 6400 podatności krytycznych zaraportowano w 2009– 89% z nich jest zdalnie wykorzystywanych przez sieć

• Exploit’y są udostępniane krótko po wykryciu podatności– 74% tego samego dnia– 8% więcej niŜ jeden dzień później

• Mobilne endpoint’y są bezpośrednio naraŜone na ataki– Połączenia z Internetem z domu, hotelu, WiFi-Hotspot’ów– Niechronione przez zabezpieczenia wewnątrz sieci firmowej

Podatności w oprogramowaniu

Furtka dla szkodliwego kodu


Gdzie jesteśmy podatni?

Mijają dni czy miesią-ce zanim łaty zostanąudostępnione i mogązostać przetestowaneoraz wdroŜone:

• “Microsoft Tuesday”

• Oracle

• Adobe

Programiści nie są juŜdostępni, by naprawićbłędy i podatności:

• Nie pracują juŜ dla firmy

• Zajęci pracą nad innymi

projektami

Poprawki nie są juŜopracowywane:

• Red Hat 3 -- Paź 2010

• Windows 2000 -- Lip 2010

• Solaris 8 -- Mar 2009

• Oracle 10.1 -- Sty 2009

Nie mogą byćzałatane ze względu na koszty, regulacje, umowy SLA:

• POSy

• Kioski

• Aparatura medyczne


ZaawansowaneZaawansowaneukierunkowaneukierunkowane

zagrozagroŜŜeniaenia

UprzywilejowaniUprzywilejowanipracownicypracownicy

Zanik granicZanik granicwirtualizacjawirtualizacja, , ChmuraChmura

PowszechnoPowszechnośćść ii MobilnoMobilnośćść

Tradycyjne zabezpieczenia nie wystarczą…

•Source: Forrester


REPUTACJAPLIKÓW

REPUTACJAWITRYN

Trend Micro Smart Protection NetworkSecurity Made Smarter

Pozyskiw. info o zagr.

Partnerzy

• ISPs

• Routers

• Etc.

Endpoint

Bramka

SaaS/Managed

Cloud

Zarządzanie

Poza siecią

Komunikacja

ZagroŜenia

REPUTACJAPOCZTY

Korelacja iInfo zwrotna


Analiza zagroŜeńTrendLabs i

Malware Database

ReputacjaPoczty

IPIP

URLURL

ReputacjaWitryn

PlikiPliki

ReputacjaPlików

Zaatakowana strona wwwJedno kliknięcie na link…Fałszywe fakty (w poczcie)

Smart Protection Network Korelacja

TROJ_CHOST.E

Fałszywe video

Wiele mo

Ŝe

sięzdarzy

ćw

ciągu minuty


Ogólne wyniki AV-Test Enterprise

•Sty 2011 wyniki testów przeprowadzonych przez AV-Test.org (zakwal. do uŜytku

wewn.)

•Rezultaty z testu T+60


Skuteczniejsza Ochrona

Zmniejsza ryzyko• Reputacja plików

• Reputacja witryn

• Monitorowanie zachowań

Łatwość zarządzania

Zmniejsza koszty• DuŜa skalowalność = mniej

sprzętu

• Pojedyncza konsola zarządzania

• Zautomatyzowane procesy

Dopasowana ochrona

Chroni inwestycję• Świadomość VDI zapewnia ROI z projektu

wirtualizacji

• LŜejszy AV wydłuŜa komfortową ŜywotnośćPC/laptopa

• Elastyczne moduły do zarządzaniabezpieczeństwem i systemami

Tivoli Endpoint Manager + Core Protection 10.5 =

Pełna ochrona Endpoint’a


REPUTACJASTRON

•WEB PROTECTION

•Blocks Malware before

•It reaches the endpoint

REPUTACJAPOCZTY

Ochrona nowej generacji –Reputacja witryn


Jak działa WRS?

Serwer wysyła polityki ochrony stacjom roboczym.

Gdy uŜytkownik chce odwiedzićstronę internetową, klient wysyła zapytanie o jej reputację do TM, poprzez DNS lub HTTPS.

Baza WRS odpowiada odsyłając informacje o reputacji witryny.

Klient zgodnie z politykami pozwala lub blokuje dostęp do strony, a informacje o reputacji zatrzymuje w lokalnej bazie cache.

1

4

2

3


Ochrona nowej generacji –Reputacja plików

REPUTACJAPOCZTY

REPUTACJASTRON

REPUTACJAPLIKÓW


Lokalna reputacja plików i reputacja witryn

Sieć firmowa

Internet

Lokalny Smart Protection Server

Pytanie o CRC/URL

REPUTACJA PLIKÓW*

REPUTACJA WITRYN

• Ciągłe aktualizacje w czasie rzeczywistym mająmiejsce w chmurze

Pytanie o CRC/URL

Natychmiastowa odpowiedź

*Dostępne w CPM 10.5, lato 2011

Natychmiastowa odpowiedź

Przeniesienie chmury do ciebie:

• Zapewnia prywatność

• Poprawia wydajność

• Skraca czas uzysk. ochrony

Przeniesienie chmury do ciebie:

• Zapewnia prywatność

• Poprawia wydajność

• Skraca czas uzysk. ochrony


Zapobiega otwieraniu zainfekowanych plików

• Eliminuje wysiłek zarządzania sygnaturami• Zmniejsza wpływ na obciąŜenie zasobów endpoint’ów• UmoŜliwia dokładne zarządzanie ryzykiem

Reputacjaplików*

Blokuje dostęp do niebezpiecznej zawartości witryn

• Chroni zarówno w jak i poza siecią firmową• Obsługuje dowolną aplikację• Zmniejsza ekspozycję na współczesne zagroŜenia

Reputacjawitryn

WITRYNA

PLIK

POCZTA

Skuteczniejsza, Inteligentniejsza OchronaZmniejsza twoje ryzyko

*Dostępne w CPM 10.5

Od Q2 2011


PATCH

Problemem są niezałatanepodatności

ProblemMalware jest tylko symptomem

Rozwiązanie

Skuteczniejsza, Inteligentniejsza OchronaZmniejsza twoje ryzyko – Konwerg. Antimalware i Patch Manag.

• Anti-malware chroni do czasu udostępnienia poprawki

• Patch management łata podatność

• Pełny wgląd we wszystkieendpoint’y

• Zintegrowane raportowanie dlapodjęcia szybkiego, konkretnego działania

Holistyczna ochrona

ENDPOINT THREAT

LIFECYCLE

Podatność

AtakAnti-Malware

Zdrowy PC

Wgrywanie poprawek


Łatwiejsze do wdroŜeniaAktualizacje w chmurze, nie na endpoint’ach

• Rzadsze, lŜejsze dla klienta aktualizacje

• Łatwiejsze do wdroŜenia na wszystkichendpoint’ach

• Uwalnia zasoby na endpoint’ach

• WydłuŜa cykl Ŝycia PC/laptopa

• Lepsza wydajność, stabilnośći produktywność uŜytkownika

Łatwiejsze w zarządzaniuUpraszcza administrację

• Pojedyncza konsola zarządzania dla AV i Patch

• Mniej endpoint’ów zostaje zainfekowanych

• Automatyczne czyszczenie endpoint’ów, gdy to konieczne

• Łatwa migracja z aktualnego systemu ochrony

Łatwość zarządzaniaZmniejsza twoje koszty

WEB

FILE

EMAIL


Łatwość zarządzaniaZintegrowane raportowanie – twój świat wczasie rzeczywistym


Świadome wirtualizacjiZapobiega degradacji zasobów

• Integruje się z zarządzaniem wirtualizacją

• Wspiera Citrix XenDesktop oraz VMware View

• Szereguje operacje obciąŜające zasoby

• Zwiększa wskaźnik konsolidacji

• Maksymalizuje ROI wirtualizacji desktopów

Lekkie – mały rozmiarUwalnia zasoby endpoint’a

• ZrównowaŜony rozmiar klienta

• Modułowa budowa

• ½ obciąŜenia zasobów konkurencji

• Pozwala wydłuŜyć Ŝywotność PC/laptopa o 1 rok

Dopasowana ochronaChroni twoje inwestycje

Number of Virtual Machines at constant IOPS


Wielowarstwowe zapobieganie włamaniom (HIPS)

Ochrona w warstwie aplikacji

• Monitorowanie zachowań*– Stoi na straŜy klienta CPM i innych aplikacji– Monitoruje procesy i aplikacje pod kątem podejrzanego zachowania

• Zmiany w newralgicznych plikach systemowych (np. rejestr, startup, hosts-file)

• Zmiany w Internet Explorerze• DLL injection• Inne

*Dostępne w CPM 10.5, lato 2011


Endpoint Security Platform for Core Protection 10.5 Podsumowanie korzyści

Bezpieczniejsza, Inteligentniejsza ochrona Endpoint’ów• Najlepsza ochrona w branŜy zapewniana szybciej, zmniejszająca czas ekspozycji*

• Ciągłe śledzenie statusu; natychmiast. wymusz. polityki dla nowych endpoint’ów

• Lekkie pakiety aktualizacji + inteligentne przełączanie oznacza, Ŝe nawetniedostępne/niepodłączone endpoint’y są aktualizowane

Łatwość zarządzania• Skaluje się do 100,000 uŜytkowników na JEDEN serwer zarządzający

• Pojedyncze okno podglądu – róŜne zespoły IT/OPS widzą te same dane w tym samym czasie

• Bardziej zautomatyzowane procesy dbają o aktualizację i zdrowie endpoint’ów

Spokój• Pełny wgląd w endpoint’y poprzez zintegrowane raporty czasu rzeczywistego

• Łatwość zapewnienia i wykazania zgodności

• Ochrona twoich inwestycji – ROI wirtualizacji, wydłuŜenie Ŝywotności PC/laptopa

*NSS Labs,

AVTest.org


Czy Trend Micro zobaczy

moje pliki?

To przeciąŜymoją sieć!

Czy CPM odpytuje chmurę

o kaŜdy plik?

Jak to zadziała, gdy zmieniam lokalizację?

Jak szybkie to jest?

Jak jestem chroniony BEZ podłączenia do sieci firmowej?

Nie ma juŜ więcej sygnatur na

endpoint’ach?


Dopasowana ochrona: Infrastruktura ITInnowacje Trend Micro pozwalają korzystać z platform IT następnej

generacji

•1szy produktchroniący serwer LAN

•1szy produkt chroniącybramkę

•1sze

rozwiązanie do zarządzania zagroŜeniami(sieciowe)

•1szy produkt do ochrony Netbooków

•1sze

zintegrowane zabezpieczeniewirtualizacji

•

•1sze

zabezpieczenie przetwarzania w chmurze(juŜ dostępne)

•Powrót doDopasowana

ochrona

Copyright 2011 Trend Micro Inc. 29

Dopasowana ochrona: Krajobraz zagroŜeń

NOWEzagroŜenie co

1.5sekundy

•New

Uni

que

Sam

ples

•Source: AV-Test.org, Nov‘’09

Mnogość zagroŜeń, ukierunkowanych na zysk

•74,729,250

•5,296,971,048

•5,214,162,936 •76,431,648 •6,376,464

Blokujemymiliardy

zagroŜeńdziennie

Wskaźnik blokowania Malware*

•September, 2009

•* Data referenced from the NSS Labs report: Endpoint

Security

Socially Engineered Malware Protection

Comparative Test Results

Corporate Products

#1w testach

oddających rzeczywiste

warunki

•Back to Security that Fits

Smart Protection Network zatrzymuje zagroŜenia w chmurze, zanim

staniesz się ich ofiarą

Trend Micro zapewnia wiodącą w branŜy ochronę przed rzeczywistymi

zagroŜeniami


Dziękuję!Jarosław SamonekeMail: [email protected], Tel. 22 486 3455

Technology

Tivoli Day 2011.Panel 2.1.Technologia Trend Micro w TEM CPM