Il Content Security dall'ambiente fisico al virtuale : come approcciare le nuove sfide?

Transcript

1 Il Content Security dall'ambiente fisico al virtuale : come approcciare le nuove sfide? Alessio L.R. Pennasilico - apennasilico@clusit.it Gastone Nencini - gastone_nencini@trendmicro.it Security Summit 10 Giugno 2010 SGM Conference Center, Roma

2 Alessio L.R. Pennasilico Security Board of Directors: Associazione Informatici Professionisti Associazione Italiana Professionisti Sicurezza Informatica CLUSIT Italian Linux Society, LUGVR, Metro Olografix, Sikurezza.org Hackerʼs Profiling Project, CrISTAL 2

3 Gastone Nencini Senior Technical Manager South Europe 3

4 IT Security... Un inutile impedimento che rallenta le comuni operazioni e danneggia il business? 4

5 IT Security... O prevenzione e risposta ad eventi che danneggerebbero il business in modo peggiore? 5

6 Evoluzione La tecnologia si evolve e con essa anche le minacce! 6

7 Content Security SPAM/SPIT Phishing/Vishing Malware Botnet WebThreats DDOS 7

8 Malware Virus Worm Keylogger Trojan Dialer? Spyware Backdoor 8

9 Navigazione Queste minacce possono essere inconsapevolmente scaricate in maniera attiva dagli utenti Oppure possono essere infettati i client utilizzando vulnerabilità note 9

10 Minacce classiche Software Vulnerability Exploits Patch Management Web Application Threats Policy & Compliance System & Data Integrity 10

11 Perché virtualizzare? Administrative overhead Risparmio sui consumi Scalabilità Flessibilità Disaster recovery facilitato 11

12 Virtualizzazione 12

13 Security Cosa cambia? 13

14 HyperVisor Tipo 1 (bare-metal, nativo) Eseguito direttamente sull hardware del sistema es: iseries, zseries, VMWare ESX, XEN Tipo 2 (hosted) Eseguito sul normale sistema operativo es: VMWare Server, Parallels Desktop 14

15 Parent exploit Alcune vulnerabilità di prodotti di virtualizzazione permettono di prendere possesso dell host a partire da una VM 15

16 Reti Virtuali 16

17 Firewall Serve Non difende da tutto e da tutti Quello di frontiera non deve essere virtualizzato Possono esistere firewall virtuali per segmentare 17

18 Perimetro Quale è il perimetro dell azienda? WiFi - VPN - Laptop - SmartPhone 18

19 Configurazioni comuni 19

20 VoIP Traffico Real Time (continuity) Traffico prioritizzato (QoS) 20

21 Inter-VM traffic Chi controlla questo traffico? Porte di monitor fisiche vs virtuali 21

22 vmotion Alcuni PoC hanno dimostrato la possibilità di manipolare le VM durante le live-migration 22

23 VM Sprawl Security weaknesses replicate quickly Security provisioning creates bottlenecks Lack of visibility into, or integration with, virtualisation console increases management complexity 23

24 Dormant VMs Template e Backup Non ci sono agent attivi / possono essere infettate Firme di IPS/Antivirus obsolete Malware VM-aware Nessun isolamento tra anti-malware e minacce 24

25 Storage Contiene tutti i dati aziendali 25

26 Data Loss Prevention Perdita di dati docuta ad infezione / intrusione accidentale o pilotata (competitor/disgruntled) E solo la non disponibilità il problema? 26

27 Social Engineering Non importa il vettore (mail, chat, social network) Basta convincere l utente a rilasciare alcune informazioni riservate 27

28 Resource contention Eseguire contemporaneamente su troppe macchine operazioni onerose può causare gravi problemi di performance Antivirus / Backup / Scan 28

29 VM Mobility Dormant Active AV App AV App AV App OS OS OS Network IDS / IPS vswitch vswitch vmotion & vcloud: Reconfiguration required: cumbersome VMs of different sensitivities on same server VMs in public clouds (IaaS) are unprotected 29

30 Patch Gestione puntuale Gestione automatica Problemi automatici? Virtual patching Host patching 30

31 Piattaforme Molti OS diversi tra loro Necessità di uno strumento unificato 31

32 Gestione integrata Infrastrutture complesse Gestione complessa? 32

33 Minacce? 34% of all data breach attacks exploited Web applications Verizon 75% of attacks take place at the application layer Gartner 33

34 Compliance PCI/DSS 34

35 Perché compliance? 81% delle intrusioni avvengono su reti che non sodisfano i requirement delle più diffuse norme/best practice / guidelines Gartner 35

36 Minacce previste 30,000 22,500 15,000 Il problema del volume Aumento previsto in campioni di minacce ALL'ORA (previsioni prudenti) Entro il 2015, all'anno 7, Copyright Trend Micro Inc.

37 Conclusioni Le minacce da affrontare sono molte e spesso non banali da gestire La tecnologia supporta il lavoro del CSO Purtroppo si rende sempre necessario fare hardening del personale oltre che delle macchine 37

38 Web-o-Grafia

39 These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can copy, modify, or sell them. Please cite your source and use the same licence :) Grazie dell attenzione! Domande? Alessio L.R. Pennasilico - apennasilico@clusit.it Gastone Nencini - gastone_nencini@trendmicro.it Security Summit 10 Giugno 2010 SGM Conference Center, Roma