27
10-05-2004 Internet Security Systems Stefano Volpi
10-05-2004Internet Security Systems
Stefano Volpi
Internet Security Systems – copyright 2003
LSASS Exploit / Sasser Worm Timeline
Microsoft Advisory April 13, 2004Internet Scanner Updated XPU 7.25 April 13, 2004Proventia Updated XPU 22.15April 13, 2004
Sunday,April 25, 2004
Worm released
Saturday,May 1, 2004
Internet Security Systems – copyright 2003
Perché ISS?
• Headquarter ad Atlanta - USA
• Leader mondiale riconosciuta nelle tecnologie di
protezione e di security intelligence
• Focalizzata unicamente sulla sicurezza
• Fondata nel 1994
• 1998 IPO – Quotata al NASDAQ: ISSX
• Oltre 1.200 dipendenti in 27 paesi
• Oltre 11.000 clienti in tutto il mondo
• Nel 2002 fatturato di 240,000,000 $
• Saldo attivo, senza debiti, e più di 230 milioni di
dollari in cassa
Internet Security Systems – copyright 2003
Perché ISS?- Leadership di mercato1994 – Primo tool di analisi delle vulnerabilità1996 – Primo prodotto commerciale di vulnerability assessment1997 – Il team X-Force di ISS per primo si occupa della ricerca delle
vulnerabilità e delle minacce principali1997 – Commercializzazione del primo sistema di intrusion detection 1999 – Leader mondiale nel mercato IDnA2000 – Pioniere nei Managed Security Services2001 – Primo prodotto gigabit di intrusion protection 2001 – Primo sistema inline di intrusion prevention 2002 – Prima piattaforma di protezione che unisce network, server,
desktop & laptop2003 – Prima a fornire servizi di protezione garantiti 2003 – PROVENTIA…
Internet Security Systems – copyright 2003
Agenda
• I Problemi? …… rischi in Forte Crescita!
…applicazioni troppo complesse!• La Soluzione? …
…semplificare la Protezione !
• Perche’ ISS? … … e’ leader Worldwide!
Internet Security Systems – copyright 2003
I pericoli derivanti dai cyber crime
Protection • Quando SQL Slammer ha colpito, una delle più grandi banche del mondo ha perso 13.000 connessioni ATM e di business per 12 ore, creando un effetto a catena ai danni delle aziende clienti.
• Un’importante azienda di abbigliamento è stata citata per non aver protetto le informazioni relative ai propri clienti presenti sul proprio sito web per milioni di dollari.
• Dei criminali si sono spacciati per uno dei principali produttori automobilistici rubando crediti finanziari a 13.000 clienti.
Intrusion DetectionIntrusion Protection
Anti VirusVulnerability Assessment
Anti SpamContent Filtering
VPNFirewall
Internet Security Systems – copyright 2003
Vulnerabilities and Incidents Accelerate
Source: Carnegie Mellon Software Engineering Institute – CERT Coordination Center
0
10,000
20,000
30,000
40,000
50,000
60,000
70,000
80,000
90,000
1988 1990 1992 1994 1996 1998 2000 2002
0
500
1,000
1,500
2,000
2,500
3,000
3,500
4,000
4,500
1995 1996 1997 1998 1999 2000 2001 2002
Internet Security Systems – copyright 2003
patch……?
Company confidential
Internet Security Systems – copyright 2003
Human Resources
SystemsManagement
R&D
InternetFinance
Cosa c’e’ in gioco? CorporateRemote Users VPN
DSL or Cable Modem
E-Commerce B2B Partner
Cell Phone
PDA
Frodi commesse dall’INTERNO ed ESTERNO in Europa
External fraud41%
Internal fraud59%
European Economic Crime Survey 2001PriceWaterhouseCoopers
Internet Security Systems – copyright 2003
Costi Reali
Internet Security Systems – copyright 2003
Conformità alle norme
E’ sufficiente dimostrare le giuste procedure?
“Testo Unico sulla Privacy”
Internet Security Systems – copyright 2003
“…..non succedera’ a me.”
E’ questo il corretto approccio alla security?
Internet Security Systems – copyright 2003
““quindi? Io sono gia’ protetto daquindi? Io sono gia’ protetto dafirewalls e anti-virus.”firewalls e anti-virus.”
• Ogni anno, 1 organizzazione su 2 viene attaccata con successo da hackers.
• 99% di queste organizzazioni hanno installato sia tecnologie di Firewalling sia tecnologie di Antivirus.
Security Technology
Source: 2003 CSI/FBI Computer Crime & Research Survey
Internet Security Systems – copyright 2003
..e con queste tecnologie, non siete ancora protetti!
Firewalls and anti-virus were not capable of
stopping any of the last 4 major internet attacks
BLASTERBLASTER
SLAMMERSLAMMER
CODE REDCODE RED
NIMDANIMDA
Firewalls and anti-virus were not capable of
stopping any of the last 4 major internet attacks
Internet Security Systems – copyright 2003
Maggiore dipendenza da una infrastruttura sempre piu complessa
Internet Security Systems – copyright 2003
Obiettivi di un Cliente
Life Cycle of Security Needs
ASSESSArchitect Design
DEPLOYInstall Configure
MANAGEManage Educate
SECURITYNEEDs:
POLICY
AUTHENT. & ENCRYPT (PKI, Idcard)
ANTI VIRUS
AUDIT/VA
INTRUSIONDETECTION
(IDS)
FW/VPN
Livello di Sicurezza?
Total Cost of Ownership?
Tempo di Reazione?
Internet Security Systems – copyright 2003
Customer Challenges
Desktop Protection
ManagementIncidence Response
Analyses & Planning
Command & Control
Server Protection
Network Protection
Internet Security Systems – copyright 2003
Universal Protection Agent
Internet Security Systems – copyright 2003
Enterprise Security: The Next Generation
Non intelligente,Costoso
& Complesso
Intelligente, Semplice
& a Basso Costo
Internet Security Systems – copyright 2003
Internet
Il posizionamento nel contesto della security
Virtuale Fisica
Intrusion DetectionIntrusion Protection
Anti VirusVulnerability Assessment
Anti SpamContent Filtering
VPNFirewall
BiometricsEncryptionPKI
TokensSmart CardsBack-up Systems
Porte blindateGuardieBadgesSistemi antincendiotelecamere
Bad Guys OUT Bad Guys OUT
Good Guys IN
Internet Security Systems – copyright 2003
Cosa hanno tutti questi prodotti in comune?
• Analizzano il contenuto del pacchetto (sia l’ header,che il payload)
• DECIDONO cosa fare del contenuto• Bloccano/autorizzano il passaggio dei
pacchetti• Re-assemblano il pacchetto• Fanno un routing del pacchetto• Creano un evento attaverso un Log• Hanno una consolle di gestione• Vengono installati e configurati
• Apre & riassembla un pacchetto IP
Internet Security Systems – copyright 2003DesktopDesktop
Perimeter/NetworkPerimeter/Network
Security Approach
Payload
Header
TCP/IPPacket
• OpenOpen• AnalyzeAnalyze• Block/allowBlock/allow• Re-assembleRe-assemble• LogLog
PerimeterPerimeterFirewallFirewall
ManageManageManageManage
• OpenOpen• AnalyzeAnalyze• Block/allowBlock/allow• Re-assembleRe-assemble• LogLog
Gateway Gateway Anti-ViralAnti-Viral
ManageManageManageManage
• OpenOpen• AnalyzeAnalyze• Block/allowBlock/allow• Re-assembleRe-assemble• LogLog
IDS/IPSIDS/IPS
ManageManageManageManage
• OpenOpen• AnalyzeAnalyze• Block/allowBlock/allow• Re-assembleRe-assemble• LogLog
Content FilterContent Filter
ManageManageManageManage
• OpenOpen• AnalyzeAnalyze• Block/allowBlock/allow• Re-assembleRe-assemble• LogLog
Anti-SpamAnti-Spam
ManageManageManageManage
• OpenOpen• AnalyzeAnalyze• Block/allowBlock/allow• Re-assembleRe-assemble• LogLog
DesktopDesktopAnti-ViralAnti-Viral
ManageManageManageManage
• OpenOpen• AnalyzeAnalyze• Block/allowBlock/allow• Re-assembleRe-assemble• LogLog
DesktopDesktopFirewallFirewall
ManageManageManageManage
Server IDS/IPSServer IDS/IPS
ManageManageManageManage
ServerServer
• OpenOpen• AnalyzeAnalyze• Block/allowBlock/allow• Re-assembleRe-assemble• LogLog
Internet Security Systems – copyright 2003
Proventia: un’architettura di protezione unificataProventia identifica e blocca
automaticamente tutte le minacce in rete, semplificando la sicurezza aziendale e riducendo
costi e rischi per il business
100%
Internet Security Systems – copyright 2003
Proventia M: Multi-Function Network Security Appliance
Content Blades
Firewall/VPN
Anti-Virus
Network Protection
Anti-Spam
Content Filtering
Internet Security Systems – copyright 2003
X-FORCE Security Intelligence
High Risk Advisories, 1998-2003
Source: Public Web Sites
Internet Security Systems – copyright 2003
Dalla protezione manuale…
Company confidential
Internet Security Systems – copyright 2003
Virtual Patch™: Riassumere il controllo del cliente
Dynamic threat protection provides a buffer of time via the virtual patch whereby newly discovered exposures are addressed before scheduled patches and upgrades can be applied.
Company confidential
