Tecnimap 2002

1
Tecnimap 2002
Novedades de Trend Micro 1ª Gestión proactiva y
centralizada de códigos maliciosos más allá de
la protección Multicapa

• Santiago Roncero
• Director Comercial España y Portugalsantiago_ronc
  ero_at_trendmicro.com

2
Agenda

• Visión general Trend Micro
• Evolución amenazas Virus
• Estrategia de protección Empresarial
• Visión de Trend Micro

3
Instantanea de Trend Micro

• Líder en mercado de software de antivirus y
  control de contenido
• Establecida en USA en 1988
• Oficina Principal en Tokyo, Japon
• Mas de 1800 empleados en 23 paises (Oficina en
  España desde 2001)
• Sexta mayor empresa de software de seguridad en
  Internet (IDC 01)
• 241M de ingresos en 2001, con un crecimiento del
  43
• Equipos de Investigacion y Desarrollo de
  Antivirus con mas de 250 ingenieros focalizados
  en este area
• Disponemos del 63 del Mercado de Antivirus de
  Gateway (IDC 01)
• Cotizacion en Bolsa
• Japanese Stock Market (4704) - 1998
• NASDAQ (TMIC) - 1999

4
Visión global de Trend Micro
Unidades de Negocio
5
Visión general Trend Micro
Líder de Mercado en el segmento de Servidores
Líder de Mercado en el segmento de Gateway
Source IDC 2002 Antivirus Software A
Segmentation of the Market
6
EMPRESA FUERTE BASADA EN EL CLIENTE

• AOL/Time Warner
• PaineWebber, Inc
• UPS
• Bank of America
• Global Crossing
• Lucent Technologies
• Boeing
• Verizon Wireless
• NCR
• Office Depot
• Lockheed Martin
• Bell South
• Bristol Myers Squibb
• Carolina Power Light
• CIBC (Canada)
• CitiGroup
• GEICO
• QVC
• Rite Aide

• Pfizer
• Georgia Pacific
• Northwestern Mutual Life
• Cisco Systems
• EDS
• Kmart
• CapitalOne
• Zurich Insurance
• Tupperware
• France Telecom
• Alcatel/Alcanet
• Cadbury Schweppes
• Deutsche Bank London
• Chase Manhattan
• Motorola
• Chicago Tribune
• Volvo
• GMAC
• CBS/Viacom

• ATT
• US Dept. of Justice
• US Treasury Dept
• US State Dept.
• US ARMY
• US Air Force
• NASA
• Social Security Admin.
• NIH (National Institutes of Health)
• Chicago Public Schools
• Coca Cola
• Panasonic USA
• Sun Chemical
• Volvo Sweden
• Allied Signal
• SITA
• State Farm Insurance
• General Mills
• Universal Studios

7
FUERTE PRESENCIA EN CUENTAS ESPAÑOLAS

• BANC SABADELL
• EROSKI
• EMPRESARIOS AGRUPADOS
• AENA
• ACERINOX
• EPRINSA
• TELEFONICA DATA ESPAÑA
• BANCO ATLANTICO
• EUROPA PRESS
• DELOITTE TOUCHE
• BANCO TOTTA ACORES (PORTUGAL)
• EUROP ASSISTANCE
• CAJA DE AHORROS DEL MEDITERRANEO
• VANGUARDIA DIGITAL
• SEMA GROUP
• MINISTERIO DE JUSTICIA
• NETJUICE
• CEPSA
• CASINOS DE BARCELONA

• TELEFONICA MOVILES
• TERRA MOBILE
• JUNTA DE ANDALUCIA
• CAIXA PONTEVEDRA
• GAMESA
• CAJA ESPAÑA
• CASA
• MUTUA MADRILEÑA
• MINISTERIO DE PRESIDENCIA
• MINISTERIO DE ASUNTOS EXTERIORES
• CEDEX
• BAYER
• DIPUTACIÓN DE BARCELONA
• SERVICIO CATALAN DE LA SALUD
• IBERIA
• TELECEL (PORTUGAL)
• OPTIMUS (PORTUGAL)
• UNIVERSIDAD DE BARCELONA
• UNIVERSIDAD DE LA CORUÑA

8
Mercado de Universidades Sep-02
9
Our Alliances
10
PARTNERS
Nuestros Partners Tecnologicos
11
Agenda

• Visión general Trend Micro
• Evolución amenazas Virus
• Estrategia de protección Empresarial
• Visión de Trend Micro

12
Evolución de los Virus
Las amenazas se han ido trasladando al gateway
IDC, 2002
13
Evolución de los Virus
825 Notificación primera infección.
829 Llega a la empresa.
830 Comienza la propagación.
832 Servidor ficheros infectado.
835 Servidor correo infectado.
837 No hay funciones admin.
845 Se cae la red.
14
Evolución de los Virus
Los ataques a las redes
2. Ataque HTTP
3 Usuario remoto se conecta. Unidades compartidas
15
Agenda

• Visión general Trend Micro
• Evolución amenazas Virus
• Estrategia de protección Empresarial
• Visión de Trend Micro

16
Estrategia de protección Empresarial

• El 96 de las corporaciones han desplegado
  software antivirus desktop
• 4 Billones gastados en un año en productos
  antivirus
• Todos los productos principales son certificados
  para detectar el 100 de los virus in the wild

Así que... Por qué son los virus todavía la
Amenaza nº 1?
La seguridad Desktop por sí sola no es Suficiente!
17
Estrategia de protección Empresarial 1 Fase
(año 1996)
Office Scan
Trend Labs
Inter Scan Virus Wall
Server Protect
Office Scan
Inter Scan Virus Wall
Server Protect
Trend Mirco Control Manager
Scan Mail

• TMCM

• Scan Mail

18
Qué hacen nuestros competidores?
Competitors solution Border Security Suit
Firewall / IDS
Internet
Internet Gateway
File
eMail / Groupware
Trend Suite Multicapa EPS Inside firewall
Virus Infection Lifecycle
Client PC
28
19
Cómo podemos hacer más fácil la vida a las
compañías?
20
Estrategia de protección Empresarial
Productos
Herramienta de Gestión / Framework
Trend Micro Control Manager
Servicio
Limpieza
OPP
Base de Conocimiento
TrendLabs
21
InterScan, protegiendo el gateway de la empresa
1
Fuente IDC, sept. 2002
22
InterScan, moving forward
Las necesidades están cambiando y requieren
separar el correo electrónico del filtrado web
InterScan VirusWall
Una solución para protección de correo
electrónico y web
23
Soluciones para Gateway

• InterScan VirusWall
• Solución antivirus para gateway que escanea
  tráfico
• SMTP, FTP y HTTP.
• Filtrado de contenidos para NT, Solaris y Linux
  con eManager.
• Esta disponible tambien para AIX y HP-UX.
• InterScan Messaging Security Suite
• Gestión antivirus y de seguridad de contenidos
  proactiva y basada en políticas
• Protege las redes empresariales y preserva la
  integridad
• de la información
• Plataforma escalable enfocada hacia la
• protección de entornos de mensajería

24
InterScan WebProtect
25
Barreras previas a la adopción de antivirus para
HTTP

• Rendimiento El período de latencia puede ser un
  problema serio cuando se escanea tráfico HTTP
  (versus escaneo SMTP)
• Escalabilidad Los productos antivirus HTTP
  actualmente no pueden escalar para adaptarse los
  entornos empresariales de las grandes empresas
• Transparencia Los productos no se ajustan
  completamente a las redes empresariales

WebProtect 1.0 para ICAP rompe estas barreras
!!!
26
InterScan WebProtect 1.0 para ICAP

• Basado en InterScan VirusWall 3.7 de código
  Solaris, no en InterScan WebProtect para
  Microsoft ISA Server
• HTTP y FTP, en lugar de sólo antivirus para HTTP
  
• Sólo Solaris 2.8
• Sólo ICAP 1.0
• Actuales partners de integración
• Network Appliance (NetCache Sistema Operativo
  v5.3D1 y superior)
• BlueCoat (CacheFlow) (SGOS 2.1.04 y superior)
• Agente TVCS/TMCM

27
El caching mejora el rendimiento HTTP
El caching mejora el rendimiento al reducir el
tráfico HTTP entre un 30-60
Fuente META Group
28
Qué es ICAP?

• Internet Content Adaptation Protocol (ICAP) es un
  protocolo abierto que permiten que los servidores
  caché se ajusten completamente (cliente ICAP) con
  terceras aplicaciones (servidor ICAP), tales como
  el análisis de virus.
• Se centra en proporcionar vectorización de
  contenidos para los servicios HTTP.
• Permite al servidor ICAP ejecutar sus servicios
  de transformación y enviar respuestas a los
  clientes, normalmente con mensajes modificados

29
Esquema Caching / Antivirus
NetApp NetCache
Servidor Caching / Cliente ICAP
BlueCoat/CacheFlow
Servidor de contenidos
Protocolo ICAP 1.0
Clientes HTTP
Servidores que escanean virus / Servidores ICAP
30
ISVW 3.7 para Linux

• Las soluciones antivirus de gateway analizan los
• protocolos SMTP, FTP y HTTP seguridad de
• contenidos para NT, Solaris y Linux con eManager

31
Seguridad de Mensajería
32
InterScan Messaging Security Suite (IMSS)

• Más beneficios que ISVW para entornos de
  mensajería
• Prevención proactiva de epidemias
• Detección de virus de correo de envío masivo
  (mass mailing)
• Avanzado Filtrado de contenidos
• Gestión de políticas
• Soporte de protocolo adicional de mensajería
  (POP3)
• Servidores SMTP en clúster

33
InterScan MSS Características/Beneficios

• Prevención Proactiva de Epidemias
• Outbreak Prevention Service (Servicios de
  Prevención de Epidemias)
• Defensa proactiva contra los nuevos virus
  buscando automáticamente de TrendLabs políticas
  de control de contenidos para bloquear virus a
  través de Trend Micro Control Manager durante las
  epidemias de virus y antes de que esté disponible
  el nuevo fichero de firmas.

Cómo funciona
Laboratorios de virus de Trend Micro
34
Política de Prevención de Epidemias una
innovación de Trend
TrendLabs detecta un nuevo virus in the wild y
evalúa la amenaza.
Se declara la alerta de virus. Inmediatamente,
TrendLabs lanza políticas de prevención de
epidemias basadas en las caraterísticas del
mensaje.
Cada 15 minutos se buscan automáticamente las
políticas de prevención de epidemias y se
ditribuyen a través de TMCM a los Servidores de
InterScan MSS.
Rápida, proactiva Respuesta contra los nuevos
virus!
Los sistemas de correo interno son inmediatamente
protegidos contra la nueva amenaza. Se informa a
los administradores.
35
Gestión centralizada y servicios
36
Productos de Trend Micro

• Control Manager
• Arquitectura Cliente/Servidor
• Dos y tres niveles
• Escalable
• Distribuído
• Multitarea (Multi-threaded)
• Outbreak Commander, Directory Manager, etc.
• Suite de producto
• Del Gateway a la estación de trabajo.
• Usuario de PC corporativo a usuario doméstico

37
Trend Micro Control Manager
Managed Products (up to 3000)

• Fortalezas
• Distribuído
• Arquitectura Cliente/Servidor
• Dos y tres niveles
• Diseño multitarea
• Escalable
• 15 millones de estaciones de trabajo (3000
  servidores con OfficeScan x 5000 PCs o estaciones
  de trabajo)
• 1.5 millones de servidores
• (3000 Information Servers x 500 Servidores
  normales)

Information Server
OfficeScan
Normal Servers (up to 500)
Desktop Pcs (up to 5000)
38
De dónde procede la Estrategia de Protección
Empresarial?

• Se ha declarado una alerta de virus.
• No hay fichero de firmas disponible.
• Qué puede hacer el usuario?

39
Enterprise Protection Strategy (Estrategia de
Protección Empresarial)
Enterprise Protection Strategy
Servicios
Productos
Antivirus y filtrado de contenidos
TMCM (Platforma de gestión) Soluciones de
productos
Servicio de Limpieza de Daños
Servicio de prevención de epidemias
Service Level Agreement o Acuerdo de nivel de
servicios
40
FASE I

• Anuncio de una epidemia o ataque de virus
• Cuando tiene lugar una epidemia (alerta
  amarilla/roja), Trend Micro la anunciará y
  también la política para parar o prevenir el
  ataque
• Permitir el modo de prevención de la epidemia
• Los administratores reciben la alerta de Trend
  Micro
• Configurar y distribuir las reglas OPP
• Las funciones OPP (Políticas de prevención de
  epidemias) pueden ser actualizadas y
  configuradas.

41
FASE IImplementación de políticas

• TrendLabs
• Plantillas
• Predefinidas
• El administrador las puede anular
• El administrador las puede mejorar/optimizar
• Distribución a los productos gestionados

42
FASE IINotificación

• E-mail
• Usuario, Usuarios, Grupo, Grupos
• Busca (o beeper)
• Mensaje

43
FASE IIIInformes de distribución de políticas

• Análisis en tiempo real
• InterScan para NT
• OfficeScan
• ScanMail para Microsoft Exchange
• ScanMail para Lotus Notes
• ServerProtect para NT
• Planes de distribución

44
Fase IVActualizaciones

• Actualizaciones de descargas
• Repetir 5-60 minutos
• Fuente
• Trend Micro Update server
• Otra fuente HTTP
• Actualizaciones de distribución
• Fichero de firmas de virus
• Motor de escaneo
• Regla de spam
• Repetir 5-60 minutes
• Planes de distribución

45
FASE VAnálisis antivirus con nuevos ficheros de
firmas de virus

• Refresco de pantalla
• Refresco automático (aprox. 30 segundos)
• Manual Actualizar ahora
• Iniciar una acción Analizar
• ahora
• ScanMail para Microsoft
• Exchange
• ServerProtect
• Windows y Netware
• OfficeScan
• Fin de la prevención de
• epidemias

46
FASE VInformes de análisis de virus

• Logs (o registros) de Eventos
• Todos los eventos
• Epidemias de virus
• Actualización de módulo
• Servicio encendido
• Servicio apagado
• Violación de Seguridad
• Logs de seguridad
• Todos los logs de incidentes de virus
• Violaciones de seguridad de contenidos
• Virus encontrados en el tráfico de descarga
  (HTTP, FTP)
• Virus encontrados en email
• Viruses encontrados en archivos

47
FASE VIServicio de limpieza

• Limpieza de Troyanos
• Identifica y elimina virus Troyanos y gusanos
• Borra archivos infectados de la memoria del
  sistema
• Arquitectura Cliente/Servidor sin agentes
• Permite a cualquier cliente con Windows
  comunicarse con Damage Cleanup Server (Servidor
  de Limpieza de Daños).
• Gestión centralizada
• Herramienta de gestión web
• Actualización flexible
• Descarga manual o programada de plantillas de
  limpieza
• Información detallada de registros (logs) e
  informes
• Identifica clientes specíficos limpiados por
  dirección IP / nombre de la máquina
• Identifica el tipo de virus Troyanos y gusanos
  encontrados
• Realiza una exhaustiva acción de limpieza sobre
  los clientes infectados

48
FASE VII (final)Reparación

• Herramientas especiales
• Analiza el sistema del cliente en busca de
  Troyanos y gusanos
• Pone fin a los procesos maliciosos
• Borra los restos de virus de la memoria
• Repara/elimina los registros cambiados/borrados
  por el virus
• Repara los archivos .INI modificados por Troyanos
  o gusanos
• Ayuda a eliminar la cuenta de usuario invitado
  (GUEST) del Grupo de Administración (Admin Group)
• Crea directorios ocultos en los directorios del
  sistema (SYSTEM) para prevenir infecciones
  futuras
• Systema Limpiador de Troyanos (TSC) 3.0
• Separa el fichero de firmas TSC y el motor TSC en
  dos archivos diferentes.
• Componentes
• TSC.EXE -- TSC Motor
• TSC.PTN -- TSC Fichero de firmas

49
Un conjunto de servicios único Prevención de
Epidemias
50
Alerta Amarilla Worm_Klez.G
Distribución del fichero de firmas
Muestra de Virus recibida 17/04//02 0404 a.m.
alerta amarilla

• Analiza el verdadero tipo de fichero

• Residente en memoria, lleva un m,otor SMTP
• Leer/escribir carpetas compartidas
• Utiliza una de estas 6 extensiones de ficheros
  (EXE, .PIF, COM, BAT, SCR y RAR)

Distribución Plantilla de Limpieza

• Elimina las entradas de Klez
• Elimina las entradas de registro
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run
  \krn132
• Elimina los archivos que deja el virus.
• systemdir\krn132.exe

Distribución políticas de epidemias

• Vía soporte o outbreak commander
• Bloquea seis extensiones de ficheros
• Cierra el acceso a carpetas compartidas

07
19
00 min.
342

• Sencilla creación de políticas y análisis
• Una herramienta de limpieza sofisticada requiere
  un exhaustivo test de calidad

51
Outbreak Service Statistics

• La política de prevención de epidemias (OPP) se
  lanzó en diciembre de 2001
• Ha habido 14 alertas amarillas o rojas desde el 1
  de enero de 2002

Término medio de distribución
Los Servicios de Epidemias han reducido la
capacidad de tiempo de respuesta en 50 respecto
al modelo anterior
52
Agenda

• Visión general Trend Micro
• Evolución de Amenazas Virus
• Estrategia de protección Empresarial
• Visión de Trend Micro

53
Ventajas de Trend Micro

• Sistemática Innovación
• 1ª AV de Gateway (1996) Multicapa
• 1ª AV en Solución Amenazas Automáticas in side
  Firewall(EPS Sept-2002)
• Líder del Mercado de Servidores (IDC 99,01 y
  2002)
• Gateway Interscan Viruswall
• Groupware Sacmail
• All Server

54
Ventajas de Trend Micro (II)

• Servicio y Soporte Excelente
• TrendLabs 24x7 (Protección en 5 Continentes)
• Primer Av en poseer ISO 9002 del fichero de
  firmas y motor (Trendlabs)
• Primer puesto en la última comparativa de Pc
  Actual Mayo 2002 de AV Corporativos (NEATSUITE)
  ESPAÑA
• Primer Puesto en el Test de av de la Universidad
  de Magdeburgo (Alemania)

55
VISION DE TREND MICRO
Make a World SAFE for exchanging digital
information

Ceo Trend Micro