7. Vecchio business model
grandi risorse per attaccare grandi enti
con tanti soldi ma grandi difese
Nuovo business model
poche risorse per attaccare a tappeto
chi ha pochi soldi a zero difese
IL NUOVO BUSINESS MODEL DEGLI HACKER
9. AV arrancano perché il rimedio è legato a ricerca
infezioni moderne:
- fanno azioni diverse in base a location
- stanno fermi fino al verificarsi di un evento
- attivano componenti in modalità random
- fanno hijack di processi regolari dove AV non vede.
RIMEDI INEFFICACI
10. 1. Antivirus buono e sempre aggiornato
2. Patch di sicurezza sui sistemi (Windows e non)
3. Plugin, utility e applicazioni aggiornate (Flash, Adobe, ecc)
4. Applicare policy affinché utenti non siano admin
5. Bloccare «cose particolari» (Temp, appdata, ecc)
6. Filtri sull’email prima che arrivino alla inbox
7. Disabilitare VBS e Powershell (e macro di Office)
8. Accurato controllo sui permessi di rete
9. Fermare l’infezione sul nascere: scollegare il server dalla rete
10. Backup e test del restore per essere pronti a ripartire…
LA SOLUZIONE E’ UN INSIEME DI PROCESSI
11. • Spesso i problemi nascono quando rogue o malware
vanno in esecuzione su endpoint
• necessaria gestione efficace di endpoint
• AV tradizionali pesanti e ingombranti
• AV basati su firme sono sempre in «ritardo»
Serve protezione real-time per essere
efficaci contro malware zero-day
SOLUZIONI DI SICUREZZA SONO NECESSARIE
12. Tante Virtual Machine su un solo host
Client la cui sicurezza è basata su “firme”
Aggiornamenti , scansioni consumano TUTTE le risorse - AV Storm
All’aumentare delle VM il problema peggiora esponenzialmente
VIRTUAL – APPROCCIO TRADIZIONALE SICUREZZA ENDPOINT
SignatureSignature Signature Signature
Virtual Infrastructure
X 100
Hardware
13. Sicurezza Agentless si appoggia sopra all’infrastruttura virtuale
Workaround per prestazioni - no client installato su endpoint
Infrastruttura virtuale fornisce visibilità su file system e sulla rete
Esposizione ad attacchi sofisticati – virus che stanno solo in memoria (no file)-Poweliks
Complessità & overhead – soluzione virtuale dedicate: altro sistema da gestire
VIRTUAL – SICUREZZA AGENTLESS ENDPOINT
Virtual Infrastructure
Agentless Security
Hardware
14. Mantenere le performance
• uso efficiente di risorse
• scalare rapidamente, leggero
Massima protezione
• sicurezza autocontenuta in ogni VM
• capacità di fermare virus sofisticati
VIRTUAL – “DESIDERATA” PER LA SICUREZZA ENDPOINT
Virtual Infrastructure
100% 100% 100% 100% 100% 100% 100%
Hardware
Facile da gestire
– No infrastruttura dedicate o
soluzione virtuale dedicata
– Elimina la necessità di
aggiornare le firme
15. • Virtuale - prestazioni
• deploy rapido: installa e protegge in pochi secondi;
• scansione ultra-rapida, minimo uso di RAM, CPU, disco;
• Virtuale – protezione
• protezione autocontenuta in ogni VM;
• non va in conflitto con altri sw di sicurezza;
• protezione zero-day;
• Gestione
• protezione real-time basata su cloud;
• no costi infrastruttura: console web «globale» nel cloud;
• nessun aggiornamento di firme;
• singolo agent per desktop, server, fisico, virtuale, mobile
WEBROOT – PROTEZIONE DI NUOVA GENERAZIONE
19. Webroot Secure Anywhere
• Senza firme
cioè sempre aggiornato
• Real-Time System Shield
analisi comportamentale e protezione da malware in tempo reale
• Zero-day Shield
azione immediate contro polimorfismi e multimorfismi
• Real-Time Anti-Phishing Shield
99% di precisione contro siti di pishing
• Pesa 1 MB e si installa in meno di 10 secondi
20.
21. E’ evidente a tutti che gli antivirus, anche i migliori, non sono
sufficienti.
Serve uno strato di protezione ulteriore, perché il vero costo di un
incidente informatico per un’azienda non è il costo dei tecnici che
devono rimettere in piedi un sistema, auspicando che ci siano i backup
e i dati siano integri.
Il costo è il fermo dei sistemi aziendali, i sistemi che consentono alle
aziende di lavorare e produrre reddito.
31. ALTRE CAUSE, BEN PIÙ FREQUENTI
• Furti
• Guasti hardware (disco, alimentatore)
• Problemi software (aggiornamenti, corruzione
di file)
• Cancellazione di file (colposa o dolosa)
• Virus (ransomware)
32. ANATOMIA DI UN DISASTRO
Indisponibilità
Tempo
Dati persi
33. DISASTRO, QUALI SONO I DANNI
• Improduttività: struttura pagata per niente
• Indisponibilità: no valore aggiunto
• Ripristino sistemi: riscostruire infrastruttura
• Perdita integrità: ricostruire dati persi
• Perdita riservatezza: dati in mano esterna
• Perdita immagine: credibilità
• www.achab.it/costoincidenteIT
35. SIAMO PIÙ PRECISI…
• Certezza del tempo di
ripartenza (prove)
• Verifica successo e integrità
dei dati
• Perdita di dati accettabile
• Copia (integra) fuori sede
36. …O COME DIREBBE UN TECNICO
• Backup tutto incluso: OS, dati, applicazioni
• salvataggi frequenti
• garanzia del recupero/ripristino
• ripartenza di interi server senza muletto
• datacenter remoto per ripartenze in caso di disastro
38. BUSINESS CONTINUITY SECONDO DATTO
Ripartenza istantanea, facile e
veloce in locale
Riparenza istant.
da remoto
Protezione mista:
- locale (on premise)
- remota (cloud)
39. PERCHÉ DATTO È DIFFERENTE
Protezione basata su immagini, anche ogni 5
minuti
garanzia di ripartenza
(anche applicativa)
virtualizzazione istantanea in locale
(anche se non hai cluster o muletto)
replica + accensione in remoto dei sistemi.
(anche se non possiedi un datacenter tuo)
40. CONCLUDENDO
• Il sistema informativo è uno strumento
di produzione
• Deve essere sicuro, efficace ed
efficiente
• Così ci potete fare un sacco di soldi
41. SLIDE PER I PIÙ PRATICI
Antivirus/antimalware
senza firme
ultra veloce
ultra leggero
Soluzione DR/BC
all-in-one
ripartenza istantanea
arriva dove gli altri non
ce la fanno
1. We are going after Symantec.
2. They are #1 in the marketplace. If our goal is to take over this market, we should aspire to be #1 and believe that we have the technology, the team and the ability to execute to be the best provider in this market.
So lets now look at an example of endpoint security in a virtual environment.
(CLICK)
Here we have one physical host with multiple virtual machines within in a virtual infrastructure.
(CLICK)
Most customers deploy virtual environments in order to get the most out of their hardware (maximize utilization). And they also use signature based AV security on each virtual machine, because conventional endpoint AV security is designed to be deployed on a one-to-one basis.
(CLICK)
The problem here is, that in a virtual environment with multiple machines and signature based protection on one hardware platform, when a scan runs or signatures are updated (typically daily) and often simultaneously, this approach has the potential to consume all the hardware resources available, and create what is called an “AV Storm”. So your virtual machines grind to a halt or have to be unloaded and reloaded elsewhere – not good.
And when you factor in the size of a conventional signature based client is typically 500MB, sometimes over a GB. This footprint not only consumes valuable storage but also inhibits the rapid deployment of those new VMs too.
(CLICK)
So with conventional signature based security the more virtual machines it’s deployed on the more likely it is to cause severe performance problems…
(CLICK)
An alternative deployment approach is termed “Agentless Security”.
(CLICK)
This was created as a workaround to the negative performance effects. So in this example we have a virtual environment with multiple machines on a single host.
(CLICK)
The Virtual Infrastructure layer is now providing the specialized security solution and visibility of the file systems on VMs and on the network traffic between each VM without the use of a conventional on VM antivirus client.
(CLICK)
But there is a problem. Security at the Virtual Infrastructure level exposes this system to sophisticated threats. As it does not take into account any threats that live in memory, or do not exist as files on disk.
(CLICK)
There are several threats that follow these approaches, rendering themselves invisible to VI agentless monitoring. For example the information stealing Zeus Trojan exists solely within memory. And, this tactic is used by dozens of the top information stealing Trojans and poses a serious risk.
Plus, Virtual Infrastructure security doesn’t provide visibility at the behavior level; their only ability to detect threats is by signature and it is not possible to perform generic protection on the system. For example, if a newly released malicious keylogger is running on the system and not blocked by signatures, agent-less security is blind to that threat.
(CLICK)
Lastly, adding a dedicated solution to just secure virtual environments is in our view an unnecessary burden that simply adds more time and costs to protecting virtual environments.
(CLICK)
So given that these last two scenarios which, with the agentless model includes VMware’s own vShield appliance approach, are both less than ideal -what would be better?
(CLICK)
Well the ability to fully protect your VM without impacting performance. This includes ensuring your VMs are functioning at 100% of their capacity without being impacted by security scans or updates.
Administrators would also want to the ability to quickly roll out new VMs. Having a security solution that can be quickly deployed and have a small footprint is important.
(CLICK)
In order to have maximum protection each VM should be self-contained- where security sits within each virtual machine. This allows the solution to effectively defend against all types of sophisticated threats and not compromise security for performance.
(CLICK)
Finally, you want to be able to easily manage the security with no dedicated infrastructure or special “virtual” only security solutions to deploy. And be able to see all your VMs, groups and add policies.
You also should not have to worry about scheduling or phasing signature updates…….
(CLICK)
The WTIP is the basis for our product line, as well as the secret sauce in several of our technology partners’ solutions too.
It takes the inputs, adds machine learning and Contextual Analysis, and creates our Collective Threat Intelligence.
We then leverage that via our lightweight Endpoint Agent.