Seminario Clusit Security Summit 2010: Minacce per la virtualizzazione

Security Summit10 Giugno 2010SGM Conference Center, Roma

Il Content Security dall'ambiente fisico al

virtuale : come approcciare le nuove sfide ?

Alessio L.R. Pennasilico - [email protected] Nencini - [email protected]

https://www.securitysummit.it/eventi/view/79








mailto:[email protected]


Content Security - Spam e Nuove Minacce Pennasilico / Nencini - Security Summit 2010 - Roma

Alessio L.R. Pennasilico

Board of Directors: Associazione Informatici Professionisti

Associazione Italiana Professionisti Sicurezza InformaticaCLUSIT

Italian Linux Society, LUGVR, Metro Olografix, Sikurezza.org

Hackerʼs Profiling Project, CrISTAL

2

Security Evangelist @


Gastone Nencini

Senior Technical Manager South Europe

3


IT Security...

Un inutile impedimentoche rallenta le comuni operazioni

e danneggia il business?

4


IT Security...

O prevenzione e risposta ad eventi che danneggerebbero il business in modo peggiore?

5


Evoluzione

6

La tecnologia si evolve…

… e con essa anche le minacce!


Content Security

SPAM/SPITPhishing/Vishing

MalwareBotnet

WebThreatsDDOS

7


Malware

VirusWorm

KeyloggerTrojanDialer?SpywareBackdoor

8


Navigazione

Queste minacce possono essere inconsapevolmente scaricate in maniera attiva dagli utenti

Oppure possono essere infettati i client utilizzando vulnerabilità note

9


Minacce classiche

Software Vulnerability ExploitsPatch Management

Web Application ThreatsPolicy & Compliance

System & Data Integrity

10


Perché virtualizzare?

Administrative overheadRisparmio sui consumi

ScalabilitàFlessibilità

Disaster recovery facilitato

11


Virtualizzazione

12


Security

Cosa cambia?

13


HyperVisor

Tipo 1 (bare-metal, nativo)Eseguito direttamente sull’hardware del sistema

es: iSeries, zSeries, VMWare ESX, XEN

Tipo 2 (hosted)Eseguito sul “normale” sistema operativo

es: VMWare Server, Parallels Desktop

14


Parent exploit

Alcune vulnerabilità di prodotti di virtualizzazionepermettono di prendere possesso dell’host

a partire da una VM

15


Reti “Virtuali”

16


Firewall

ServeNon difende da tutto e da tutti

Quello di frontiera non deve essere virtualizzatoPossono esistere firewall virtuali per segmentare

17


Perimetro

Quale è il perimetro dell’azienda?

WiFi - VPN - Laptop - SmartPhone

18


Configurazioni comuni

19


VoIP

Traffico Real Time (continuity)Traffico prioritizzato (QoS)

20


Inter-VM traffic

Chi controlla questo traffico?

Porte di monitor fisiche vs virtuali

21


vMotion

Alcuni PoC hanno dimostrato la possibilità di manipolare le VM

durante le live-migration

22


VM Sprawl

Security weaknesses replicate quicklySecurity provisioning creates bottlenecks

Lack of visibility into, or integration with, virtualisation console increases management complexity

23


Dormant VMs

Template e Backup

Non ci sono agent attivi / possono essere infettate

Firme di IPS/Antivirus obsolete

Malware VM-aware

Nessun isolamento tra anti-malware e minacce

24


Storage

25

Contiene tutti i dati aziendali


Data Loss Prevention

Perdita di dati docuta ad infezione / intrusioneaccidentale o pilotata (competitor/disgruntled)

E’ solo la non disponibilità il problema?

26


Social Engineering

Non importa il vettore(mail, chat, social network)

Basta convincere l’utente a rilasciare alcune informazioni riservate

27


Resource contention

Eseguire contemporaneamente su troppe macchine operazioni onerose può causaregravi problemi di performance

Antivirus / Backup / Scan

28


VM Mobility

vMotion & vCloud:Reconfiguration required: cumbersome

VMs of different sensitivities on same serverVMs in public clouds (IaaS) are unprotected

29

OS

AppAV

OS

AppAV

NetworkIDS / IPS vSwitch vSwitch

Dormant

OS

AppAV

Active


Patch

Gestione puntualeGestione automatica

Problemi automatici?

Virtual patchingHost patching

30


Piattaforme

Molti OS diversi tra loro

Necessità di uno strumento unificato

31


Gestione integrata

Infrastrutture complesse

Gestione complessa?

32


Minacce?

“34% of all data breach attacks exploited Web applications”

Verizon

“75% of attacks take place at the application layer”

Gartner

33


Compliance

34

PCI/DSS


Perché compliance?

81% delle intrusioni avvengono su reti che non sodisfano i requirement delle più diffuse

norme/best practice / guidelines

Gartner

35

Copyright 2008 - Trend Micro Inc.

0

7,500

15,000

22,500

30,000

2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

Minacce previste

Il problema del volume

Aumento previsto in campioni di minacce ALL'ORA (previsioni

prudenti) Entro il 2015, 233.000.000 all'anno


Conclusioni

Le minacce da affrontare sono molte e spesso non banali da gestire

La tecnologia supporta il lavoro del CSO

Purtroppo si rende sempre necessario fare “hardening” del personale oltre che delle macchine

37


Web-o-Grafia

https://securecloud.com/http://blog.trendmicro.com/http://wwww.vmware.com/ http://www.eecs.umich.edu/techreports/cse/2007/CSE-TR-539-07.pdfhttp://www.cisco.com/go/securityreporthttp://www.alba.st/presentazioni.php

38

https://securecloud.com/

https://securecloud.com/

http://blog.trendmicro.com/

http://blog.trendmicro.com/

http://wwww.vmware.com

http://wwww.vmware.com

http://www.eecs.umich.edu/techreports/cse/2007/CSE-TR-539-07.pdf

http://www.eecs.umich.edu/techreports/cse/2007/CSE-TR-539-07.pdf

http://www.cisco.com/go/securityreport

http://www.cisco.com/go/securityreport

http://www.alba.st/presentazioni.php

http://www.alba.st/presentazioni.php

Security Summit10 Giugno 2010SGM Conference Center, Roma

Grazie dell’attenzione!

Domande?

Alessio L.R. Pennasilico - [email protected] Nencini - [email protected]

These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can copy, modify, or sell them. “Please” cite your source and use the same licence :)





Seminario Clusit Security Summit 2010: Minacce per la virtualizzazione

Technology

Transcript of Seminario Clusit Security Summit 2010: Minacce per la virtualizzazione