Gestión de Amenazas en Caché para Web 2.0
ALBERTO ARBIZU
Dtor. para Iberia Secure Computing 22-11-2007
1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD
Índice
1. Presentación del Estudio Forrester
2. Evolución del caché desde web 1.0 a 2.0 3. Caché seguro orientado a Web 2.0
4. Caché seguro - ¿Cómo y Por qué?
5. ¿Cómo funciona el caché actualmente?
6. ¿Cómo lo hemos rediseñado?
7. Administración y Monitorización
8. Resumen
Resultado del Informe Forrester sobre el control de la seguridad en Web 2.0!
97% de los Encuestados se consideran “preparados”, pero 79%
reconoce que sufre frecuentes ataques de malware (Forrester)
90% de los Encuestas reconoce el valor de las aplicaciones
basadas en Web 2.0 para su Organización, pero tan solo 5% tiene implementada una “verdadera” protección contra las amenazas
La mayoría de las Organizaciones todavía dependen – en relación con las soluciones que actualmente tienen instaladas – de
diseños basados en protección contra amenazas en Web 1.0 La Organizaciones gastan de media €20/usuario/año y
globalmente €10.000M para intentar detener el malware. En estos cálculos no están incluídos los costes indirectos (Forrester
& Computer Economics)
Después de este informe, Forrester realiza las siguientes
recomendaciones para proporcionar una adecuada protección contra las amenazas en Web 2.0
Recomendaciones de Forrester
W Re-examinar la adecuación de las políticas de seguridad y sus capacidades de protección para Web 2.0
W Mejorar el conocimiento y la formación en los usuarios sobre Web 2.0 y las amenzas a nivel aplicación
W Implementar la próxima generación de soluciones de seguridad proactiva
W La implementación de estas soluciones debe garantizar el máximo nivel de rendimiento, escalabilidad y tener una
gestión y reporting orientada a entornos “enterprise”
Septiembre 2007
153 Directores de TI, Directores de Seguridad TI, Directores de Arquitectura de red y CIO´s
Organizaciones con + 1.000 usuarios a nivel mundial
Evolución del caché desde Web 1.0 a 2.0
Caché en Web 1.0
• Decremento de caching entre el 30%-50% sobre contenidos en HTTP
• Decremento en el uso de FTP
• Obsolencencia de caching para NTTP Caché en Web 2.0
• Incremento del caching para Streaming Media
Native streaming sobre Web está literalmente obsoleto hoy en día, tan sólo es una parte El Web se ha movido hacia flash video (YouTube, Google Video, Myspace , etc.)
Microsoft se ha movido desde MMS a RTSP (ahora el es standard para Windows Media Player)
• Caching de AV y AntiMalware basado en Reputación
• Caching de objetos orientado a seguridad
• Caching para DNS
• Flexibilidad en la gestión de Listas Blancas y Negras para objetos cacheados
• Sistema operativo “securizado”
Caching – ¿Cómo y Por qué?
• Secure Computing ofrece INTEGRADO, on‐box AV scanning. El resto de fabricantes son dependientes de un servidor externo mediante ICAP para scanning anti malware
• La clave de todo está en que el resto de proxies fueron diseñados cuando las actualizaciones de Anti‐Virus eran semanales y no cada hora
• Cada cambio en las firmas de AV, debería modificar el ISTAG (*), lo cual debería hacer que cada objeto que estuviera en el proxy fuera invalidado
• Cada objeto debería entonces debería ser requerido de nuevo al servidor origen
• El contenido limpiado que haya sido cacheado, también requeriría un UNICO objeto por cada política
Esto supondría generar múltiples copias del mismo objeto!
• Los Proxies deberían estar completamente ignorantes a los cambios en las políticas de seguridad en servidor ICAP
(*) ISTAG es utilizado para marcar un objeto en referencia a la edad de la base de datos AV o AMalware. Si una nueva AV base de datos es descargado (completa o incremental), el ISTAG cambia y hay que volver a escanear TODOS los objetos!
¿Cómo funciona el Caching actualmente?
Cachés Tradicionales Política 1
Petición de una página de
Yahoo
Cache Appliance
Internet
ISTAG=00001 ICAP (RESPMOD precache)
<HTML>
<HTML>
Policy 1 Política 2
Petición de una página de
Yahoo
Cache Appliance
Internet
ISTAG=00001 ICAP (RESPMOD precache)
<HTML>
<HTML>
ISTAG=00002
Cuando se obtiene una actualización de AV (cada hora). El ISTAG cambia y... El cache es
invalidado!!!
Esto sucederá para cada petición que tenga una política diferente.
Entonces, cada política podría afectar al espacio en disco necesario hasta 5 veces más!!!
¿Cómo funciona el Caching actualmente?
Cachés Tradicionales
¿Qué es un sistema de Reputación?
Protección en Tiempo Real Protección en Tiempo Real Análisis AutomáticoAnálisis Automático
Asignación Dinámica de Valores de Reputación
Nº mensajes analizados/mes 10K millones Empresas 100K millones Usuarios
Malo Bueno
IP Domain URL Image Message Monitorizacion de Datos GlobalMonitorizacion de Datos Global
IntelliCenter
Brazil London Portland Atlanta
Hong Kong
La Monitorización Global de datos es alimentada por la red Global en Tiempo Real a través de las informaciones de miles de Corporaciones
Propiedad
Whois Zone files Trademark
Contenido
Images Text Links
Comportamiento
Social networks Persistence Longevity
Edge / Firewall
Traffic Shaping Attack Blocking
Gateways Web
Anti-Malware Anti-Spoofing
Gateways Correo
Outbreak Detection Anti-Spam
Anti-Fraude
Anti-Phishing Zombie Alerts
Archive Handler/ Document Inspector/
SSL Scanning
Arquitectura Anti-Malware
Profunda defensa mediante múltiples técnicas
Permitir
Bloquear
Avisar
Acciones Múltiples Motores de Detención
Inteligencia Global
Análisis del
Comportamiento Global
Internet
Media Type Checker
Verificación del tipo de fichero vía
“magic bytes”
Bloqueo de Objetos con
spoofed media type
Media Type Filter
Filtrado del tipo de fichero
Bloqueo exe u otro tipo de ficheros
con riesgo
Signature Engine
Firmas basdas en los antiguos
sistemas AV
Bloqueo de malware
Authenticode Filter
Verificar la autenticidad
de los códigos digitales de
las firmas
Sólo perimite descargas desde lugares 100% seguros
Proactive Scanning
Análisis del comportami
ento Local Tiempo Real para
las descargas y
scripts
Bloqueo de todo lo desconocido
Caching – ¿Cómo lo hemos rediseñado?
• Todos los scanning son on‐box, no necesitan servidores externos vía ICAP.
Una única copia del contenido ORIGINAL es cacheado. (Mejor utilización del almacenamiento para el caché)
• Seguimiento de todos resultados del scanning AV para todos los Metadata de cada objeto, así como el nº de la firma AV
• Si se produce un cambio en las firmas del AV, WW escaneará únicamente el objeto cacheado, sin necesidad de re‐cachear el objeto!
• Si no se produce un cambio en las firmas del AV, WW no re‐escaneará el objeto con las firmas. En su lugar WW sólo aplicará los filtros proactivos.
W Scanning más rápido (Proactivo) para cada objeto
W Garantiza el mayor nivel de seguridad y rendimiento
Internet Política 1
Petición de una página a Yahoo
SecureCache
ISTAG=00001
<HTML>
<HTML>
original Web content
Caching – ¿Cómo lo hemos rediseñado?
Internet Política 2
Petición de una página Yahoo
SecureCache
ISTAG=00001
<HTML>
Política 1
<HTML>
ISTAG=00002
Cuando se realiza una actualización de AV o
AntiMalware (cada hora), el ISTAG se modifica pero su caché NO se pierde,
simplemente es re-escaneado por Webwasher.
Contenido original Web
Caching – ¿Cómo lo hemos rediseñado?
Administración y Monitorización
1. Web 2.0 requiriere que las Organizaciones “re-examinen”
sus infraestructuras actuales de caché seguro de contenidos.
2. La rápida adopción de aplicaciones basadas en Web 2.0, requiere que los datos se protejen no solo contra los virus
tradicionales. En relación al este punto, la la protección contra el Malware, se sitúa como máxima prioridad para todo el
mundo.
3. El caching de objetos basados en Web 2.0, requiere que las infraestructuras de seguridad a implementar, incorporen nuevas soluciones para gestionar de una manera segura las amenazas del Malware.
4. Secure Computing a creado el primer Web Gateway de Seguridad que integra en un unico appliance el Caching Seguro como primer aspecto clave
