Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Seminario Clusit Security Summit 2010: Minacce per la virtualizzazione
1. Il Content Security
dall'ambiente fisico al
virtuale : come approcciare
le nuove sfide ?
Alessio L.R. Pennasilico - apennasilico@clusit.it
Gastone Nencini - gastone_nencini@trendmicro.it
Security Summit
10 Giugno 2010
SGM Conference Center, Roma
2. Alessio L.R. Pennasilico
Security Evangelist @
Board of Directors:
Associazione Informatici Professionisti
Associazione Italiana Professionisti Sicurezza Informatica
CLUSIT
Italian Linux Society, LUGVR, Metro Olografix, Sikurezza.org
Hackerʼs Profiling Project, CrISTAL
Content Security - Spam e Nuove Minacce
2
Pennasilico / Nencini - Security Summit 2010 - Roma
3. Gastone Nencini
Senior Technical Manager
South Europe
Content Security - Spam e Nuove Minacce
3
Pennasilico / Nencini - Security Summit 2010 - Roma
4. IT Security...
Un inutile impedimento
che rallenta le comuni operazioni
e danneggia il business?
Content Security - Spam e Nuove Minacce
4
Pennasilico / Nencini - Security Summit 2010 - Roma
5. IT Security...
O prevenzione e risposta ad eventi che
danneggerebbero il business in modo peggiore?
Content Security - Spam e Nuove Minacce
5
Pennasilico / Nencini - Security Summit 2010 - Roma
6. Evoluzione
La tecnologia si evolve…
… e con essa anche le minacce!
Content Security - Spam e Nuove Minacce
6
Pennasilico / Nencini - Security Summit 2010 - Roma
7. Content Security
SPAM/SPIT
Phishing/Vishing
Malware
Botnet
WebThreats
DDOS
Content Security - Spam e Nuove Minacce
7
Pennasilico / Nencini - Security Summit 2010 - Roma
8. Malware
Virus
Worm
Keylogger
Trojan
Dialer?
Spyware
Backdoor
Content Security - Spam e Nuove Minacce
8
Pennasilico / Nencini - Security Summit 2010 - Roma
9. Navigazione
Queste minacce possono essere inconsapevolmente
scaricate in maniera attiva dagli utenti
Oppure possono essere infettati i client utilizzando
vulnerabilità note
Content Security - Spam e Nuove Minacce
9
Pennasilico / Nencini - Security Summit 2010 - Roma
10. Minacce classiche
Software Vulnerability Exploits
Patch Management
Web Application Threats
Policy & Compliance
System & Data Integrity
Content Security - Spam e Nuove Minacce
10
Pennasilico / Nencini - Security Summit 2010 - Roma
11. Perché virtualizzare?
Administrative overhead
Risparmio sui consumi
Scalabilità
Flessibilità
Disaster recovery facilitato
Content Security - Spam e Nuove Minacce
11
Pennasilico / Nencini - Security Summit 2010 - Roma
12. Virtualizzazione
Content Security - Spam e Nuove Minacce
12
Pennasilico / Nencini - Security Summit 2010 - Roma
13. Security
Cosa cambia?
Content Security - Spam e Nuove Minacce
13
Pennasilico / Nencini - Security Summit 2010 - Roma
14. HyperVisor
Tipo 1 (bare-metal, nativo)
Eseguito direttamente sull’hardware del sistema
es: iSeries, zSeries,VMWare ESX, XEN
Tipo 2 (hosted)
Eseguito sul “normale” sistema operativo
es:VMWare Server, Parallels Desktop
Content Security - Spam e Nuove Minacce
14
Pennasilico / Nencini - Security Summit 2010 - Roma
15. Parent exploit
Alcune vulnerabilità di prodotti di virtualizzazione
permettono di prendere possesso dell’host
a partire da una VM
Content Security - Spam e Nuove Minacce
15
Pennasilico / Nencini - Security Summit 2010 - Roma
16. Reti “Virtuali”
Content Security - Spam e Nuove Minacce
16
Pennasilico / Nencini - Security Summit 2010 - Roma
17. Firewall
Serve
Non difende da tutto e da tutti
Quello di frontiera non deve essere virtualizzato
Possono esistere firewall virtuali per segmentare
Content Security - Spam e Nuove Minacce
17
Pennasilico / Nencini - Security Summit 2010 - Roma
18. Perimetro
Quale è il perimetro dell’azienda?
WiFi - VPN - Laptop - SmartPhone
Content Security - Spam e Nuove Minacce
18
Pennasilico / Nencini - Security Summit 2010 - Roma
19. Configurazioni comuni
Content Security - Spam e Nuove Minacce
19
Pennasilico / Nencini - Security Summit 2010 - Roma
20. VoIP
Traffico Real Time (continuity)
Traffico prioritizzato (QoS)
Content Security - Spam e Nuove Minacce
20
Pennasilico / Nencini - Security Summit 2010 - Roma
21. Inter-VM traffic
Chi controlla questo traffico?
Porte di monitor fisiche vs virtuali
Content Security - Spam e Nuove Minacce
21
Pennasilico / Nencini - Security Summit 2010 - Roma
22. vMotion
Alcuni PoC hanno dimostrato la possibilità di
manipolare le VM
durante le live-migration
Content Security - Spam e Nuove Minacce
22
Pennasilico / Nencini - Security Summit 2010 - Roma
23. VM Sprawl
Security weaknesses replicate quickly
Security provisioning creates bottlenecks
Lack of visibility into, or integration with, virtualisation
console increases management complexity
Content Security - Spam e Nuove Minacce
23
Pennasilico / Nencini - Security Summit 2010 - Roma
24. Dormant VMs
Template e Backup
Non ci sono agent attivi / possono essere infettate
Firme di IPS/Antivirus obsolete
Malware VM-aware
Nessun isolamento tra anti-malware e minacce
Content Security - Spam e Nuove Minacce
24
Pennasilico / Nencini - Security Summit 2010 - Roma
25. Storage
Contiene tutti
i dati aziendali
Content Security - Spam e Nuove Minacce
25
Pennasilico / Nencini - Security Summit 2010 - Roma
26. Data Loss Prevention
Perdita di dati docuta ad infezione / intrusione
accidentale o pilotata (competitor/disgruntled)
E’ solo la non disponibilità il problema?
Content Security - Spam e Nuove Minacce
26
Pennasilico / Nencini - Security Summit 2010 - Roma
27. Social Engineering
Non importa il vettore
(mail, chat, social network)
Basta convincere l’utente a rilasciare alcune
informazioni riservate
Content Security - Spam e Nuove Minacce
27
Pennasilico / Nencini - Security Summit 2010 - Roma
28. Resource contention
Eseguire contemporaneamente su troppe macchine
operazioni onerose può causare
gravi problemi di performance
Antivirus / Backup / Scan
Content Security - Spam e Nuove Minacce
28
Pennasilico / Nencini - Security Summit 2010 - Roma
29. VM Mobility
Dormant Active
AV App AV App AV App
OS OS OS
Network
IDS / IPS vSwitch vSwitch
vMotion & vCloud:
Reconfiguration required: cumbersome
VMs of different sensitivities on same server
VMs in public clouds (IaaS) are unprotected
Content Security - Spam e Nuove Minacce
29
Pennasilico / Nencini - Security Summit 2010 - Roma
30. Patch
Gestione puntuale
Gestione automatica
Problemi automatici?
Virtual patching
Host patching
Content Security - Spam e Nuove Minacce
30
Pennasilico / Nencini - Security Summit 2010 - Roma
31. Piattaforme
Molti OS diversi tra loro
Necessità di uno strumento unificato
Content Security - Spam e Nuove Minacce
31
Pennasilico / Nencini - Security Summit 2010 - Roma
32. Gestione integrata
Infrastrutture complesse
Gestione complessa?
Content Security - Spam e Nuove Minacce
32
Pennasilico / Nencini - Security Summit 2010 - Roma
33. Minacce?
“34% of all data breach attacks
exploited Web applications”
Verizon
“75% of attacks take place
at the application layer”
Gartner
Content Security - Spam e Nuove Minacce
33
Pennasilico / Nencini - Security Summit 2010 - Roma
34. Compliance
PCI/DSS
Content Security - Spam e Nuove Minacce
34
Pennasilico / Nencini - Security Summit 2010 - Roma
35. Perché compliance?
81% delle intrusioni avvengono su reti che non
sodisfano i requirement delle più diffuse
norme/best practice / guidelines
Gartner
Content Security - Spam e Nuove Minacce
35
Pennasilico / Nencini - Security Summit 2010 - Roma
36. Minacce previste
30,000
e
del volumL'ORA (previsioni
blema di minacce AL
Il pro mpioni
22,500 in ca Ent
previsto
i)
o prudent ro
Aument 233 il 201
.000 5
all'a .000 ,
15,000 nno
7,500
0
2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
Copyright 2008 - Trend Micro Inc.
37. Conclusioni
Le minacce da affrontare sono molte e spesso non
banali da gestire
La tecnologia supporta il lavoro del CSO
Purtroppo si rende sempre necessario fare “hardening”
del personale oltre che delle macchine
Content Security - Spam e Nuove Minacce
37
Pennasilico / Nencini - Security Summit 2010 - Roma
39. These slides are written by Alessio L.R. Pennasilico aka mayhem. They are
subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can
copy, modify, or sell them. “Please” cite your source and use the same licence :)
Grazie dell’attenzione!
Domande?
Alessio L.R. Pennasilico - apennasilico@clusit.it
Gastone Nencini - gastone_nencini@trendmicro.it
Security Summit
10 Giugno 2010
SGM Conference Center, Roma