El documento describe las principales amenazas de seguridad actuales como gusanos de red y spyware y cómo afectan a los negocios. También analiza las características y ventajas de TrusGuard, una solución de seguridad que proporciona protección contra estas amenazas a través de políticas de bloqueo en tres fases y actualizaciones en tiempo real del centro de respuesta ASEC de AhnLab. La implementación de TrusGuard mejora la estabilidad de la red, previene pérdidas y minimiza los tiempos muertos.

1. www.daten.com.mx

2. EL incremento en las amenazas actuales y su impacto en los negocios

3. El incremento en las amenazas de seguridad y como impactan los negocios en la actualidad Summary Los gusanos de red y los spyware son amenazas importantes en la actualidad Las 3 rutas de infeccion preferidas por los gusanos de red: E-mail, weak network defense, NetBIOS. Gusanos de Red y spyware La perdida de una Red causada por una infeccion podria disparar los costosde una empresa de una manera excesiva. Network downtime La mayoria de la empresas tienen defensas inadecuadas contra ataques del tipo Zero Day y alertas producidas por gusanos de red. Defensas debiles contra los ataques mas comunes Respuesta lenta y costosa a nuevos ataques por gusanos de red. IPS instalados en el Internet gateway no previenen la propagacion interna de infecciones. Defensas existentes inadecuadas o limitadas en su funcionamiento

4. Damage of Worms and Spyware Biggest issue in security Total of 336 surveyed Worms 45.83% Spam Mail 13.69% Hacking 7.14% Malicious Traffic (i.e. P2P) 16.07% Virus 16.07% Los gusanos de red representan el principal topico de seguridad que enfrentan las areas de TI hoy dia (45.83% de todos los entrevistados) Source: Datanet, November 2004 Surveyed 336 IT administrators within the Korean IT industry Source: AhnLab Security Emergency Response Center (ASEC) Monthly Report (Feb. 2005) Los incidentes reportados se incrementaron 28.7- veces respecto del a ñ o anterior Total: 11,598 incidents 1 2 3 4 5 6 7 8 9 10 11 12 1 2004 2005

5. Tendencia hacia el Spyware. El Spyware es una de las mas peligrosas amenazas para las redes Corporativas y representa actualmente el 66% de los codigos maliciosos. El incremento de Spyware que intenta “ robar ” informacion privada importante, ha cambiado el paradigma de la Seguridad Informatica, ya que causa da ñ os a los sistemas y al mismo tiempo perdidas financieras. El Spyware se clasifica en adware, downloader, y dialer. ▶ La sofisticacion y diversificacion del Spyware causa a los usuarios perdidas financieras, y esta situacion se incrementa de forma alarmante. worm, virus total 2,956 (34%) spyware (66%) Estadisticas reportadas en cuanto a codigo malicioso en 2006 * 출처 : ASEC Annual Report 2005_ 안철수연구소 Worm 13% Trojan Horse 15% Spyware 66% Dropper 3% File 0% Script 1% extra 2% Category Status Worm 1,133 Trojan Horse 1,353 Dropper 258 Script 53 File 9 Others 150 Spyware 5,837 Total 8,793

6. Al inicio de una contingencia por gusanos de Red, resulta ineficaz tratar de bloquearla en las PC’s de la Red. Los ataques que explotan vulnerabilidades son dificiles de detener con productos que funcionen a nivel estacion de trabajo. El incremento de las infecciones por gusanos se debe a : Que no usan productos antivirus El uso de motores no actualizados No aplicaron parches de seguridad Usuarios mobiles, laptop, celular, etc Los gusanos de Red causan da ños importantes a pesar de tener instalados productos antivirus en los sistemas de la Red. Limitaciones en la respuesta comun a infecciones por gusanos de red. Time Infection Damage ($) Antivirus deployment point for new worms Client protection from this point forward Life Cycle of Worms Initial Spread Rapid Spread Rapid Reduction Remains Extermination

7. Ausencia de Seguridad dentro de la Organizacion La propagacion interna de una infeccion no puede ser detenida mediante un IPS Hay un incremento del uso de VPN entre socios de negocios, wireless LAN, usuarios mobiles, y acceso a usuarios invitados a Redes LAN. La frontera entre amenazas internas y externas esta desapareciendo. Es necesario establecer nuevas fronteras para evitar el acceso a los recursos corporativos. Necesidad de medidas de seguridad mas robustas y confiables que la DMZ . Mail Server Desktop Back bone Switch Workgroup Switch Workgroup Switch Worm Infection Firewall Router File Server Web Server Notebook Internet IPS Importancia De la Seguridad Interna

8. Falsos Positivos en trafico normal Minimizar los falsos positivos es mas importante en la seguridad interna El trafico desconocido puede incrementar el numero de falsos positivos detectados en la Red Interna debido a la existencia de una gran variedad de aplicaciones y protocolos usados en esta. Internal Security Perimeter Security Network Environment Over 1,000 systems to be secured Approximately 100 systems to be secured Application Environment Over 1,000 applications Over 100 protocols Protocol independent Approximately 10 applications Approximately 10 protocols Protocol dependent Management Environment Classification by over 100 user roles and member groups Observation of even unknown traffic (communication should not be interrupted) Need to be controlled locally Approximately 10 user groups when setting policy Able to block unknown traffic Central control is possible

9. TrusGuard Features and Advantages

10. Summary Caracteristicas y Ventajas Las mejores contramedidas para gusanos de red/spyware de la Industria, reunidas en un Appliance. Proteccion 24x7 contra gusanos y spyware Actualizaciones en “tiempo real” del AhnLab Security Emergency Response Center (ASEC) Bloqueo efectivo de Gusanos de Red La mejor tecnologia de prevension y limpieza contra spyware (SpyZero) Bloqueo efectivo de Spyware Instalacion Plug & Play y facil configuracion Minimiza costos de operacion con su administracion centralizada Facil de usar Garantiza el trafico de Red en caso de fallo del equipo (Fail Open) Disponibilidad Politicasde deteccion basadas en identificacion de firmas digitales Minimizacion de Falsos Positivos

11. ASEC ( A hnLab S ecurity E mergency Response C enter ) Las medidas para conterrestar amenazas que ofrece AhnLab permite asegurar la continuidad de los procesos productivos. LA perte del analisis esta realizada por 1 o 2 equipos de ingenieros especialistas en vulnerabilkidades 24 hours x 365 days El cliente tendra la confianza de contar con un equipo de especialistas investigando y trabajando continuamente para dar una respuesta inmediata ASEC Create Network Signature Distribute Vulnerability Information Network Monitoring Discover/Analyze New Worms/Virus/ Spyware Response Decision (Possible Malicious Code) Abnormalities Found Response Decision (Damage, Distribution) Que es ASEC (AhnLab Security Emergency Response Center)? TrusGuard Response Process

12. Worm Blocking Defensa Proactiva y Prevencion Phase 1: Despliegue de Reglas de Defensa Proactiva -> Analisis de vulnerabilidades de OS para predecir las posibles formas de explotarlas por gusanos de red y/o spyware -> Defensa contra patrones de mutacion (possible to defend against 20-30 mutated worms with 2-3 rules generated at Phase 1) Phase 2: Despliegue de Outbreak Prevention Rule -> Prevencion de la propagacion temprana a traves de email filtering -> Filtrado de los paquetes de entrada y salida con la posibilidad de realizarlo por IP/Port/Protocol Phase 3: Despliegue de los patrones de deteccion por firmas digitales -> Despliegue de los patrones de deteccion y bloqueo de gusanos/spyware a traves de sus firmas digitales despues de la recoleccion de ejemplos Weakness Reported Worm Appearance Deploy Vaccine Phase 1: Proactive Defense Phase 2: Early Prevention of Worm Outbreak Phase 3: N/W Signature based Worm Blocking

13. Block Spyware Actualizacion de Politicas en tiempo real por el “Equipo Spyzero” usando la mejor tecnologia disponible Bloqueo de Sitios Web que contengan codigos maliciosos Identificarlos es una de las tareas mas prioritaria para el Equipo de desarrollo de Spyzero Block spyware which exploits IE weaknesses Block URLs of major spyware sites Bloquear spyware que explote vulnerabilidades de IE autoinstalandose sin el consentimiento del usuario Bloquear intentos de transmision de paquetes de instalacion de spyware que utilicen vulnerabilidades de IE en estaciones de trabajo Actual Spyware Block Screen Blocked Spyware Analyze Screen

14. Detecta y Bloquea Ataques a la Red Protege a la Red Interna de “hackers” mediante sus caracteristicas de “network attack detection” Aplica Politicas de AhnLab optimizadas para el bloqueo de intrusiones de red ATTACKS Block DoS, DDoS, Network Scanning Attack WEB, CGI weaknesses Protocol Anomaly attacks . . .

15. Efectos de la implementacion de Politicas de TrusGuard

16. Summary Efectos de la Implementacion Bloqueo temprano de gusanos de red mejorando la estabilidad del backbone de la red Bloqueo de las amenazas representadas por usuarios mobiles, etc. Proteccion del Backbone de la Red Deteccion de PC’s infectadas minimizando la perdida del ancho de banda disponible Configuraciones de seguridad y control de los clientes mediante APC 3.0 Robustas Politicas de Seguridad en Estaciones de Trabajo Previene la perdida de informacion con su bloqueo temprano de Spyware Previene la perdida de informacion Minimiza los tiempos muertos en la red causados por infecciones Protégé la red y sistemas de gusanos de red Ofrece continuidad en la Operacion Previene el daño producido por gusanos mediante la prevencion temprana Prevencion de daños producidos por gusanos de red Minimiza falsos positivos mediante las politicas de deteccion y bloqueo por firmas digitales Ofrece disponibilidad de Comunicacion Interna

17. Effect of 3-Phase Worm Blocking Time Infection General distribution point of vaccine engines Outbreak blocking policy distribution point System Stable from this point Vulnerability reported N/W signature Blocking policy distribution point Proactive Blocking policy distribution point Worm Created System Stable from this point System Stable from this point System Stable from this point Reduce rapidamente la propagacion de gusanos de red mediante sus 3-fases de politicas de bloqueo, antes e inmediantamente despues de la identificacion del codigo Phase 1 Phase 2 Phase 3 Life Cycle of Worms Distribution of TrusGuard’s 3 Phase Block Policy Initial Spread Rapid Spread Rapid Reduction Remains Extermin-ation

18. Ventajas en la Red Interna al utilizar TrusGuard Reforzando la Seguridad Interna Block TrusGuard 3100 Block Block Internet Block Block IPS Alto indice de deteccion y bloqueo en tiempo real de gusanos mediante la implementacion de politicas Bloquea ataques producidos por hackers y/o gusanos/ spyware que pudieran tener un origen interno Control sobre las PCs infectadas que han violado las polioticas establecidas Protégé las Redes que no han sido protegidas internamente con un IPS Minimiza interrupciones en la comunicacion con las politicas basadas en firmas

19. N/W Security Appliance AhnLab TrusGuard 3100 Email Gateway Security AhnLab GateScan V3 Email Groupware Security V3NetGroup for MS Exchange 2003 V3NetGroup for Lotus Notes 5.0 Client Security V3Pro 2004 AhnLab Security Pack AhnLab SpyZero File Server / Internet Server Security V3Net for Windows Server 6.0 V3VirusWall FileScan Security Management AhnLab Policy Center 3.0 AhnLab Outbreak Management Services AhnLab TrusGuard Manager 1.0 Mobile Devices Security V3Mobile for Palm V3Mobile for WiPi AhnLab Solution On-line Game Security HackShield ASP myV3 myFirewall MyKeyDefense Vmon SpyZero Internet Intranet Gateway Management

20. Gracias Sales General DATEN [email_address]