Bekæmpelse af orme-angreb med Network Virus Wall

1. Bekæmpelse af orme-angreb medNetwork Virus Wall

2. Agenda • Orme - truslen mod netværket • Løsningen: Trend Micro Network VirusWall • Implementerings muligheder • Afrunding

3. Virus udviklingen

4. “Tænkt eksempel” Colin er en dygtig sælger hos et større firma: • Han rejser meget og kan derfor være ude af kontoret i en længere periode • Antivirus er “out of date” • Mangler nyeste Microsoft Security patches …..Han starter sin maskine op for at komme på det interne net … sikkert for at få sin maskine opdateret…

7. Sasser Sasser Sasser Sasser Sasser Sasser Firmaets netværk

8. W32/Sasser.Worm.b

10. Oprydning IT-afdelingen skal: • Identificerer & isolerer inficerede maskiner • Rense dem • Installerer relevante patches Konsekvensen for firmaet: • Så længe oprydningen pågår, arbejdes på nedsat kraft = tabt fortjeneste.

11. Gennem netværket, via bagdøre (uafhængig af standard netværks porte og protekoller) Virus hæfter sig på en fil, Typisk via mail-attachments Spredes Udnytter sårbarheder i operativ systemet eller installerede programmer Idag mest som social-engineering Inficerer Kræver at en bruger gør noget aktivt, f.eks. klik på attachment eller link Aktiveres Selv-eksekverende Scanning af file-I/O (open/close) actions eller Memory scanning (langsomt) Scanning af netværks-traffic Detekteres Forskelle mellem netværks orme og “traditionelle vira”

12. Application Presentation Session Transport Network Data link Physical Problem #1 Traditionelle Antivirus produkter Netværks-orme Spredes på dette niveau

13. 18 26 185 336 Problem #2 Time(days) Patch: MS04-011 Apr. 13, 2004 May 1, 2004 SASSER Patch: MS03-026 Jul. 16, 2003 Aug. 11, 2003 BLASTER.A Patch: MS02-039 Jul. 24, 2002 Jan. 25, 2003 SLAMMER Patch: MS00-078 Oct.17, 2000 Sept. 18, 2001 NIMDA

14. Sasser Sasser Sasser Netværks scanning X

15. Sasser Sasser Sasser Damage Clean Up

16. Muligheder med Network VirusWall • Drop inficerede pakker => netværket kan stadig benyttes • Inficerede maskiner sættes i karantæne • Aktiver en rensning af inficerede maskiner med Damage Cleanup Service (DCS) • Effektiv og hurtig, fordi den kun trigger på virus i netværks pakker.

18. Muligheder med Network VirusWall • Check om maskiner der logger på netværket overholder firmaets Antivirus politik: • Trend Micro • Serverprotect • OfficeScan • PC-Cillin • Symantec: Norton Anti-virus CE • NAI: McAfee med ePO agent

19. Muligheder med Network VirusWall • Check om maskiner der logger på netværket overholder firmaets “patch politik”: • Bloker for adgang gennem NVW • Re-derigerer brugere til update site • Brugere aktiverer ny patch-scanning og får adgang

20. Outbreak Monitor på netværket Traffic Volume • High 19000 Connections • Medium 9500 Connections • Low 4750 Connections Monitor Sensitivity • High 10 Seconds • Medium 20 Seconds • Low 30 Seconds

21. Outbreak Prevention Service Eksempel: WORM_BAGLE.X

22. NVW Familien Sikring af enheder Sikring af segmenter Sikr. segmenter, servere NVW 2500 NVW 1200 NVW 300 • NVW 300 Sikring af mission-critical enheder som f.eks. hæveautomater, kasseapperater, medicotekniske enheder, produktionsovervågnings udstyr) • NVW 1200 Sikring af netværket mod “mindre sikre net”, som f.eks. VPN og WLAN • NVW 2500 Sikring af multiple segmenter og servere

23. Sammenligning

24. Placering i VPN

25. WLAN

26. High Availability Backup NVW er altid klar, hvis den aktive NVW skulle fejle.

27. Alert CM NVW 300 Banken’s hovedkontor Router Lokal kontor LAN Switch /Router LAN Switch X Hæveautomater Hæveautomater Server PC PC PC Back office

28. Spørgsmål