¿Que es Deep Security de TrendMicro?

Porque? nuestro antivirus tradicionales no tiene la inteligencia y no fueron desarrollados para trabajar en la capa del HYPERVISOR.

Que es el HYPERVISOR?

Hypervisor o Virtual Machine Monitor (VMM) es una tecnología que esta compuesta por una capa de software que permite utilizar, al mismo tiempo, diferentes sistemas operativos o maquinas virtuales (sin modificar o modificados en el caso de Virtualización) en una misma computadora central. Es decir es la parte principal de una máquina virtual que se encarga de manejar los recursos del sistema principal exportandolos a la máquina virtual

Mayor comprensión de su contenido.

Esta capa de software (VMM) maneja,  gestiona y arbitra los cuatro recursos principales de una computadora (CPU, Memoria, Red, Almacenamiento) y así podrá repartir dinámicamente dichos recursos entre todas las maquinas virtuales definidas en el computador central.

En la actualidad todos los fabricantes tanto de Software como de Hardware están trabajando para mejorar, en ayudar al Hypervisor (VMM) y así poder llegar a una virtualización completa,
fiable y robusta.

Existen varios Tipos de Hypervisor:

Type II: Tipo Hosted

– Hardware / Sistema Operativo / Hypervisor VMM / Maquina Virtual

Este tipo de hypervisor necesita un Sistema Operativo completo para poder ejecutarse

Type I: Tipo Non-Hosted / Binary translation

– Hardware / Hypervisor VMM / Maquina Virtual

Este tipo de hypervisor opera como una capa intermedia entre el hardware y los sistemas operativos invitados (Maquinas Virtuales, guest).

Todas las traducciones binarias (binary translation) de CPU, Memoria, Red, Almacenamiento las hace la capa VMM

Paravirtualización: Tipo Non-Hosted / Hardware assist (Intel VT, AMD-V)

– Hardware / Hypervisor VMM / Maquina Virtual Nativa o Modificada

Este tipo de hypervisor opera como una capa intermedia entre el hardware y los sistemas operativos invitados (Maquinas Virtuales, guest).

Todas las traducciones binarias (binary translation) Red, Almacenamiento las hace la capa VMM y las traducciones binarias de CPU, Memoria la hace mediante el hardware (hardware assist).

Fullvirtualización: Full Hardware assist (Futuro de la virtualización Intel VT, AMD-V, NPIV..)

– Hardware / Hypervisor VMM / Maquina Virtual Nativa o Modificada

Cómo seguir usando Windows 2003 hasta el 2020 utilizando Trend Micro con Virtual Patching o mejor aun con Deep Security esta es mi recomendacion firme. porque nos cubre todos los ambientes, equipos físicos, equipos virtualizados y para nuestro salto hacia la NUBE….agilizando nuestra tareas como Administrator.

Un poco de historia y reflexión.

El 14 de julio que sucedió realmente con el soporte de Windows Server 2003?Fin de vida de soporte, no quiere decir que no funcione nuestro servidor ya lleva más de 12 años este Sistema Operativo Windows Server 2003.

Porque seguir utilizando esta plataforma?

El inconveniente que se nos presenta en su mayoría son las aplicaciones que corren hoy con las necesidades de negocio que están estables. Y se siguen utilizando porque lleva tiempo y dinero la migración de las aplicaciones.

Realmente lo que significa fin del soporte de Microsoft?

Es que no vamos a recibir más actualizaciones. Frente a las nuevas vulnerabilidades no tendrán soporte. Sería el fin de parches que si resuelven vulnerabilidades desarrolladas por desarrolladores lo cual no va a existir mas información en ningún lado por parte de Microsoft.

Ojo con las ingeniería inversa dado que esto se va a saber a nivel mundial.

Cuanto grave es que no estén estos parches?

Pensemos el antes y después del 14 de julio, vemos los detalles en el sitio

http://www.cvedetails.com/product/7108/Microsoft-Windows-Server-2003.html?vendor_id=26

Donde se nos muestran las vulnerabilidades.

Como todos sabemos en un Sistema de Producción nunca lo tenemos al día por su criticidad.

Dado que se deben analizar correctamente en todas las aéreas y riesgos esto nos lleva a 60 días o más para aplicar los parches en nuestros servidores. Considerando si me afecta en la operación por lo tanto se debe analizar los costos.

Hoy vulnerabilidades existen muchas ¡!!

ejemplo día cero y de otros fabricantes.. El riesgo sube cuando el Exploit se va fortaleciendo ejemplo en manos de los cibercriminales.

Y se comienza a utilizar el Exploit kit donde debemos tener cuidado frente a esto, a veces no se puede realmente aplicar el parche porque se deben probar bien.

Son muchos los factores, y medir el impacto, ejemplo sistemas viejos o aplicaciones propietarias.

Que hace Trend Micro?

Lo que hace Trend Micro es blindar el riego y comprar tiempo, escanean nuestros servidores y nos indican las vulnerabilidades, y Trend Micro disminuye el tiempo de aplicación de parches solo que no tenemos más la solución por parte del fabricante.

Trend Micro nos va a brindar ayuda sobre las vulnerabilidades ojo solo sobre las críticas.

Como hago frente ante las auditorias, si demostrando que no tengo vulnerabilidades a pesar de no tener los parches y Microsoft

Ejemplo: Microsoft ya saco un parche sin aviso, ejemplo el KB3079904 porque sucedió el evento critico, fue el Hacking team a pesar de fin de de ciclo Microsoft igual lo público.

Cuidado debemos ver siempre los boletines porque lamentablemente no va a estar el servidor 2003.

CSO indica para que sistemas operativos está disponible esta vulnerabilidad., entonces ver en todo caso Trend Micro vulnerabilidad, donde Trend Micro envía un parche virtual, si estamos utilizando Trend Micro en modo virtual.

Que opciones tengo, soporte extendido?

Dependiendo del contrato, nos va a brindar soporte extendido, se incluye el parche de vulnerabilidad.

En resumen: la primer opción es no hacer nada, ver esquema, ver costo que nos va a implicar y riegos de la parte operativa.

La otra es asumir los riegos o comprar el soporte extendido de Microsoft.

Importante analizar siempre y evaluar si se puede la actualizar frente a nuestras aplicaciones.

Trend Micro nos brinda componentes de parches virtuales, monitoreo de integridad, analizamos el antes y después antes de ser posiblemente atacado y por ultimo White Listing, sería hacer una lista blanca de nuestro servidor para que no se realicen cambios.

Que es el parcheo virtual?

Tenemos también Server 2003 y aplicaciones, ejemplo: PHP APPS java, Oracle, MSSQL, SAP y otros. Lo que hace Trend Micro es crear reglas para blindar y evitar que nos ataquen.

Ventajas es seguir utilizando el mismo Servidor 2003 a pesar de que nos dice Microsoft.

Preguntas para nosotros y que analizamos?

Cuantos servidores.

Cuáles son mis opciones.

Costos asociados Microsoft.

Plataformas, evaluar bien las alternativas tecnológicas y alternativas y riegos en mi organización.

Trend Micro indica que es mas económico su solución que la de Microsoft sobre el soporte extendido. Aun no lo he comprobado, esto se los dejo como tarea a ustedes!!!

NOTA: antes de poner un parche la herramienta realiza un escaneo de recomendaciones y nos indica cuales son las vulnerabilidades. Así podemos saber qué tipo de regla es necesaria.

Otras: también sirve para servidores Linux o otras versiones, dado que protegen varios kernel, físicos y virtuales.