Framework Trend Micro para proteção contra Malware em SCADA

TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Visão Global de soluções da Trend Micro para controle de malware em redes SCADA

Maio de 2014

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

AgendaAgendaAgendaAgenda

• Mudanças nos ambientes de controles industriais

• Características especiais e requerimentos de segurança para ICS

• Solução integrada de segurança para ICS

• Soluções Trend Micro

• Trend Micro Safe Lock

• Trend Micro Portable Security 2

• Trend Micro USB Security

• Deep Discovery

•Trend Micro Deep Security

•Trend Micro Network Virus Wall Enforcer


Mudanças nos ambientes de controlesindustriais


Fábrica de automóveis Usina siderúrgica Indústria químicaParada de 13 linhas de produção

$14M perdaParada de 13 linhas de produção

$14M perda

Vírus ZotobVírus Zotob

Laptop e rede localLaptop e rede local

Parada do sistema de controlede turbinas

Parada do sistema de controlede turbinas

Vírus DOWNAD/ConfickerVírus DOWNAD/Conficker

desconhecidodesconhecido

8 horas de inoperância SCADA8 horas de inoperância SCADA

Vírus PE_SALITYVírus PE_SALITY


Incidentes em ambientes ICS

Paralisação de centrífugas(crash)(reportado pela mídia)

Paralisação de centrífugas(crash)(reportado pela mídia)

Vírus StuxnetVírus Stuxnet

Porta USB e rede localPorta USB e rede local

Instalações Nucleares Planta de tratamento de H2O Controle de ferroviasPerda de controle por 3 meses

(1Milhão de litros poluídios despejados )Perda de controle por 3 meses

(1Milhão de litros poluídios despejados )

Acesso não autorizadoAcesso não autorizado

Link de conexão sem fioLink de conexão sem fio

Desligamento na hora do rushDesligamento na hora do rush

Vírus BlasterVírus Blaster


Infecção

Causa

Meio

Infecção

Causa

Meio


ICS-CERT EUA - Resposta a incidentes

Fontes: ICS-CERT Incident Summary Report, http://www.us-cert.gov/control_systems/pdf/ICS-CERT_Incident_Response_Summary_Report_09_11.pdfICS-CERT Monitor, June 2013

2012 OUT 2012~ MAI 2013

198

MédiaMensal:

25.5Incidentes

Mais de 300 incidentesno ano fiscal de 2013

• Número de incidentes em infraestruturas críticas• ICS-CERT registrou 204 ocorrências, de Outubro de 2012 a Maio de 2013. • Média mensal de 25.5 incidentes.

2011

198

20102009

94

204


Incidentes de segurança em industrias no Brasil

Incidentes # CasosMalware 27

Erro Humano 24

Falhas em dispositivos 15

Sabotagem 2

Outros - Não identificados 9

Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em

redes de automação brasileiras


Exemplos de ICSs & Sistemas Industriais incorporados

FA (Discreta) Plantas de Automação

Semicondutores Equip. de AnáliseMédicos POS ATM

ICS = Industrial Control Systems = Sistemas de Contr ole Industriais (SCADA)


Administração de ICSsCenários abertos e o colapso da Segurança

Passado Item Presente

Ambiente FechadoFisicamente fechado Ambiente

Indo para cenários abertosConexão com meios externos via

redes, uso de drive USB

SO/Aplicações EspecíficasProtocolos Específicos Tecnologia

SO / Aplicações PúblicasProtocolos Padrões

(EtherNet/IP, PROFINET, CC-Link IE, etc)

Raros Incidentes Tendência de Crescimento(STUXNET e similares)

3,0%

7,3%

13,7%

88,9%

Other

Linux

Unix

Windows

SOUso de Mídia Externa

Fonte:*1,2 : METI http://www.meti.go.jp/committee/kenkyukai/shoujo/cy ber_security/001_06_01.pdf

*1*2


Características especiais e requerimentos de segurança para ICS


T.I. x T.A.

*C（（（（Confidentiality ：）：）：）：）, I（（（（Integrity ））））, A（（（（Availability ））））Source ：：：：IPA, Survey about ICS of Critical Infrastructure a nd IT Service Continuity , Sep, 2009

Sistema de Controle (T.A.)Requerimento de

SegurançaSistema de Informação (T.I.)

D.I.C (Disponibilidade ) Prioridade C.I.D24x365 operação estável

（Sem parada permitida）rebootDisponibilidade

Horário Comercial(Parada aceitável) reboot

Pior caso, prejuízos e danosdrásticos

Resultado do incidentePerda financeiraDanos privados

10 - 20 anos Reflexo Operacional 3-5 anos

Resposta em tempo realVelocidade de

processamento de dadosMenor impacto porResposta em 1 dia

Irregular por cada fornecedorde ICS, a longo prazo

(uma vez a cada 1~4 anos)

Ciclo de aplicação de patches

Periódico e Regular

Depto. de campo Gerenciamento Operacional Depto. de TICAmeaças se tornam realidade

e causam incidentesMaturidade Já atingida. Básica.

De acordo com o Nível local Padrão de segurança EstávelBens （plantas, produtos）

Serviços （operações）Objetos / Ativos Informação

Sistemas de Controles Industriais - ICS - possuem suas pe culiaridadesespeciais e são bastantes diferentes de sistemas de info rmação


Características dos Sistemas de Controle

1. Foco na DISPONIBILIDADE (NO STOP)

2. Operação a longo prazo

3. Transferência de dados em tempo real

4. Não são administrados pela T.I.


Requerimentos específicos de um ICS

SSR-1 Sistema NO STOP

SSR-2 Segurança em arquitetura fechada de rede

SSR-3 Sem aplicação frequente e regular de patches

SSR-4 Guarda impacto mínimo na performance de sistemas

SSR-5 De fácil instalação e não é operado por T.I.


Planta de automação

Contramedidas em ICSs

Relay/terminalServer

EWS

IHM

Internet

PLC/DCS

Fornecedores de ICS

Integradores de Sistemas

PC de escritórioPC de escritório

Field bus

HistóricoServidor OPCManutenção

Serviço de manutenção

DMZ da PlantaRede de Controle de Informações

PC de operação MES

Rede de Controle

5 55

5

44

6

6

3

1

2

2

2

7

①①①①Contramedidas

①①①① Gateway de rede

1

1

⑦⑦⑦⑦ PCs de terceiros

②②②② Rede③③③③ Servidor (DMZ)④④④④ Cliente/Servidor

(Controle)⑤⑤⑤⑤ Cliente/Servidor:

(Controle)⑥⑥⑥⑥ Mídia externa

Rede Corporativa


①②①②①②①②

Gateway/Rede

Servidor/Cliente PC

⑥⑦⑥⑦⑥⑦⑥⑦

MídiaExterna/PC

③③③③ DMZ④④④④ Autenticação de rede

⑤⑤⑤⑤

Controle de rede

TMUSB

• Sistemas sem mudanças• Escanear e limpar com o último

padrão homologado (default) de arquitetura fechada

• Proibiracessos e dispositivosnãoautorizadosde conectar aoICS

Prevenção

Detecção

Desinfeccção

Requerimentos fundamentais de segurança

Missão CríticaUso específico

Não Missão CríticaUso geral

• Sistemas NO STOP• Proteger sistemas mesmo em redes

de arquiteturas fechadas• Proteger sistemas que não

possuem aplicação regular de patches

• Manter impacto mínimo naperformance do sistema

• Oferecer fácil instalação e operaçãopara pessoal que não é de IT.

• Protegersistemas quepossuemmudançasfrequentes

• Protegersistemas quetrocam apps e docs de fora da rede

• Protegersistemas de acessos e dispositivos nãoautorizadosBYOD (ex)

• Monitorar e controlar o processamento de dados em zonaslimitadas

N/A

• Criação de redesegmentada basedaem zonas e níveis de riscos

• Bloqueio de acesosnão autorizados e malware


①②①②①②①②

Gateway/Rede

Servidor/Cliente PC

⑥⑦⑥⑦⑥⑦⑥⑦

MídiaExterna/PC

③③③③ DMZ④④④④ Autenticação de rede

⑤⑤⑤⑤

Controle de rede

TMUSB

1. No change system2. Scan and clean with latest pattern

file even in closed network regularly

1. Prohibit unauthorized external device

2. Scan external device with latest pattern before/after connect with ICS

Prevenção

Detecção

Desinfecção

1. Create network segment based on risk level as zone

2. Block unauthorized access

Solução Trend Micro para ICSs

1. No stop system in update or recovery time frequently.

2. Secure the system even in closed network

3. Secure the system that cannot patched regularly

4. Keep minimum impact on system performance

5. Offer easy installation/operation for non IT persons

1. Secure the system that exchange data and documents through outside of plant

2. Secure the system that is accessed by many unauthorized devices

1. Monitor and control communications at zone boundaries

2. Record packets as logs for audit

N/A

Trend Micro Safe Lock“Multi-layer LOCKDOWN”

Trend Micro Portable Security

“Escaneamento de Malware / ferramenta de limpeza para PCs isolados ou em rede

Trend Micro Deep Security“Proteção modular

compreensiva, para servidores, PCs e laptops”

Trend MicroUSB Security“Armazenament

o USB protegido”

Trend Micro Deep

SecurityN/A

Trend Micro Deep Discovery

“Controle, análise e visibilidade da rede”

Trend Micro Network VirusWall

Enforcer

Não Missão CríticaUso geral

Missão CríticaUso específico


Planta de automação

Relay/terminalServer

EWS

IHM

PLC/DCS

Fabricantes ICSIntegradores de

sistemas

PC EscritórioPC Escritório

Field bus

HistóricoServidor OPCManutenção Serviço de manutenção

DMZ da plantaRede de controle de informações

PC de operações MES

Rede de controle

Rede corporativa

Deep Discovery

NVW Enforcer SafeLock

Deep Security Portable Security

USB Security

Internet

PontosPontosPontosPontos de de de de contramedidascontramedidascontramedidascontramedidas emememem ICSsICSsICSsICSs


Soluções Trend Micro


Trend Micro Safe Lock


1. Aplicação de Whitelisting2. Proteção contra exploits3. Não há necessidade de conexão web4. Fácil Operação

Características

Previne a execução e invasão de malware. Garante a segurança enquanto mantém a

disponibilidade com o mínimo de impacto no ambiente ICS.

Trend Micro Safe Lock (TMSL) – Visão geral

Infecção Malware por USB

PC infectado com Malware

TMSL

Ataque em um Processo Operacional SCADA

Exploit

Arquivo Permitido

Comportamento nãoesperado / autorizado

Software de controle de Sistemas para dispositivos de funções fixas


Aplicação de Whitelisting

Apenas apps registradas podem serexecutadas

� Sem necessidade de reboot durante a operação

� Sem rede� Sem carga de arquivos padrões� Sem operação de scan

Sem necessidade de web

Sem atualização diária de assinaturas

Proteção contra Exploit

Fácil operação

Interface amigávelSegurança portátil Trend Micro

� De uso fácil� Geração automática de listas� Configuração de permissões de uso� Pode usar tecnologia Trend Micro Portable

Security sem a adição de listas

Intrusão de Malware & Prevenção de Execução�Reduz risco de infecções por bloqueio de pacotesde exploits �Reduz execuções ilegais através do monitoramentode comportamentos

Características


Visão geral de funçõesFunções básicasInterface • GUI, CLI

Aplicação de Whitelisting • Somente aplicações registradas em listapoderão ser executadas.

Gerenciamento de listasde aprovação

• Setup inicial simplificado da lista de aprovações, edição manual, funçõespredefinidas de atualizaçõesautorizadas, Import/Export

• A lista pode ser modificada sem unlock• Sem necessidade de reboot após editara lista

Contramedidas sobreataques e vulnerabilidades

• Previne USB malware e infecção via rede local

• Controle comportamental• Proteção de memória

Setup de privilégios • Restringe funções que podem serutilizadas por outros usuários que nãosejam administradores

Log • Mostra cada evento no Win Event log

Funções avançadasTMPS linkage(*) • TMPS pode escanear e limpar

malware sem necessidade de ediçãoda lista de execuções aprovadas

*Trend Micro Portable Security, Malware scanning /cleanup tool for PCs which are standalone or in closed N/W

[Tela da Lista de Gerenciamento]

[Tela Principal]


2. Instalação

1. Pre-instalação /

Scan

Use TMPS*1 para limpar malware do(s) dispositivo(s) alvo(s)

Instale o TMSL usando o CD de instalação

3. Lockdown no sistema

Uma lista de aprovação é criada e, atocontínuo, é realizado lock down no sistema

4. Operação

Quando o sistema é atualizado, o TMUSB é utilizado de acordo com a lista de aprovaçãode atualizações (escaneamento de malware e limpeza usando o TMPS se necessário)

TMUSB

TMPS

TMPS

TMSL - Instalação e operação


Trend Micro Safe Lock for Client Trend Micro Safe Lo ck for Server

Sistemas Operacionais

Windows 2000 Professional SP4 32bitWindows XP Professional SP1, SP2, SP3 32bitWindows Vista Business / Enterprise / Ultimate NoSP, SP1, SP2 32bitWindows 7 Professional / Enterprise / Ultimate NoSP, SP1 32/64bitWindows XP Embedded Standard SP1, SP2 32bitWindows Embedded Standard 2009 NoSP 32bitWindows Embedded Standard 7 NoSP, SP1 32/64bitWindows Embedded Enterprise XP SP1, SP2, SP3 32bitWindows Embedded Enterprise Vista NoSP, SP1, SP2 32bitWindows Embedded Enterprise 7 NoSP, SP1 32/64bit

Windows 2000 Server SP4 32bitWindows 2003 Standard / Enterprise / Storage SP1, SP2 32bitWindows 2003 R2 Standard / Enterprise / Storage NoSP, SP2 32bitWindows 2008 Standard / Enterprise / Storage SP1, SP2 32/64bitWindows 2008 R2 Standard / Enterprise / Storage NoSP, SP1 64bitWindows Embedded Server 2003 SP1, SP2 32bitWindows Embedded Server 2003 R2 NoSP, SP2 32bitWindows Embedded Server 2008 SP1, SP2 32/64bitWindows Embedded Server 2008 R2 NoSP, SP1 64bit

CPU Equivalente ao mínimo dos requerimentos do sistema operacional

Memória Equivalente ao mínimo dos requerimentos do sistema operacional

Espaço necessárioem disco rígido

Mínimo de 300MB (*checado na instalação)

Resolução de vídeo VGA (640x480, 16 cores)

TMSL requerimentos de sistema

Limitações

– Algumas funcionalidades de prevenção de ataques (randomização de memória, prevenção de injeção em DLLs, prevenção contra hooking de API) não funcionam em Sistemas operacionais de 64 bits.

– Este produto pode ser instalado no mesmo ambiente que outros produtos da Trend Micro.

– Escaneamento e limpeza de malware não podem ser realizados com este produto. Para escaneamento de malware e limpeza você precisará de outro produto (por exemplo o Trend Micro Portable Security).

– Se você possui componentes de sistema operacional windows customizados, o suporte do produto pode não estar disponível em alguns casos que dizem respeito a falhas que normalmente não ocorrem em ambientes não-customizados.

– Se você estiver usando criptografia de pastas ou virtualização de aplicações através de funções do Sistema operacional ou produtos de terceiros, todas as aplicações controladas por estas pastas não serão suportadas.

– Se a edição em Japonês for usada em ambientes nos quais o pacote de linguagem para Japonês tiver sido instalado em um Sistema operacional em inglês, alguns problemas com fontes podem ocorrer. Além disso, em alguns casos o suporte do produto pode não estar disponível a respeito de falhas que ocorrem como resultado da operação neste ambiente.


Trend Micro Portable Security 2


1. Escaneamento de malware usando o último padrão *1

2. Sem necessidade de instalação *2

3. Gerenciamento centralizado4. LEDs indicam os resultados

Ferramenta de escaneament

o

Internet Computador de gerência

Rede fechada

Conexão

Isolado

Servidor de atualizações

*1 Escaneamento de malware é realizado em computado res para gerência ou ferramentas de escaneamento com as atualizações mais recentes. *2 Apesar de drivers serem criados temporariamente nos PCs a serem escaneados e arquivos criados nos discos rígidos locais, estes drivers e arquivos não permanecem nos PCs escaneados uma vez que o escaneamento tenha sido concluído.

Trend Micro Portable Security 2 – Visão Geral

Principais funcionalidades

Provê escaneamento on-demand para os seguintes PCs com o último arquivo padrão:- PCs sem conexão com a internet- PCs que não permitem a instalação de produtos anti-malware

Ferramenta de limpeza e escaneamento de para PCs e Sistemas fechados


Escaneamento de malware com osúltimos padrões (assinaturas)

Desenhado para escanear PCs isoladosou em redes fechadas com os últimospadrões

� Ferramenta de escaneamento via drive USB � Arquivos de padrões podem ser atualizados� Boot via USB para escaneamenton

Gerenciamento Centralizado

Gerenciamento centralizado para escaneamento & Log

� Configura ferramenta de escaneamento� Coleta log do escaneamento� Coleta log de eventos do Trend Micro Safe Lock

Principais funcionalidades

LEDs mostram status & resultados

� Três LEDs piscam alternadamente no escaneamento

� LED AZUL - PC limpo

� LED VERMELHO - malware detectado & ignorado

� LED AMARELO - malware detectado e limpo

PC isolado e rede fechada

ManagementComputer

Escaneamento

Ferramenta de escaneamento

Instalaçãode

software

Escaneamento


Desenhado para escanear PCs seminstalação de programas

� Permite escaneamento de dispositivosincorporados como dispositivos médicos

Sem necessidade de instalação

LEDs para notificar os resultados


Programa de gerência (opcional)

Padrões de Malware - Arquivos de

atualizaçõesAplica os arquivos de atualizações

Configuração de ferramentas de

escaneamento (SCAN Tool)

•Setup de pastas (folder): “All Local Folders”, “Specific Folders (select multiple)”, “Intelliscan” *1 e “Default Folders”

•Ações de escaneamento (scan): “Virus Scan Only”, “Select Manual Processing”, ou“Processing Recommended by Trend Micro *2”

•Mudanças de setup de escaneamento: “ Don’t Allow”, “ Allow”

Gerenciamento e visão de logs Gerenciamento centralizado de escaneamento e logs*3

Coordenação com Trend Micro Safe

Lock (TMSL)

Coleta de log de eventos durante escaneamento de malware (scan) do computador

em que o TMSL está implementado .

Funções Gerais


Programa de gerência

*1 Todos os drives são checados e somente os arquivos que são facilmente infectados por malware são escaneados.

*2 As funções de “Quarantine”, “Fix”, e “Ignore” apropriadas para cada tipo de malware são realizadas. O processo recomendado é revisado regularmente, e deve ser alterado com as últimas

atualizações.

*3 As configurações da ferramenta de escaneamento podem ser modificadas e os logs podem ser coletados de um ambiente remoto.

*TMPS não realiza funções de escaneamento em tempo real

* Como o TMPS não fornece espaço para que dados de clientes sejam escritos nele, ele não pode ser usado como um drive USB típico

* Escaneamentos de malware não podem ser realizados em computadores de gerência


escaneamento de malware e coleta

de logs de PCs escaneadosPCs são escaneados em busca de malware e os logs são coletados

Previne infecções via USB TMPS protege drives USB de infecções por malware

Notificação através de LEDs Notifica resultados via LEDs coloridos

Boot via USB para escaneamentoescaneamento através de boot via pendrive com ferramenta de escaneamento

atualizada

Atualização de assinaturas (pattern)As atualizações de assinaturas são baixadas a partir do computador de gerenciamento

centralizado ou diretamente dos servidores da Trend Micro


O programa de gerenciamento adquire a última assinatura de malware e também o motor de escaneamento via servidor ativo.

TMPS2 conecta à máquina em um ambientesem conexão com a internet e o programa de gerenciamento é instalado.

Gerenciamento

(1) Instalação do Programa de

Gerenciamento

A ferramenta de escaneamento é conectadaà máquina para operações locais e atualização de assinaturas.

(2) Atualização

(3) (3) Sincronização

(4) Scan

(5) Envio de logs

Ferramenta de escaneamento é conectada aoPC para escaneamento de malware.

Os logs são salvos e enviados à máquinagerencial via PC de trabalho.

Máquina Gerencial


(1)

(2)

(3)

(4)

(5)

PCs a

s

PCs a serem

escaneados

Servidor Ativo de Atualizações

Internet

Em PCs que não estão conectados à internet, o software

anti-malware não pode ser instalado (terminais de controle

industriais, hardware de medição, etc.)

PC de trabalho

Exemplo – Gerenciamento Centralizado


O programa de gerenciamento adquire a última assinatura de malware e também o motor de escaneamento via servidor ativo.

TMPS2 conecta à máquina em um ambientesem conexão web, e o programa de gerenciamento é instalado.

(1) Ativação

escaneamento

(1) Ativação da ferramenta de escaneamento

Altera e confirma o setup da ferramenta deescaneamento

(2) Atualização

(3) (3) Configurações

(4) (4) Escaneamento

(5) Salva logs

Ferramenta de escaneamento é conectada aoPC para escaneamento de malware.

Os logs são salvos e enviados à máquinagerencial via PC de trabalho.


(2)

(3)

(4)

(5)

(1)

PCs a seremescaneados

Servidor Ativo de atualizações

Internet

Em PCs que não estão conectados à internet, o software

anti-malware não pode ser instalado (terminais de controle

industriais, hardware de medição, etc.)

PC de trabalho

Exemplo – Uso de ferramentas de escaneamento isolado


*1 Trend Micro Portable Security 2 não suporta Microsoft Windows 8 e Windows 8 RT instalados em tablets.• * Versões em Inglês e Japonês dos Sistemas operacionais são suportadas.• * Os tipos de Sistemas operacionais e o espaço livre em HD especificados nos requerimentos de Sistema estão sujeitos a alterações sem aviso prévio devido a razões de suporte ao EOL do Sistema operacional, melhorias no produto Trend Micro, etc. Por favor verifique em http://go2.trendmicro.com/geoip/tmps2 as informações mais recentes

* TMPS2 não oferece funcionalidades de escaneamento em tempo real.* TMPS2 não pode ser usado como um drive USB típico pois não fornece espaçõ para a guarda de dados de usuários.• O Disco de emergência cria log de escaneamento do boot no computador que está sendo escaneado.

Requerimentos de SistemaPrograma de Gerência Ferramenta de escaneamento

Sistemas Operacionais

Windows XP Professional SP3 32bitWindows Vista Business / Enterprise / Ultimate SP1/SP2 32/64bit

Windows 7 Professional / Enterprise / Ultimate SP1 32/64bitWindows 7 Home Basic / Home Premium SP1 64bit

Windows 8 Pro / Enterprise 32/64bit *1Windows Server 2003 Standard/Enterprise SP2/R2 SP2 32/64bit

Windows Server 2008 Standard/Enterprise SP2 32/64bitWindows Server 2008 Standard/Enterprise R2 SP1 64bit

Windows Server 2012 Standard 64bit

Windows XP Professional SP1 / SP2 / SP3 32/64bitWindows XP Embedded SP1 / SP2 / SP3 32bit *2

Windows Embedded Standard 2009 32bit *2Windows Embedded Standard 7 SP0 / SP1 32bit/64bit

Windows Embedded POSReady 2009 32bitWindows Embedded POSReady 7 32bit

Windows XP Professional for Embedded Systems SP1 / SP2 / SP3 32bitWindows Vista for Embedded Systems SP1 / SP2 32bit

Windows 7 for Embedded Systems SP1 32bit / 64bitWindows Server 2003 for Embedded Systems SP1 / SP2 32bit, R2 32bit

Windows Server 2008 for Embedded Systems 32bit/64bit, R2 64bit

CPU Equivalente ao mínimo dos requerimentos do sistema operacional

Memória Equivalente ao mínimo dos requerimentos do sistema operacional

Espaço livre no HD 300 MB 200 MB

Resolução de vídeo Ao menos 1024×768 Ao menos 640×480

Linguagens Inglês e Japonês Inglês e Japonês


Trend Micro USB Security


Trend Micro USB SecurityProtege drives USB de invasão e vazamento de dados

1. Proteção incorporada a malware via drive USB

2. Proteção contra infecção de malware via drive USB

3. Interface gráfica amigável e segura no drive USB

Funcionalidades

Fabricantes TMUSB

* Arquivos relacionados ao TMUSB são criados no dis co rígido local e estes arquivos devem permanecer no computador.


Visão FuncionalTMUSB 2.0

Escaneamento de virus emdrives USB

• Scan Inicial: escaneia toda a área do usuário (drive USB), “escaneiapastas raiz e destinos de autorun (HDD)”

*escaneia quando um pendrive é conectado. Sem intervenção do usuário.

•escaneamento em tempo real

•escaneamentos Manuais (completos) *Executado a partir da barra de tarefas do menu do PC

•Outro: escaneia via pré setup, detecta log de saída de dados

Processamento e detecção de virus

•Quarentena (“Restaura” se possível)

•Remove (somente quando malware é detectado)

•Deleta (manual)

Funções de autenticação para quarentena e remoção

•Suporta backup e restore de arquivos em quarentena

Atualização de assinaturas e software

•Opções: “atualização automática”, “atualização manual”

•Componentes atualizáveis: padrões de malware, bibliotecas de escaneamento, atualização de programas

*varia para cada tipo de fornecedor

•Armazenamento de arquivos de atualização: criado localmente no pendrive durante a inicialização


Deep DiscoveryTrend Micro Deep Security

Trend Micro Network Virus Wall Enforcer


Características

Deep Discovery – Visão Geral

C&C

Servidoresatacados

Detecta/Analisa/Visualiza a ameaça

fakeemail

Back door

Clientesalvos de ataquespor email

② Detecção de ameaças na entrada

③ Detecção de ameaças na

saída

① Visualização

Deep DiscoveryInspector

1. Total visibilidade de ameaças à rede�Cenário de situações via widget gráfico� Fácil detecção das últimas ameaças sem

análise baseada em relatórios que permite rápidatomada de decisão

2. Detecção de ameaças de entrada� Provê regras de detecção baseadas a partir da

base da Trend Micro e realiza análise dinâmicaatravés de virtualização

� Proteção independente para vários protocolos de rede usados.

3. Detecção de ameaças de saída� Detecta via monitoramento as trasmissões de

dados não autorizadas� Determina situações críticas basedas em

servidores de commando e controle, endereçosIP cadastrados na base de reputação, dentreoutros.

Monitora a rede e protege de ameaças persistentes a vançadas (APT)


Características

Trend Micro Deep Security

1. Proteção contra vulnerabilidades do

Sistema operacional e de aplicações

2. Proteção contra ataques de SQL

Injection em aplicações Web

3. Monitoramento Centralizado de eventos

de segurança do Sistema Operacional e

middleware

4. Escaneamento em tempo real

5. Monitora mudanças nos arquivos e

registros

IPS/IDSProteção a aplicações Web

Firewall baseado emhost

Monitoramento de Logs

AntiMalware

Monitoramentode integridade

Proteção modular para servidores, desktops e laptop s


Características

Trend Micro Network Virus Wall Enforcer

1. Protege o PC de controle e terminais �Distribui no mesmo segmento de rede as

demandas de proteção contra ataques de vulnerabilidades

2. Proteção a Segmentos de Rede � Protege segmentos de rede em legados

cliente/servidor distribuindo demandas de proteção.

3. Quarantena de Rede� Protege contra infecções secundárias

causadas por dispositivos não autorizados trazidos por terceiros e conectados em meio externo.

NVWE

Segmentode redeinfectado

SegmentoCliente

Redeexterna

SegmentoServidor

PacoteMalicioso

PacoteMalicioso

Pacotemaliciosode redeexterna

Proteção para segmentos de rede


Siga a TI Safe nas redes sociais

• Twitter: @tisafe

• Youtube: www.youtube.com/tisafevideos

• SlideShare: www.slideshare.net/tisafe

• Facebook: www.facebook.com/tisafe

• Flickr: http://www.flickr.com/photos/tisafe


Contato

Framework Trend Micro para proteção contra Malware em SCADA

Technology

Transcript of Framework Trend Micro para proteção contra Malware em SCADA