Diapositiva 1

1 October 17, 2013 Fortinet: seguridad en las Aplicaciones TIC Pablo Garca Systems Engineer pperez@fortinet.com

Diapositiva 2

2 Aplicaciones corporativas Definicin Arquitectura Seguridad Ataques EXTERNOS

Diapositiva 3

3 NGFW vs WAF Si ya tengo un NGFW!

Diapositiva 4

4 October 17, 2013 Protege tu negocio, protege tus aplicaciones web

Diapositiva 5

5 La complejidad de las aplicaciones Web Estado del arte y tendencias de los ataques Factores crticos Consecuencias y ejemplos Seguridad Web: una nueva aproximacin Qu es FortiWeb? Soluciones de Application Delivery

Diapositiva 6

6 Database Servers Front End Web Servers Data Center Perimeter La complejidad de la seguridad de las aplicaciones Web Que son las aplicaciones web? Son aplicaciones pblicas accesibles desde Internet Se accede a ellas por medio de un navegador web y proporcionan servicios on-line variados Estn escritas con mentalidad de eficiencia en la entrega de contenidos Pero en la mayora de los casos no se han desarrollado teniendo en cuenta criterios de seguridad: Aplicaciones abiertas con vulnerabilidades explotables Potencial exposicin de informacin sensible Ataques: desde cambios en la imagen hasta robos de identidades, de tarjetas de crdito o de otro tipo de informacin personal

Diapositiva 7

7 Automatizacin de los ataques por parte de los hackers (DDoS, robots, scripts avanzados) Acopio masivo de bots Aumento de ataques DDoS de nivel 7 Las gran cantidad de herramientas existentes hace muy fcil para los Hacktivistas unirse a ataques DDos Scanners, crawlers and spiders inundan los servidores Web Orgenes de trfico infectados con malware Claro predominio de ataques SQL Injection/XSS Automatizacin de los ataques por parte de los hackers (DDoS, robots, scripts avanzados) Acopio masivo de bots Aumento de ataques DDoS de nivel 7 Las gran cantidad de herramientas existentes hace muy fcil para los Hacktivistas unirse a ataques DDos Scanners, crawlers and spiders inundan los servidores Web Orgenes de trfico infectados con malware Claro predominio de ataques SQL Injection/XSS ltimas tendencias. Web Application Servers

Diapositiva 8

8 Factores crticos

Diapositiva 9

9 9

Diapositiva 10

10 Las aplicaciones son en este momento crticas Pero 49% de las web apps tienen vulnerabilidades de alto riesgo susceptibles de ser explotadas con herramientas automticas* 80%-96% son vulnerables a ataques manuales 99% no cumplen el estndar PCI DSS La mayora de las vulnerabilidades no son resueltas por las tecnologas firewall tradicionales Cross-site scripting SQL injection Information Leakage HTTP Response Splitting Implicaciones de negocio de los ataques: Prdidas de ingresos 300$ por registro robado Multas por incumplimientos regulatorios Daos a la imagen corporativa y al valor de la marca Las aplicaciones son en este momento crticas Pero 49% de las web apps tienen vulnerabilidades de alto riesgo susceptibles de ser explotadas con herramientas automticas* 80%-96% son vulnerables a ataques manuales 99% no cumplen el estndar PCI DSS La mayora de las vulnerabilidades no son resueltas por las tecnologas firewall tradicionales Cross-site scripting SQL injection Information Leakage HTTP Response Splitting Implicaciones de negocio de los ataques: Prdidas de ingresos 300$ por registro robado Multas por incumplimientos regulatorios Daos a la imagen corporativa y al valor de la marca Consecuencias *Source Web Application Security Consortium (WASC)

Diapositiva 11

11 Unos cuantos ejemplos.

Diapositiva 12

12 Ejemplos: SQL Injection

Diapositiva 13

13 Enfoque proactivo: Seguridad en el ciclo de vida de las aplicaciones Diseo Desarrollo Despliegue Actualizacin Mantenimiento Ideal pero muy tarde Diffcil Largo Costoso Y las aplicaciones legacy? Quien tiene la responsabilidad? El propietario del software Off the Shelf Nube Enfoque Paliativo: Control de las aplicaciones Mitigacin de amenazas (soluciones tcnicas y funcionales) Polticas de seguridad en aplicaciones Web Enfoques de la Seguridad en Aplicaciones Web

Diapositiva 14

14 Network Firewall La seguridad de Aplicaciones requiere una nueva aproximacin IPS/Deep Packet Inspection Firewalls FortiWeb Web Application Firewall Los firewall detectan ataques de red Inspeccionan IP y puertos Los IPS detectan solo firmas conocidas Es posible la evasin de firmas No hay proteccin de trfico SSL No comprenden realmente el protocolo HTTP (cabeceras, parmetros, etc) No tienen en cuenta la aplicacin No tienen en cuenta los usuarios Alta tasa de falsos positivos Network layer (OSI 1-3) Application layer (OSI 4-7) Solo los Web Application Firewalls (WAF) pueden detectar y bloquear ataques de aplicacin

Diapositiva 15

15 FortiWeb : Componentes clave Securiza aplicaciones Web Protege Web Services Optimiza la entrega de Aplicaciones Application delivery Garantiza la disponibilidad y asegura el rendimiento de las aplicaciones Web crticas IP Reputation Intelligence Service: IRIS Combina el conocimiento de amenazas geogrficas (GeoIP) e informacin de reputacin para alimentar un motor de anlisis y deteccin por origen Firewall de aplicaciones Web - WAF Securiza apps Web protegiendo frente a ataques y ayudando al cumplimiento regulatorio Escaner de vulnerabilidades Web Escanea, analiza y detecta vulnerabilidades de aplicaciones Web

Diapositiva 16

16 La familia de appliances FortiWeb (I) Despliegues grandes Aceleracin basada en ASIC Dual CP8 Rendimiento de 750 Mbps HTTP Almacenamiento: 2x2 TB storage Soporte RAID Fuente de alimentacin redundante y Hot-swap 6 interfaces 10/100/1000 en cobre (4 bypass) + 2 SFP Despliegues grandes/ Service Providers Aceleracin basada en ASIC Dual CP8 Rendimiento de 1.5 Gbps HTTP 60,000 transacciones por segundo Almacenamiento: 2x2 TB storage Soporte RAID Fuente de alimentacin redundante y Hot-swap 6 interfaces10/100/1000 en cobre (2 bypass) (+ 2 SFP Fibra en el FSX) Despliegues medios Rendimiento de 100 Mbps HTTP 10,000 transacciones por segundo Almacenamiento: 1 TB 4 interfaces 10/100/1000 en cobre FortiWeb-1000D Plataforma de rendimiento medio FortiWeb-3000D/3000D FSX Entornos de enterprise, High End y MSSPs FortiWeb-400C Competitivo en mercado PCI pequeo NEW! Readers Choice Winner searchsecurity.com NEW!

Diapositiva 17

17 La familia de appliances FortiWeb (II) FortiWeb-4000D Entornos de enterprise, High End y MSSPs FortiWeb Virtual Despliegues grandes/ Service Providers Aceleracin basada en ASIC Dual CP8 Rendimiento de 4 Gbps HTTP 100,000 transacciones por segundo Almacenamiento: 2x2 TB storage Soporte RAID Fuente de alimentacin redundante y Hot-swap 8 interfaces10/100/1000 en cobre (2 bypass)+ 2 SFP Fibra bypass RequisitosMin needed for FortiWeb-VM Licencias disponibles2-vCPU, 4-vCPU, 8-vCPU HypervisorVMware ESXi/ESX 3.5/4.0/4.1/5.0/5.1 MemoriaMin. 1024 CPUMin. 2 virtual CPUs 10/100/1000 InterfacesMin. 2 Max. 4virtual NICs AlmacenamientoMin. 40G NEW!

Diapositiva 18

18 ADN: Foco en las aplicaciones. Soluciones End-to-End Server Side SecurityOuter Perimeter APPLICATION DELIVERY NETWORK ADC Server LB SSL Offloading Compression Firewall/VPN Antivirus/malware IPS/IP Reputation WAF WAN Optimization GSLB Link Load Balancing FortiADC Coyote Point FortiGate FortiGuard FortiAnalyzer FortiManager FortiWeb FortiADC (LLB/GSLB) Coyote Point (GSLB) FortiDirector (GSLB) AscenLink (LLB/Tunnel Routing)

Diapositiva 19

19 Qu es un FortiADC? Empieza con un Balanceador L4 TCP/UDP Funcionalidad L7 limitada Health checks bsicos Persistencia por IP Algoritmos bsicos Y entonces aade Reglas a L7 personalizables, redirects and rewrites Health checks avanzados Automatizacin avanzada Balanceo Global/disaster recovery Aceleracin SSL, compresin Application Delivery Controller (ADC) El ADC es la nueva generacin de balanceadores con funcionalidades avanzadas que gestiona el trfico a nivel de aplicacin y proporciona otros servicios adicionales como SSL offloading y compresin Gzip con el objetivo de mejorar y aumentar el rendimiento de las aplicaciones para los usuarios finales.

Diapositiva 20

20 Gracias