Date post: | 05-Dec-2014 |
Category: |
Technology |
Upload: | cisco-russia |
View: | 394 times |
Download: | 5 times |
1 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Email Security Обзор технологии и функционала
2 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Программа
• Эволюция Email безопасности
• Защита входящих
• Контроль исходящих
• Функции управления и отчетности
• Гибкость развертывания
3 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Эволюция угроз, связанных с Email: Снаружи
Вход
ящ
ие у
грозы
?
Завтра
Низкие объемы Высокая стоимость
Сегодня
Большие объемы Низкая стоимость
Вчера
Целевые атаки
Targeted Phishing
Covert, Sponsored Targeted Attacks
Blended Threats
Advanced Persistent Threats
Фишинг
Спам
Attachment-based
Slammer
Worms
Network Evasions Polymorphic Code
Code Red Image Spam
Вирусные атаки
Custom URL
Botnets Conficker
Stuxnet
???
4 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Эволюция угроз, связанных с Email: Снаружи
?
Завтра
Небольшие объемы Слабое влияние
Вчера
Исход
ящ
ая
Высокие объемы Сильное влияние
Сегодня
Доступ к почти из
любой точки
Соответствие
Потери активов
заказчика
HIPAA
State regulations
Brand Social security numbers
PCI Credit card numbers
Интеллектуальная
стоимость
Product-planning documents
Data breaches
Corporate espionage
Trade secrets
Legal documents
К 2015, доступ с
более 7 млрд
мобильных устройств
Испол
ьзо
вани
е
Доступ к почте
только из-за
корпоративного МЭ
Меняющееся законодательство
European Union laws
State laws Federal laws
Province laws
5 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Избавьтесь от проблем с помощью решений Cisco Email Security
Высокая
производительность Низкий TCO Фокус на будущее
Защита от угроз Безопасность данных Решения
Преимущества
6 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco – это многолетний лидер в квадранте Gartner Secure Email Gateways
Gartner’s Magic Quadrant for Secure Email Gateways
Peter Firstbrook and Brian Lowans, July 2, 2013.
This graphic was published by Gartner, Inc. as
part of a larger research document and should be
evaluated in the context of the entire document.
The Gartner document is available upon request
from this URL.
Gartner does not endorse any vendor, product or service
depicted in its research publications, and does not advise
technology users to select only those vendors with the highest
ratings. Gartner research publications consist of the opinions of
Gartner's research organization and should not be construed as
statements of fact. Gartner disclaims all warranties, expressed or
implied, with respect to this research, including any warranties of
merchantability or fitness for a particular purpose.
Ab
ility
to
Exe
cu
te
Completeness of Vision
Challengers Leaders
Niche Players Visionaries
Cisco
Microsoft
Websense
Mimecast
McAfee
Sophos
Barracuda Networks
Trend Micro
Clearswift
Sophos
Fortinet
SilverSky
Dell
Gartner MQ: Secure Email Gateway – Август 2013
Proofpoint Symantec
Trustwave
Watchguard
7 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Защита от угроз Cisco Email Security Полная защита входящих
Cisco® SIO
Репутационные фильтры SenderBase
Антиспам
Сигнатурный антивирус & AMP
Фильтры Outbreak
Анализ URL в реальном
времени
cws
Доставка Карантин Перезапись
URLs Сброс
Сброс
Сброс/Карантин
Сброс/Карантин
Карантин/Перезапись
8 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Важность репутации
«По следам, которые мы оставляем, нас будут помнить вечно»
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 9
Репутационная безопасность возвращает числовое значение уровня доверия к объекту, что позволяет устройству предпринять действие, предписанное политикой.
Репутация строится на трех вещах:
Наша оценка (данные SensorBase)
Оценки 3-х сторон
Сложная модель, которая возвращает значение в реальном времени
Что такое репутационная безопасность?
10 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Control
Cisco
AnyConnect®
Cisco
IPS
Cisco CWS
WWW
Cisco WSA Cisco ASA Cisco ESA
Visibility
WWW
Web
Endpoints
Devices
Networks
IPS
Cisco Security Intelligence Operations (SIO) Непревзойденная облачная система безопасности
1.6 million global sensors
100 TB of data received per day
150 million+ deployed endpoints
35% worldwide email traffic
13 billion web requests
24x7x365 operations
40+ languages
600+ engineers, technicians, and researchers
80+ PH.D., CCIE, CISSP, AND MSCE users
More than US$100 million spent on dynamic research and development
3- to 5- minute updates
5,500+ IPS signatures produced
8 million+ rules per day
200+ parameters tracked
70+ publications produced
Инф
орм
ац
ия
об
новл
ени
я
Cisco® SIO
11 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco SenderBase: База данных Email репутации
Complaint
Reports
IP Blacklists
and Whitelists
Domain
Blacklist and
Safelists
Compromised
Host Lists
Website
Composition
Data
Other Data Global Volume
Data
Message
Composition
Data
Spam Traps
+10 0 -10
IP Reputation Score
Выгоды
• Полный динамический обзор угроз
• Понимание уязвимостей и технологий
• Просмотр наиболее опасных атак
• Последние техники и тренды атак
Знание об угрозах
• Более 1,6 млн устройств
• Библиотека о 40 тыс угроз
• 35% глобального email трафика
• 13B+ web запросов
• 200+ параметров отслеживается
• Мультивекторный обзор
12 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Threat Operations Center Экспертиза
Исследования и анализ Выгоды
• 600+ инженеров, техников, исследователей
• 80+ PhDs, CCIEs, CISSPs, MSCEs
• Создание правил, требующих человеческого вмешательства, контроль качества
• Тесты вторжений, инфильтрация ботнетов, реинжениринг malware, исследования уязвимостей
• Работа в 5 центрах 24x7x365
• Best Practices по сетевой безопасности и техники ухода от атак
• Взгляд в тенденции и будущее
• Контроль качества, снижение уровня ложных срабатываний
• Круглосуточная работа
13 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Динамические обновления Автоматизированная защита
Обновления Преимущества
• Cisco устройства запрашивают обновления раз в 3-5 мин
• 8M+ правил в день
• Обновления репутации – защита в реальном времени
• Снижение времени окна «небезопасности»
• Минимизация затрат на управление
Cisco® SIO
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 14
Global Volume
Data
Over 100,000 organizations, email traffic, web traffic
Message
Composition
Data
Message size, attachment volume,
attachment types, URLs, host names
Spam Traps
SpamCop, ISPs,
customer contributions
IP Blacklists &
Whitelists
SpamCop, SpamHaus (SBL), NJABL, Bonded Sender
Compromised
Host Lists
Downloaded files, linking URLs, threat
heuristics
Web Site
Composition
Data
SORBS, OPM,
DSBL
Other Data
Fortune 1000, length of sending history, location,
where the domain is hosted, how long has it been registered, how
long has the site been up
Complaint
Reports
Spam, phishing,
virus reports
Spamvertized URLs, phishing URLs, spyware sites
Domain Blacklist
& Safelists
Что такое имитационная репутация? Корреляция и объединение миллиардов кусочков информации в одно значение
Verdict
15 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• Блокирование фишинг и спуфинг атак
• Применяйте более либеральные политики к аутентифицированным внешним
источникам
Your Company
DKIM и SPF Аутентификация Email
DNS
Server
SIGNED
SIGNED Verified Trusted_Partner.com
Trusted_Partner.com
Imposter Cisco ESA
Drop/Quarantine
16 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Антиспам
Whitelisted is delivered
Нормальная почта
идет на антиспам
фильтр
Подозрительная идет
на антиспам фильтр и
ограничивается • > 99% Catch Rate
• < 1 на 1 ложных
срабатываний
Известная плохая
блокируется перед
входом в сеть
Почта с разной
репутацией
SBRS
Поддерживается SIO
Blacklisted
email is
dropped
WHAT
Cisco
Anti-Spam
WHEN WHO
HOW WHERE
Политики
17 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Защита от спама в деталях
Хорошая,
плохая,
неизвестная
Сброс
IronPort
Anti-Spam
Engine
Anti-Spam
Engine B
Anti-Spam
Engine
(Future)
IronPort
Anti-Spam
Engine
Доставка
Intelligent Multi-Scan
Results
18 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Intelligent Multi-Scan Лучшее из двух миров – выше уровень срабатывания, ниже уровень ложных срабатываний
Greater Spam Detection…with Cisco-Leading FP Rate
+Engine A
+Engine B
MS Улучшение
IMS улучшение
.20%
.10%
Cisco 99.60% 1 in 1 Million
18 in 1 Million
21 in 1 Million
Multi-Scan 40 in 1 Million 99.90%
.30% -4000%
Intelligent Multi-Scan 1.2 in 1 Million 99.90%
- 20% .30%
False Positives Catch Rate
19 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Anti-Spam Архитектура Обнаружение маркетинговых сообщений
X
Privacy Policy At Buy.com, your privacy is a top priority. Please read our privacy policy details. … All information collected from you will be shared with Buy.com and its affiliate companies.
20 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Архитектура антиспам Обнаружение маркетинговых сообщений
Опции для доставки, карантина, сброса, отбивки
Включено в отчеты
21 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Защита от вирусов в деталях
Антивирусные механизмы
Выбор антивирусных движков
Outbreak фильтры
Защита от вирусов и фишинга
0 дня
22 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Фильтры Cisco Data Security Outbreak Защита от Malware 0 дня
Virus
Filter
Динамический
карантин Cisco® SIO
Выбор антивирусов
Антивирусы Фильтры Outbreak в действии
Защита от вирусов и
фишинга 0 дня
Преимущества Outbreak Filters
• Среднее время опережения: 13 часов
• Заблокировано атак: 291
• Общее время защиты: 157 дней
23 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Фильтры Outbreak filters защищают от смешанных атак Интеграция email и web безопасности
Сайт чистый Клик на ссылку
Website is
blocked Cisco Security
The requested web page
has been blocked
http://www.threatlink.com
Cisco Email and Web Security protects your
organization’s network from malicious software.
Malware is designed to look like a legitimate email
or website which accesses your computer, hides
itself in your system, and damages files.
Динамическая инспекция HTTP в реальном времени
Cisco SIO
24 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Outbreak фильтры в действии: ощущения пользователя
Request for Review
Paul,
I forward my thesis to you for review.
Please open it and provide comments.
www.Personal Site.com/Thesis_Draft.pdf
Hope all’s well since Verizon.
Best regards,
Friend
Friend
После
Subject: Запрос на рассмотрение
http://www.threatlink.com/
Перед
Subject: [SUSPICIOUS MESSAGE] запрос на рассмотрение
http://secure-web.Cisco.com/auth=X&URL=www.threatlink.com
WARNING: This appears to be a
malicious email
Paul
25 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Identified: Targeted Attack
Content: Malware Payload
Vector: Email
Action: Blocked
Cisco SIO – Использование облачной безопасности
Cisco Cloud Web Security
Request for Review
WARNING: This appears to be a
malicious email
Paul,
I forward my thesis to you for review.
Please open it and provide comments.
www.Personal Site.com/Thesis_Draft.pdf
Hope all’s well since Verizon.
Best regards,
Friend
Friend
26 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Malware
Payload Blocked
Фильтры Cisco Outbreak защищают от целевых атак
http://secure-web.Cisco.com…
The requested web page has been blocked
http://www.threatlink.com
Cisco Email and Web Security protects your
organization’s network from malicious software.
Malware is designed to look like a legitimate email
or website which accesses your computer, hides
itself in your system, and damages files.
Cisco Security
27 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Защита Cisco от Zero-Hour Malware Advanced Malware Protection
Облачное обнаружение
вредоносного ПО Zero-
Hour
Advanced Malware Protection Outbreak Filters
Обнаружение вредоносного
ПО и вирусов Zero-Hour на
базе телеметрии
Файловая
репутация
Файловая
песочница
Известная
репутация
файла
Неизвестный файл
отправляется в
песочницу
Обновление
репутации Интеграция
Sourcefire AMP
28 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Основные функции AMP на Cisco Email и Web Security
File Sandboxing
Анализ поведения
неизвестных файлов
File Retrospection
Ретроспективный
анализ после атаки
File Reputation
Блокирование
вредоносных файлов
29 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
За горизонтом события ИБ
Антивирус
Песочница
Начальное значение = Чисто
Точечное обнаружение
Начальное значение = Чисто
AMP
Пропущены атаки
Актуальное значение = Плохо = Поздно!!
Регулярный возврат
к ретроспективе
Видимость и
контроль – это ключ
Не 100%
Анализ остановлен
Sleep Techniques
Unknown Protocols
Encryption
Polymorphism
Актуальное значение = Плохо =
Блокировано
Ретроспективное
обнаружение, анализ
продолжается
30 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Интеграция AMP & VRT & ESA/WSA/CWS
AMP клиент – единый модуль, который применяется в WSA и ESA
Web/Sender
Reputation
Web/
Proxy
VRT Sandboxing
WSA/ESA/CWS
Amp connector
Локальные
AV-сканеры
Запрос репутации файла
AMP
Cloud
Неизвестный файл,
загрузка в песочницу
Обновление
репутации
файлов
Sandbox
connector
AMP Client
Local
Cache
Обновление
ретроспективы
31 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
File SHA Hash
‘Fingerprint’
Неизвестно 1->100
Файл
распознан
Файл неизвестен
Отправить в песочницу?
Да
Нет
1->59 : чисто
60->100: заражено
Вердикт «Чисто»
Вердикт «Заражено»
Реакция по политики
ESA / WSA
Amp
Service
Amp Cloud Service
Вердикт
«Чисто» + отправить
в песочницу
Вердикт «Чисто»
Amp Client
Чисто
Заражено
Вердикт Рейтинг
Нет рейтинга
Принятие решений в связке AMP и ESA/WSA/CWS
32 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Блокирование фишинговых атак и скрытых угроз
Репутационный фильтр
Спам-фильтр
Анализ контента сообщение
Черные списки
Защита от спуфинга
Блокирование неожидаемых сообщений
Перенаправление подозрительных ссылок для анализа и выполнения в
защищенное облако
Фильтрация плохих URL базируется на репутации web и категориях
33 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Email Security обеспечивает прекрасный контроль над исходящим потоком
Encrypt Sensitive Data
Compliance/ DLP
Sender
Rate Limiting Outbound
Recipient
AS/AV Checks DKIM/SPF
34 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Ограничение исходящего потока Ограничение по Mail From:
1-100 Emails 101-1000 Emails
Alert admin when limit is hit
• Для отдельных отправителей пороговое
значение может быть увеличено
• Пользователь отправляет 100 писем в час
Typical User
Known High Volume Sender
• Получение предупреждений об
отправителях с очень большими объемами
сообщений
Admin
• Администратор устанавливает порог для
отдельных пользователей
Policy !
!
Malicious Sender
35 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Сдерживание почты от инфицированных пользователей
Держитесь подальше от черных списков
• Остановите вредоносное и неправильное использование систем
• Знайте, кого надо изолировать
• Объединяйте к Outbreak Filters для двусторонней защиты
Anti-Virus Anti-Spam
(Intelligent Multi-Scan)
Ограничение
по Mail From Предупредить
!
36 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
DLP и соответствия Отдельное или часть общего решения DLP
RSA DLP на устройстве Интегрируется с RSA
Enterprise DLP Data Loss Prevention
Инциденты Политики
• Email Uptime
• Threat Prevention
• Email Scanning
• Policy Enforcement
• Определение Risk Policy
• Расследование инцидентов
• Fingerprinting
Точный, простой, расширяемый
37 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Примените политики шифрования TLS на основе Mail From
• Защита чувствительных данных
• Запрет на отправку данных в открытом виде
Ваша компания Cisco ESA
38 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Любой может
прочитать
сообщение
Нет
гарантированного
отзыва сообщения
Нет управления
процессом отравки
TO
CC
SUBJECT
У традиционной Internet почты есть ограничения
Confidential Email
Read Receipt
Guaranteed Recall
Secure Reply and forward
TO
CC
SUBJECT
39 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Envelope Encryption Просто отправителю
• Автоматическое управление ключами
• Не требуется дополнительное ПО
• Прозрачная отправка на любой адре
• Шифрование инициируется -- Keywords | Policies | Senders | Recipients | etc.
Cisco Email Security Appliance
Recipient Sender Controls
Message Key
40 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Просто получателю
Подтвердите идентичность
2
Корпоративная учетная
запись(opt)
Cisco Registered
Envelope Service
Откройте аттач
1
Посмотрие сообщение
3
41 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• Не дайте подделать ваши сообщения
• Защитите свою репутацию
• Не попадайте в черные списки
Your Company ISP
Аутентификация почты DKIM и SPF
DNS
Server
Public
From: Your_Company.com From: Your_Company.com
SIGNED
From: Your_Company.com
SIGNED Verified
Cisco ESA
42 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Email Security. Администрирование
Admin
Отчетность Message Tracking Управление
43 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Detailed Message Tracking Drill Down Reporting
Простое управление и мониторинг
44 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Обзор обработки Email Message Tracking
Что случилось с письмом, которое я
отослал 2 часа назад?
Можно проследить
индивидуальные сообщения
Кто еще получил похожие сообщения?
Расследования для гарантии
соответствия
45 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Поддержка IPv6 Защита от увеличивающегося количества IPv6 угроз для систем Email
• Поддержка: IPv4/IPv6 адреса– single или dual stack – с Anti-Spam, Anti-Virus, Content Filters, DLP, Encryption,
• Преобразование: IPv6 вход, IPv4 выход… или наоборот
• Полная поддержка отчетности и Message Tracking
IPv6 адреса
Ваша система
безопасности может
правильно фильтровать
контент с IPv6 адресами?
46 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• Email Volumes
• Spam Counters
• Policy Violations
• Virus Reports
• Outgoing Email Data
• Reputation Service
• System Health View
• Простой просмотр потоков почты в организации
• Отчеты в режиме реального времени как для email, так и для угроз
• Иерархическая модель очетов.
Multiple data points Consolidated and Custom Reports
Полный обзор Унифицированные бизнес-отчеты
47 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Email Security Virtual Appliance
Выгоды
• Выбор форм-фактора
• Гибкость развертывания
• Ценовая модель – подписка
Варианты использования
• Региональный офис
• Пики трафика
• Инициатива облака/виртуализация
Cisco UCS +
+
ESAV
48 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential