Cisco Email Security - обзор технологии и функционала

1 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Cisco Email Security Обзор технологии и функционала

2 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Программа

• Эволюция Email безопасности

• Защита входящих

• Контроль исходящих

• Функции управления и отчетности

• Гибкость развертывания


Эволюция угроз, связанных с Email: Снаружи

Вход

ящ

ие у

грозы

?

Завтра

Низкие объемы Высокая стоимость

Сегодня

Большие объемы Низкая стоимость

Вчера

Целевые атаки

Targeted Phishing

Covert, Sponsored Targeted Attacks

Blended Threats

Advanced Persistent Threats

Фишинг

Спам

Attachment-based

Slammer

Worms

Network Evasions Polymorphic Code

Code Red Image Spam

Вирусные атаки

Custom URL

Botnets Conficker

Stuxnet

???


Эволюция угроз, связанных с Email: Снаружи

?

Завтра

Небольшие объемы Слабое влияние

Вчера

Исход

ящ

ая

Высокие объемы Сильное влияние

Сегодня

Доступ к почти из

любой точки

Соответствие

Потери активов

заказчика

HIPAA

State regulations

Brand Social security numbers

PCI Credit card numbers

Интеллектуальная

стоимость

Product-planning documents

Data breaches

Corporate espionage

Trade secrets

Legal documents

К 2015, доступ с

более 7 млрд

мобильных устройств

Испол

ьзо

вани

е

Доступ к почте

только из-за

корпоративного МЭ

Меняющееся законодательство

European Union laws

State laws Federal laws

Province laws


Избавьтесь от проблем с помощью решений Cisco Email Security

Высокая

производительность Низкий TCO Фокус на будущее

Защита от угроз Безопасность данных Решения

Преимущества


Cisco – это многолетний лидер в квадранте Gartner Secure Email Gateways

Gartner’s Magic Quadrant for Secure Email Gateways

Peter Firstbrook and Brian Lowans, July 2, 2013.

This graphic was published by Gartner, Inc. as

part of a larger research document and should be

evaluated in the context of the entire document.

The Gartner document is available upon request

from this URL.

Gartner does not endorse any vendor, product or service

depicted in its research publications, and does not advise

technology users to select only those vendors with the highest

ratings. Gartner research publications consist of the opinions of

Gartner's research organization and should not be construed as

statements of fact. Gartner disclaims all warranties, expressed or

implied, with respect to this research, including any warranties of

merchantability or fitness for a particular purpose.

Ab

ility

to

Exe

cu

te

Completeness of Vision

Challengers Leaders

Niche Players Visionaries

Cisco

Microsoft

Websense

Mimecast

McAfee

Sophos

Barracuda Networks

Trend Micro

Clearswift

Sophos

Fortinet

SilverSky

Dell

Gartner MQ: Secure Email Gateway – Август 2013

Proofpoint Symantec

Trustwave

Watchguard

http://www.gartner.com/technology/reprints.do?id=1-1DBXGR1&ct=121221&st=sb

http://www.gartner.com/technology/reprints.do?id=1-1DBXGR1&ct=121221&st=sb


Защита от угроз Cisco Email Security Полная защита входящих

Cisco® SIO

Репутационные фильтры SenderBase

Антиспам

Сигнатурный антивирус & AMP

Фильтры Outbreak

Анализ URL в реальном

времени

cws

Доставка Карантин Перезапись

URLs Сброс

Сброс

Сброс/Карантин

Сброс/Карантин

Карантин/Перезапись


Важность репутации

«По следам, которые мы оставляем, нас будут помнить вечно»

Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 9

Репутационная безопасность возвращает числовое значение уровня доверия к объекту, что позволяет устройству предпринять действие, предписанное политикой.

Репутация строится на трех вещах:

Наша оценка (данные SensorBase)

Оценки 3-х сторон

Сложная модель, которая возвращает значение в реальном времени

Что такое репутационная безопасность?


Control

Cisco

AnyConnect®

Cisco

IPS

Cisco CWS

WWW

Cisco WSA Cisco ASA Cisco ESA

Visibility

WWW

Web

Endpoints

Devices

Networks

Email

IPS

Cisco Security Intelligence Operations (SIO) Непревзойденная облачная система безопасности

1.6 million global sensors

100 TB of data received per day

150 million+ deployed endpoints

35% worldwide email traffic

13 billion web requests

24x7x365 operations

40+ languages

600+ engineers, technicians, and researchers

80+ PH.D., CCIE, CISSP, AND MSCE users

More than US$100 million spent on dynamic research and development

3- to 5- minute updates

5,500+ IPS signatures produced

8 million+ rules per day

200+ parameters tracked

70+ publications produced

Инф

орм

ац

ия

об

новл

ени

я

Cisco® SIO


Cisco SenderBase: База данных Email репутации

Complaint

Reports

IP Blacklists

and Whitelists

Domain

Blacklist and

Safelists

Compromised

Host Lists

Website

Composition

Data

Other Data Global Volume

Data

Message

Composition

Data

Spam Traps

+10 0 -10

IP Reputation Score

Выгоды

• Полный динамический обзор угроз

• Понимание уязвимостей и технологий

• Просмотр наиболее опасных атак

• Последние техники и тренды атак

Знание об угрозах

• Более 1,6 млн устройств

• Библиотека о 40 тыс угроз

• 35% глобального email трафика

• 13B+ web запросов

• 200+ параметров отслеживается

• Мультивекторный обзор


Threat Operations Center Экспертиза

Исследования и анализ Выгоды

• 600+ инженеров, техников, исследователей

• 80+ PhDs, CCIEs, CISSPs, MSCEs

• Создание правил, требующих человеческого вмешательства, контроль качества

• Тесты вторжений, инфильтрация ботнетов, реинжениринг malware, исследования уязвимостей

• Работа в 5 центрах 24x7x365

• Best Practices по сетевой безопасности и техники ухода от атак

• Взгляд в тенденции и будущее

• Контроль качества, снижение уровня ложных срабатываний

• Круглосуточная работа


Динамические обновления Автоматизированная защита

Обновления Преимущества

• Cisco устройства запрашивают обновления раз в 3-5 мин

• 8M+ правил в день

• Обновления репутации – защита в реальном времени

• Снижение времени окна «небезопасности»

• Минимизация затрат на управление

Cisco® SIO

Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 14

Global Volume

Data

Over 100,000 organizations, email traffic, web traffic

Message

Composition

Data

Message size, attachment volume,

attachment types, URLs, host names

Spam Traps

SpamCop, ISPs,

customer contributions

IP Blacklists &

Whitelists

SpamCop, SpamHaus (SBL), NJABL, Bonded Sender

Compromised

Host Lists

Downloaded files, linking URLs, threat

heuristics

Web Site

Composition

Data

SORBS, OPM,

DSBL

Other Data

Fortune 1000, length of sending history, location,

where the domain is hosted, how long has it been registered, how

long has the site been up

Complaint

Reports

Spam, phishing,

virus reports

Spamvertized URLs, phishing URLs, spyware sites

Domain Blacklist

& Safelists

Что такое имитационная репутация? Корреляция и объединение миллиардов кусочков информации в одно значение

Verdict


• Блокирование фишинг и спуфинг атак

• Применяйте более либеральные политики к аутентифицированным внешним

источникам

Your Company

DKIM и SPF Аутентификация Email

DNS

Server

SIGNED

SIGNED Verified Trusted_Partner.com

Trusted_Partner.com

Imposter Cisco ESA

Drop/Quarantine


Антиспам

Whitelisted is delivered

Нормальная почта

идет на антиспам

фильтр

Подозрительная идет

на антиспам фильтр и

ограничивается • > 99% Catch Rate

• < 1 на 1 ложных

срабатываний

Известная плохая

блокируется перед

входом в сеть

Почта с разной

репутацией

SBRS

Поддерживается SIO

Blacklisted

email is

dropped

WHAT

Cisco

Anti-Spam

WHEN WHO

HOW WHERE

Политики


Защита от спама в деталях

Хорошая,

плохая,

неизвестная

Сброс

IronPort

Anti-Spam

Engine

Anti-Spam

Engine B

Anti-Spam

Engine

(Future)

IronPort

Anti-Spam

Engine

Доставка

Intelligent Multi-Scan

Results


Intelligent Multi-Scan Лучшее из двух миров – выше уровень срабатывания, ниже уровень ложных срабатываний

Greater Spam Detection…with Cisco-Leading FP Rate

+Engine A

+Engine B

MS Улучшение

IMS улучшение

.20%

.10%

Cisco 99.60% 1 in 1 Million

18 in 1 Million

21 in 1 Million

Multi-Scan 40 in 1 Million 99.90%

.30% -4000%

Intelligent Multi-Scan 1.2 in 1 Million 99.90%

- 20% .30%

False Positives Catch Rate


Anti-Spam Архитектура Обнаружение маркетинговых сообщений

X

Privacy Policy At Buy.com, your privacy is a top priority. Please read our privacy policy details. … All information collected from you will be shared with Buy.com and its affiliate companies.


Архитектура антиспам Обнаружение маркетинговых сообщений

Опции для доставки, карантина, сброса, отбивки

Включено в отчеты


Защита от вирусов в деталях

Антивирусные механизмы

Выбор антивирусных движков

Outbreak фильтры

Защита от вирусов и фишинга

0 дня


Фильтры Cisco Data Security Outbreak Защита от Malware 0 дня

Virus

Filter

Динамический

карантин Cisco® SIO

Выбор антивирусов

Антивирусы Фильтры Outbreak в действии

Защита от вирусов и

фишинга 0 дня

Преимущества Outbreak Filters

• Среднее время опережения: 13 часов

• Заблокировано атак: 291

• Общее время защиты: 157 дней


Фильтры Outbreak filters защищают от смешанных атак Интеграция email и web безопасности

Сайт чистый Клик на ссылку

Website is

blocked Cisco Security

The requested web page

has been blocked

http://www.threatlink.com

Cisco Email and Web Security protects your

organization’s network from malicious software.

Malware is designed to look like a legitimate email

or website which accesses your computer, hides

itself in your system, and damages files.

Динамическая инспекция HTTP в реальном времени

Cisco SIO


Outbreak фильтры в действии: ощущения пользователя

Request for Review

Paul,

I forward my thesis to you for review.

Please open it and provide comments.

www.Personal Site.com/Thesis_Draft.pdf

Hope all’s well since Verizon.

Best regards,

Friend

Friend

[email protected]

После

Subject: Запрос на рассмотрение

http://www.threatlink.com/

Перед

Subject: [SUSPICIOUS MESSAGE] запрос на рассмотрение

http://secure-web.Cisco.com/auth=X&URL=www.threatlink.com

WARNING: This appears to be a

malicious email

Paul


Identified: Targeted Attack

Content: Malware Payload

Vector: Email

Action: Blocked

Cisco SIO – Использование облачной безопасности

Cisco Cloud Web Security

Request for Review

WARNING: This appears to be a

malicious email

Paul,

I forward my thesis to you for review.

Please open it and provide comments.

www.Personal Site.com/Thesis_Draft.pdf

Hope all’s well since Verizon.

Best regards,

Friend

Friend

[email protected]


Malware

Payload Blocked

Фильтры Cisco Outbreak защищают от целевых атак

http://secure-web.Cisco.com…

The requested web page has been blocked

http://www.threatlink.com

Cisco Email and Web Security protects your

organization’s network from malicious software.

Malware is designed to look like a legitimate email

or website which accesses your computer, hides

itself in your system, and damages files.

Cisco Security


Защита Cisco от Zero-Hour Malware Advanced Malware Protection

Облачное обнаружение

вредоносного ПО Zero-

Hour

Advanced Malware Protection Outbreak Filters

Обнаружение вредоносного

ПО и вирусов Zero-Hour на

базе телеметрии

Файловая

репутация

Файловая

песочница

Известная

репутация

файла

Неизвестный файл

отправляется в

песочницу

Обновление

репутации Интеграция

Sourcefire AMP


Основные функции AMP на Cisco Email и Web Security

File Sandboxing

Анализ поведения

неизвестных файлов

File Retrospection

Ретроспективный

анализ после атаки

File Reputation

Блокирование

вредоносных файлов


За горизонтом события ИБ

Антивирус

Песочница

Начальное значение = Чисто

Точечное обнаружение

Начальное значение = Чисто

AMP

Пропущены атаки

Актуальное значение = Плохо = Поздно!!

Регулярный возврат

к ретроспективе

Видимость и

контроль – это ключ

Не 100%

Анализ остановлен

Sleep Techniques

Unknown Protocols

Encryption

Polymorphism

Актуальное значение = Плохо =

Блокировано

Ретроспективное

обнаружение, анализ

продолжается


Интеграция AMP & VRT & ESA/WSA/CWS

AMP клиент – единый модуль, который применяется в WSA и ESA

Web/Sender

Reputation

Web/

Email

Proxy

VRT Sandboxing

WSA/ESA/CWS

Amp connector

Локальные

AV-сканеры

Запрос репутации файла

AMP

Cloud

Неизвестный файл,

загрузка в песочницу


репутации

файлов

Sandbox

connector

AMP Client

Local

Cache


ретроспективы


File SHA Hash

‘Fingerprint’

Неизвестно 1->100

Файл

распознан

Файл неизвестен

Отправить в песочницу?

Да

Нет

1->59 : чисто

60->100: заражено

Вердикт «Чисто»

Вердикт «Заражено»

Реакция по политики

ESA / WSA

Amp

Service

Amp Cloud Service

Вердикт

«Чисто» + отправить

в песочницу

Вердикт «Чисто»

Amp Client

Чисто

Заражено

Вердикт Рейтинг

Нет рейтинга

Принятие решений в связке AMP и ESA/WSA/CWS


Блокирование фишинговых атак и скрытых угроз

Репутационный фильтр

Спам-фильтр

Анализ контента сообщение

Черные списки

Защита от спуфинга

Блокирование неожидаемых сообщений

Перенаправление подозрительных ссылок для анализа и выполнения в

защищенное облако

Фильтрация плохих URL базируется на репутации web и категориях


Cisco Email Security обеспечивает прекрасный контроль над исходящим потоком

Encrypt Sensitive Data

Compliance/ DLP

Sender

Rate Limiting Outbound

Recipient

AS/AV Checks DKIM/SPF


Ограничение исходящего потока Ограничение по Mail From:

1-100 Emails 101-1000 Emails

Alert admin when limit is hit

• Для отдельных отправителей пороговое

значение может быть увеличено

• Пользователь отправляет 100 писем в час

Typical User

Known High Volume Sender

• Получение предупреждений об

отправителях с очень большими объемами

сообщений

Admin

• Администратор устанавливает порог для

отдельных пользователей

Policy !

!

Malicious Sender


Сдерживание почты от инфицированных пользователей

Держитесь подальше от черных списков

• Остановите вредоносное и неправильное использование систем

• Знайте, кого надо изолировать

• Объединяйте к Outbreak Filters для двусторонней защиты

Anti-Virus Anti-Spam

(Intelligent Multi-Scan)

Ограничение

по Mail From Предупредить

!


DLP и соответствия Отдельное или часть общего решения DLP

RSA DLP на устройстве Интегрируется с RSA

Enterprise DLP Data Loss Prevention

Инциденты Политики

• Email Uptime

• Threat Prevention

• Email Scanning

• Policy Enforcement

• Определение Risk Policy

• Расследование инцидентов

• Fingerprinting

Точный, простой, расширяемый


Примените политики шифрования TLS на основе Mail From

• Защита чувствительных данных

• Запрет на отправку данных в открытом виде

Ваша компания Cisco ESA


Любой может

прочитать

сообщение

Нет

гарантированного

отзыва сообщения

Нет управления

процессом отравки

TO

CC

SUBJECT

У традиционной Internet почты есть ограничения

Confidential Email

Read Receipt

Guaranteed Recall

Secure Reply and forward

TO

CC

SUBJECT


Cisco Envelope Encryption Просто отправителю

• Автоматическое управление ключами

• Не требуется дополнительное ПО

• Прозрачная отправка на любой адре

• Шифрование инициируется -- Keywords | Policies | Senders | Recipients | etc.

Cisco Email Security Appliance

Recipient Sender Controls

Message Key


Просто получателю

Подтвердите идентичность

2

Корпоративная учетная

запись(opt)

Cisco Registered

Envelope Service

Откройте аттач

1

Посмотрие сообщение

3


• Не дайте подделать ваши сообщения

• Защитите свою репутацию

• Не попадайте в черные списки

Your Company ISP

Аутентификация почты DKIM и SPF

DNS

Server

Public

From: Your_Company.com From: Your_Company.com

SIGNED

From: Your_Company.com

SIGNED Verified

Cisco ESA


Cisco Email Security. Администрирование

Admin

Отчетность Message Tracking Управление


Detailed Message Tracking Drill Down Reporting

Простое управление и мониторинг


Обзор обработки Email Message Tracking

Что случилось с письмом, которое я

отослал 2 часа назад?

Можно проследить

индивидуальные сообщения

Кто еще получил похожие сообщения?

Расследования для гарантии

соответствия


Поддержка IPv6 Защита от увеличивающегося количества IPv6 угроз для систем Email

• Поддержка: IPv4/IPv6 адреса– single или dual stack – с Anti-Spam, Anti-Virus, Content Filters, DLP, Encryption,

• Преобразование: IPv6 вход, IPv4 выход… или наоборот

• Полная поддержка отчетности и Message Tracking

IPv6 адреса

Ваша система

безопасности может

правильно фильтровать

контент с IPv6 адресами?


• Email Volumes

• Spam Counters

• Policy Violations

• Virus Reports

• Outgoing Email Data

• Reputation Service

• System Health View

• Простой просмотр потоков почты в организации

• Отчеты в режиме реального времени как для email, так и для угроз

• Иерархическая модель очетов.

Multiple data points Consolidated and Custom Reports

Полный обзор Унифицированные бизнес-отчеты


Cisco Email Security Virtual Appliance

Выгоды

• Выбор форм-фактора

• Гибкость развертывания

• Ценовая модель – подписка

Варианты использования

• Региональный офис

• Пики трафика

• Инициатива облака/виртуализация

Cisco UCS +

+

ESAV


Date post:	05-Dec-2014
Category:	Technology
Upload:	cisco-russia
View:	394 times
Download:	5 times

Cisco Email Security - обзор технологии и функционала

Technology