More Related Content
Similar to Решения Cisco для защиты электронной почты (20)
More from Cisco Russia (20)
Решения Cisco для защиты электронной почты
- 1. Лучшая в отрасли защита
на протяжении всей атаки
Решения Cisco
для защиты
электронной
почты
Алексей Лукацкий
Менеджер по развитию бизнеса
- 2. 2C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Способы работы с электронной почтой меняются,
усложняя защиту сети
Со смартфона В кафе В офисе Дома В аэропорту
- 3. 3C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
E-mail – вектор угроз №1
Заражение
вредоносным
кодом
Нарушения политик
допустимого
использования
Потеря
данных
Спам через IPv6
Смешанные угрозы
Направленные атаки
Непрерывные кибератаки повышенной сложности
Усовершенствованное
вредоносное ПО
Руткиты
Черви
Трояны
В 95% случаях атака начинается с e-mail
- 4. 4C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Угрозы ОкружениеПериметр
Email-вектор
Web-вектор
3
Жертв
кликает на
резюме
Инсталляция бота,
установка соединения с
сервером C2
4 5
Сканирование LAN &
альтернативный бэкдор и
поиск привилегированных
пользователей
Система
скомпрометирована и
данные утекли. Бэкдор
сохранен
8
Архивирует данные, разделение
на разные файлы и отправка их на
внешние сервера по HTTPS
7
Посылка
фальшивого
резюме
(you@gmail.com)
2
Адми
н
Изучение
жертвы
(SNS)
1
Привилегированные
пользователи найдены.
6
Админ ЦОДПК
Елена
Иванова
Елена Иванова
• HR-координатор
• Нужны инженеры
• Под давлением времени
Анатомия современной атаки
- 5. 5C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Для защиты от современных угроз необходим повышенный
уровень мониторинга и контроля на протяжении всей атаки
Период атаки
До
Выявление
Применение
политик
Ужесточение
политик
Во время
Обнаружение
Блокирование
Отражение
После
Определение
масштаба
Сдерживание
Восстановление
СетьОконеч. уст-во Моб. уст-во Виртуальная
среда ОблакоЭл. почта Интернет
WWW
Точка во времени Непрерывно
- 6. 6C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Решение Cisco Email Security
Комплексная защита входящей почты
Before
Dis c ov er
Enforc e
Harden
During
Detec t
Bloc k
Defend
After
Sc ope
Contain
Remediate
Cisco® Talos
Репутационная фильтрация
Антиспам
Outbreak Filters
Анализ URL в реальном времени
Удалить
Удалить/Карантин
Защита от вирусов Удалить/Карантин
Advanced Malware Protection (AMP) Удалить/Карантин
Карантин/Переписать
Доставить Карантин
Переписать
URL Удалить
Обнаружение Graymail Переписать
- 7. 7C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Нейтрализация самых изощренных атак с помощью
решений Cisco для защиты электронной почты
Период атаки
До
Выявление
Применение
политик
Ужесточение
политик
Во время
Обнаружение
Блокирование
Отражение
После
Определение
масштаба
Сдерживание
Восстановление
Фильтрация по репутации
Входной контроль
Сигнатуры, антивирус,
сканирование спама
Сканирование URL
Непрерывный ретроспективный
анализ
Отслеживание сообщений
Репутация файлов
Помещение в песочницу
- 8. 8C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
§ Более 180 000 образцов файлов в день
§ Сообщество FireAMP™
§ Специализированные отраслевые
публикации и уведомления от Microsoft
§ Сообщества разработчиков открытого
ПО Snort и ClamAV
§ Незащищенные сети для изучения
хакерских методик
§ Программа Sourcefire AEGIS™
§ Частные и общедоступные каналы
информации об угрозах
§ Динамический анализ
Интеграция системы защиты электронной почты
Cisco Email Security с
интеллектуальными средствами мониторинга угроз на основе беспрецедентной системы
коллективной аналитики безопасности
10I000 0II0 00 0III000 II1010011 101 1100001 110
110000III000III0 I00I II0I III0011 0110011 101000 0110 00
I00I III0I III00II 0II00II I0I000 0110 00
101000 0II0 00 0III000 III0I00II II II0000I II0
1100001110001III0 I00I II0I III00II 0II00II 101000 0110 00
100I II0I III00II 0II00II I0I000 0II0 00
Cisco®
Talos
Аналитика
угроз
Исследования
Реагирование
ESA
Эл. почта Оконечные
устройства
Интернет Сети IPS Устройства
WWW
1,6 млн
датчиков по всему миру
100 ТБ
данных, получаемых
ежедневно
Более 150 млн
развернутых оконечных
устройств
Более 600
инженеров, технических
специалистов и
исследователей
35 %
мирового трафика электронной
почты
13 млрд
веб-запросов
Круглосуточная
работа без выходных
Более 40
языков
- 9. 9C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Технологии Cisco Talos/SensorBase:
база данных репутации отправителей электронной почты
0-10
Оценка репутации IP-адреса
+10-10
Перехват
спама
Отчеты
по претензиям
Черные
и белые списки
IP-адресов
Данные
по структуре
сообщений
Списки
взломанных
хостов
Данные
по структуре
веб-сайтов
Данные
по глобальному
объему
трафика
Черные
и белые списки
доменов
Прочие данные
Разнообразие и качество
данных играют ключевую роль
До
Выявление
Применение
политик
Ужесточение
политик
Во время
Обнаружение
Блокирование
Отражение
После
Определение
масштаба
Сдерживание
Восстановление
Обновления приходит каждые
3-5 минут
Свыше 8М правил в день
- 10. 10C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
До
Выявление
Применение
политик
Ужесточение
политик
Во время
Обнаружение
Блокирование
Отражение
После
Определение
масштаба
Сдерживание
Восстановление
Схема работы системы
для защиты от спама
Входящая почта:
легитимная,
нежелательная
и неопределенная
Cisco®
Talos
Что
Система
Cisco для
защиты от
спама
КогдаКто
КакГде
Скорость передачи
подозрительной почты
ограничивается, спам
отфильтровывается
Достоверно
нежелательная почта
блокируется
до попадания в сеть
Выбор механизмов
сканирования с учетом
риска для каждого
пользователя
§ Результативность — более 99 %
§ Менее одного ложного срабатывания
на миллион сообщений
- 11. 11C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Анализ пропущенного спама
Категории пропущенного спама
(предоставляется пользователям с января 2014 г.)
Предложение
Фишинг
Мошенничество
Работа
Лотерея
Лекарства
Кредиты Знакомства
Страхование
Порнография
Семинар
Дипломы
Маркетинго-
вые услуги
Казино
Ссылка Вредоносное
ПО
Предметы
роскошиАкции
Ненужные предложения (категория микроспама) = продажа
товаров или услуг.
Большинство отправителей спама используют технологию «спам
на снегоступах»
«Спам на снегоступах» — технология, используемая для того,
чтобы скрыть настоящего отправителя и остаться незамеченным.
Она позволяет обойти традиционные методы защиты от спама.
короткие кампании — быстрая трансформация — постоянное
изменение
Между результативностью и ложным срабатыванием очень
тонкая грань
Это не «новые» техники, однако они используются все чаще
Негативная репутация
отправителя
Анализ негативного контента
§ Никогда не используется тот
же IP-адрес для отправки
больше x сообщений спама
за интервал времени y.
§ Никогда не отправляется
спам с одного и того же IP.
§ Никогда не используется одинаковая
последовательность слов
§ Никогда не используются одинаковые
изображения
§ Никогда не используется тот же
URL-адрес
- 12. 12C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Глубокая защита от вирусов
Что
Cisco
Anti-Spam
IMS
КогдаКто
КакГде
§ Результативность —
более 99 %
§ Менее одного ложного
срабатывания
на миллион сообщений
Механизмы защиты
от спама
Антивирусные
подсистемы
Несколько антивирусных подсистем
§ Sophos
§ McAfee
До
Поиск
Применение
Укрепление
Во время
Обнаружение
Блокирование
Отражение
После
Оценка
масштаба
Сдерживание
Восстановление
- 13. 13C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Возможности Cisco AMP…
Дополнительная защита
в заданный момент времени
Репутация файлов и их изоляция
(помещение в песочницу)
Ретроспективная защита
Непрерывный анализ
До
Выявление
Применение
Укрепление
Во время
Обнаружение
Блокирование
Отражение
После
Оценка
масштаба
Сдерживание
Восстановление
- 14. 14C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
AMP усиливает первую линию
обнаружения
Любое обнаружение не является 100-процентным
Фильтрация по репутации и помещение файлов в песочницу
Динамический
анализ
Машинное
обучение
Распознавание
отпечатков пальцев
методами нечеткой
логики
Расширенная
аналитика
Идентичная
сигнатура
До
Выявление
Применение
Укрепление
Во время
Обнаружение
Блокирование
Отражение
После
Оценка
масштаба
Сдерживание
Восстановление
- 15. 15C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
Система AMP обеспечивает
непрерывную ретроспективную
безопасность
Интернет
WWW
Оконечные
устройства
СетьЭл. почта УстройстваIPS
Контрольная сумма
и метаданные файла
Информация о процессе
Непрерывный поток
Непрерывный анализ
Файловый и сетевой ввод/вывод
Объем защиты и контрольные точки:
Поток телеметрических
данных
До
Выявление
Применение
Укрепление
Во время
Обнаружение
Блокирование
Отражение
После
Оценка
масштаба
Сдерживание
Восстановление
- 16. 16C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
Объем защиты и контрольные точки:
Контрольная сумма и метаданные
файла
Файловый и сетевой ввод/вывод
Информация о процессе
Поток телеметрических
данных
Непрерывный поток
Интернет
WWW
Оконечные устройства СетьЭл. почта
Непрерывный анализ
УстройстваIPS
Анализ до, во время и после атаки
001110 1001
1000 0110 00
1 10 100111
Ретроспективный анализ
Обнаружение вредоносных файлов, проникнувших сквозь периметр защиты
ESA
§ Упреждающее
блокирование
§ Отслеживание
сообщений
§ Подробный отчет
§ Определение
приоритетов
при ликвидации
последствий
Поддерживаемые действия
До
Выявление
Применение
Укрепление
Во время
Обнаружение
Блокирование
Отражение
После
Оценка
масштаба
Сдерживание
Восстановление
- 17. 17C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Фильтры для защиты от вирусных
эпидемий
Защита от вредоносных программ на основе файлов и URL-адресов «нулевого часа»
Облачная система защиты
от вредоносного ПО «нулевого часа»
Обнаружение вирусов
и вредоносного
ПО «нулевого часа»
Улучшенная защита от вредоносного ПО Фильтры для защиты от вирусных эпидемий в действии
Преимущества фильтров для защиты
от вирусных эпидемий
§ Среднее время упреждения*: более 13 часов
§ Число заблокированных эпидемий*: 291
§ Общая продолжительность дополнительной защиты*:
более 157 дней
Фильтр
вирусов
Динамический
карантин
Cisco®
Talos
До
Выявление
Применение
Укрепление
Во время
Обнаружение
Блокирование
Отражение
После
Оценка
масштаба
Сдерживание
Восстановление
- 18. 18C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Отправить в облако
Электронная почта содержит URL-адрес
Репутация и классификация веб-
ресурсов
Анализ
URL
Cisco®
Talos
Перезаписать
Обезврежено
Заменить
ЗАБЛОКИРОВАНОwww.playb
oy.comЗАБЛОКИРОВАНО
ЗАБЛОКИРОВАНОwww.proxy
.orgЗАБЛОКИРОВАНО
«Данный URL-адрес
заблокирован политикой
безопасности»
Автоматические или определяемые вручную фильтры для защиты от вирусных эпидемий
До
Выявление
Применение
Укрепление
Во время
Обнаружение
Блокирование
Отражение
После
Оценка
масштаба
Сдерживание
Восстановление
Превосходная защита на основе
URL-адресов
Множество способов защиты конечных пользователей от вредоносных
программ или неуместных ссылок
- 19. 19C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Фильтры для защиты от вирусных эпидемий
защищают от смешанных атак
Переход по ссылке
Решения Cisco для
обеспечения безопасности
Запрошенная веб-страница
заблокирована.
http://www.threatlink.com
Решения Cisco для обеспечения безопасности электронной
почты и веб-трафика защищают сеть вашей организации от
вредоносного ПО. Вредоносное ПО выглядит как безопасное
сообщение электронной почты или веб-сайт;; оно получает
доступ к компьютеру, скрывается в системе и повреждает
файлы.
Безопасный веб-сайт
Блокировка
веб-сайта
Cisco®
Talos
До
Выявление
Применение
Укрепление
Во время
Обнаружение
Блокирование
Отражение
После
Оценка
масштаба
Сдерживание
Восстановление
Динамический анализ
по HTTP в режиме
реального времени
- 20. 20C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Top
вредоносных
URL
Пользователей
кликнуло
Дата/время,
причина
перезаписи, URL
действие
Отслеживание взаимодействия с Web
Отслеживание URL, перезаписанное политикой
URL перезаписан
Пользователь кликает
на перезаписанный
URL
На базе
Email ID
На базе
LDAP группы
На основе IP
адреса
Остановка 0-day
Динамическая
информация
Образование
пользователей
Отчет о
перезаписанных
URL
Список
пользователей,
получивших
доступ к
перезаписанным
URL
Добавление
вредоносного
URL к списку
- 21. 21C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Защита от спама
Антивирусная защита
Усовершенствованная защита от
вредоносного ПО (AMP).
Фильтры для защиты от вирусных
эпидемий
Защита от угроз Защита данных
Предотвращение утечки данных
Шифрование
Система Cisco Email Security обеспечивает лучшую
в отрасли защиту исходящих сообщений
Ограничение числа сообщений
Аутентификация почты
- 22. 22C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Точное, простое
и масштабируемое
Предотвращение утечки
данных
Инциденты Политики
Быстрая настройка
Низкие административные накладные
расходы
Комплексные средства создания и изменения
политик
Исключительная точность
Прямая интеграция с корпоративными
системами DLP
До
Выявление
Применение
Укрепление
Во время
Обнаружение
Блокирование
Отражение
После
Оценка
масштаба
Сдерживание
Восстановление
Предотвращение утечки данных (DLP) и обеспечение
соответствия нормативным требованиям
Встроенное комплексное решение DLP с RSA: точное, простое и масштабируемое
- 23. 23C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Ограничение исходящего потока
Ограничение по Mail From:
1-100 Emails 101-1000 Emails
Предупреждение
админа при превышении
• Для отдельных отправителей пороговое
значение может быть увеличено
• Пользователь отправляет 100 писем в час
Typical User
Known High Volume
Sender
• Получение предупреждений об
отправителях с очень большими
объемами сообщений
Admin
• Администратор устанавливает порог для
отдельных пользователей
Политика
!
!
Malicious Sender
- 24. 24C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
• Блокирование фишинг и спуфинг атак
• Применяйте более либеральные политики к аутентифицированным внешним
источникам
Ваша компания
DKIM и SPF
Аутентификация Email
DNS
Server
SIGNED
SIGNEDüПроверено
Trusted_Partner.com
Trusted_Partner.com
Imposter
Cisco
ESA
Удалить/Карантин
- 25. 25C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
• Не дайте подделать ваши сообщения
• Защитите свою репутацию
• Не попадайте в черные списки
Ваша компания ISP
Аутентификация почты
DKIM и SPF
DNS
Serve
r
Public
From: Your_Company.com From: Your_Company.com
SIGNED
From: Your_Company.com
SIGNEDüПроверено
Cisco ESA
- 26. 26C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Управление Cisco Email Security
обеспечивает доступ к простым в использовании и управлении панелям инструментов
Единая политика безопасности
для всей организации
Комплексный анализ на основе
детализированной отчетности
Контроль сообщений электронной
почты с отслеживанием всего
текста сообщения
- 27. 27C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Адаптируемые сервисные предложения
Полная защита и контроль
Защита от спама и антивирусная
защита
Защита от усовершенствованного
вредоносного ПО (AMP)
Фильтры для защиты от вирусных
эпидемий
Защита от угроз Защита данных
Предотвращение утечки данных
Шифрование
Гибкие варианты
развертывания
Устройство Виртуальное уст-во Облако
- 28. 28C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Гибкие варианты внедрения
Варианты
внедрения
На стороне заказчика
ВиртуалкаУстройство
Поддержка
многих
типов
доступа
CloudДесктоп ПланшетЛэптопСмартфон
Гибрид
Облако
Облако АутсорсингГибрид
- 29. 29C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Преимущества Cisco Email Security
Преимущества
Ориентация на предотвращение угроз
Высокая производительность
Непрерывные инновации
- 30. 30C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
3.5M Emails блокируется каждый день
Заблокированных
Emails
Emails* / mo Emails / день Emails / работник / день %
По репутации 73 M 3.3 M 43 94%
По контенту (спаму) 4.3 M 0.2 M 3 5%
Неверный получатель 0.4 M 0.02 M 0.25 1%
Emails получено Emails / mo Emails / день Emails / работник / день %
Поступило 124 M 5.6 M 73
Блокировано 77 M 3.5 M 46 63%
Доставлено 37 M 1.7 M 22 30%
Доставлено с пометкой
“Marketing”
9 M 0.4 M 5 7%
Как Cisco сама использует это решение
Malware
Spam
- 31. 31C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Дальнейшие шаги
Принять решение о типе
развертывания оценочной версии
Определить временные рамки и дату
установки
Определить требования
к оборудованию и изменения
конфигурации
Выбрать продолжительность
тестирования и способ доставки
Запланировать начальную встречу
1
2
3
4
5
- 32. 32C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
• Динамический ландшафт угроз требует нового
подхода к защите электронной почты
• Посетите http://www.cisco.com/go/emailsecurity
для получения большей информации
• Вы можете сами протестировать это решение
– напишите нам на security-request@cisco.com
или самостоятельно оставьте заявку на
http://www.cisco.com/web/offers/sc07/virtual-trial-
offer/index.html?KeyCode=000813860
В заключение