Решения Cisco для защиты электронной почты

Лучшая в отрасли защита
на протяжении всей атаки
Решения Cisco
для защиты
электронной
почты
Алексей Лукацкий
Менеджер по развитию бизнеса

2C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Способы работы с электронной почтой меняются,
усложняя защиту сети
Со смартфона В кафе В офисе Дома В аэропорту

E-mail – вектор угроз №1
Заражение
вредоносным
кодом
Нарушения политик
допустимого
использования
Потеря
данных
Спам через IPv6
Смешанные угрозы
Направленные атаки
Непрерывные кибератаки повышенной сложности
Усовершенствованное
вредоносное ПО
Руткиты
Черви
Трояны
В 95% случаях атака начинается с e-mail

Угрозы ОкружениеПериметр
Email-вектор
Web-вектор
3
Жертв
кликает на
резюме
Инсталляция бота,
установка соединения с
сервером C2
4 5
Сканирование LAN &
альтернативный бэкдор и
поиск привилегированных
пользователей
Система
скомпрометирована и
данные утекли. Бэкдор
сохранен
8
Архивирует данные, разделение
на разные файлы и отправка их на
внешние сервера по HTTPS
7
Посылка
фальшивого
резюме
(you@gmail.com)
2
Адми
н
Изучение
жертвы
(SNS)
1
Привилегированные
пользователи найдены.
6
Админ ЦОДПК
Елена
Иванова
Елена Иванова
• HR-координатор
• Нужны инженеры
• Под давлением времени
Анатомия современной атаки

Для защиты от современных угроз необходим повышенный
уровень мониторинга и контроля на протяжении всей атаки
Период атаки
До
Выявление
Применение
политик
Ужесточение
политик
Во время
Обнаружение
Блокирование
Отражение
После
Определение
масштаба
Сдерживание
Восстановление
СетьОконеч. уст-во Моб. уст-во Виртуальная
среда ОблакоЭл. почта Интернет
WWW
Точка во времени Непрерывно

Решение Cisco Email Security
Комплексная защита входящей почты
Before
Dis c ov er
Enforc e
Harden
During
Detec t
Bloc k
Defend
After
Sc ope
Contain
Remediate
Cisco® Talos
Репутационная фильтрация
Антиспам
Outbreak Filters
Анализ URL в реальном времени
Удалить
Удалить/Карантин
Защита от вирусов Удалить/Карантин
Advanced Malware Protection (AMP) Удалить/Карантин
Карантин/Переписать
Доставить Карантин
Переписать
URL Удалить
Обнаружение Graymail Переписать

Нейтрализация самых изощренных атак с помощью
решений Cisco для защиты электронной почты
Период атаки
До
Выявление
политик
политик
Во время
Отражение
После
масштаба
Фильтрация по репутации
Входной контроль
Сигнатуры, антивирус,
сканирование спама
Сканирование URL
Непрерывный ретроспективный
анализ
Отслеживание сообщений
Репутация файлов
Помещение в песочницу

§ Более 180 000 образцов файлов в день
§ Сообщество FireAMP™
§ Специализированные отраслевые
публикации и уведомления от Microsoft
§ Сообщества разработчиков открытого
ПО Snort и ClamAV
§ Незащищенные сети для изучения
хакерских методик
§ Программа Sourcefire AEGIS™
§ Частные и общедоступные каналы
информации об угрозах
§ Динамический анализ
Интеграция системы защиты электронной почты
Cisco Email Security с
интеллектуальными средствами мониторинга угроз на основе беспрецедентной системы
коллективной аналитики безопасности
10I000 0II0 00 0III000 II1010011 101 1100001 110
110000III000III0 I00I II0I III0011 0110011 101000 0110 00
I00I III0I III00II 0II00II I0I000 0110 00
101000 0II0 00 0III000 III0I00II II II0000I II0
1100001110001III0 I00I II0I III00II 0II00II 101000 0110 00
100I II0I III00II 0II00II I0I000 0II0 00
Cisco®
Talos
Аналитика
угроз
Исследования
Реагирование
ESA
Эл. почта Оконечные
устройства
Интернет Сети IPS Устройства
WWW
1,6 млн
датчиков по всему миру
100 ТБ
данных, получаемых
ежедневно
Более 150 млн
развернутых оконечных
устройств
Более 600
инженеров, технических
специалистов и
исследователей
35 %
мирового трафика электронной
почты
13 млрд
веб-запросов
Круглосуточная
работа без выходных
Более 40
языков

Технологии Cisco Talos/SensorBase:
база данных репутации отправителей электронной почты
0-10
Оценка репутации IP-адреса
+10-10
Перехват
спама
Отчеты
по претензиям
Черные
и белые списки
IP-адресов
Данные
по структуре
сообщений
Списки
взломанных
хостов
Данные
по структуре
веб-сайтов
Данные
по глобальному
объему
трафика
Черные
и белые списки
доменов
Прочие данные
Разнообразие и качество
данных играют ключевую роль
До
Выявление
политик
политик
Во время
Отражение
После
масштаба
Обновления приходит каждые
3-5 минут
Свыше 8М правил в день

До
Выявление
политик
политик
Во время
Отражение
После
масштаба
Схема работы системы
для защиты от спама
Входящая почта:
легитимная,
нежелательная
и неопределенная
Cisco®
Talos
Что
Система
Cisco для
защиты от
спама
КогдаКто
КакГде
Скорость передачи
подозрительной почты
ограничивается, спам
отфильтровывается
Достоверно
нежелательная почта
блокируется
до попадания в сеть
Выбор механизмов
сканирования с учетом
риска для каждого
пользователя
§ Результативность — более 99 %
§ Менее одного ложного срабатывания
на миллион сообщений

Анализ пропущенного спама
Категории пропущенного спама
(предоставляется пользователям с января 2014 г.)
Предложение
Фишинг
Мошенничество
Работа
Лотерея
Лекарства
Кредиты Знакомства
Страхование
Порнография
Семинар
Дипломы
Маркетинго-
вые услуги
Казино
Ссылка Вредоносное
ПО
Предметы
роскошиАкции
Ненужные предложения (категория микроспама) = продажа
товаров или услуг.
Большинство отправителей спама используют технологию «спам
на снегоступах»
«Спам на снегоступах» — технология, используемая для того,
чтобы скрыть настоящего отправителя и остаться незамеченным.
Она позволяет обойти традиционные методы защиты от спама.
короткие кампании — быстрая трансформация — постоянное
изменение
Между результативностью и ложным срабатыванием очень
тонкая грань
Это не «новые» техники, однако они используются все чаще
Негативная репутация
отправителя
Анализ негативного контента
§ Никогда не используется тот
же IP-адрес для отправки
больше x сообщений спама
за интервал времени y.
§ Никогда не отправляется
спам с одного и того же IP.
§ Никогда не используется одинаковая
последовательность слов
§ Никогда не используются одинаковые
изображения
§ Никогда не используется тот же
URL-адрес

Глубокая защита от вирусов
Что
Cisco
Anti-Spam
IMS
КогдаКто
КакГде
§ Результативность —
более 99 %
§ Менее одного ложного
срабатывания
на миллион сообщений
Механизмы защиты
от спама
Антивирусные
подсистемы
Несколько антивирусных подсистем
§ Sophos
§ McAfee
До
Поиск
Укрепление
Во время
Отражение
После
Оценка
масштаба

Возможности Cisco AMP…
Дополнительная защита
в заданный момент времени
Репутация файлов и их изоляция
(помещение в песочницу)
Ретроспективная защита
Непрерывный анализ
До
Выявление
Во время
Отражение
После
Оценка
масштаба

AMP усиливает первую линию
обнаружения
Любое обнаружение не является 100-процентным
Фильтрация по репутации и помещение файлов в песочницу
Динамический
анализ
Машинное
обучение
Распознавание
отпечатков пальцев
методами нечеткой
логики
Расширенная
аналитика
Идентичная
сигнатура
До
Выявление
Во время
Отражение
После
Оценка
масштаба

0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
Система AMP обеспечивает
непрерывную ретроспективную
безопасность
Интернет
WWW
Оконечные
устройства
СетьЭл. почта УстройстваIPS
Контрольная сумма
и метаданные файла
Информация о процессе
Непрерывный поток
Файловый и сетевой ввод/вывод
Объем защиты и контрольные точки:
Поток телеметрических
данных
До
Выявление
Во время
Отражение
После
Оценка
масштаба

0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
Объем защиты и контрольные точки:
Контрольная сумма и метаданные
файла
Файловый и сетевой ввод/вывод
Информация о процессе
Поток телеметрических
данных
Непрерывный поток
Интернет
WWW
Оконечные устройства СетьЭл. почта
УстройстваIPS
Анализ до, во время и после атаки
001110 1001
1000 0110 00
1 10 100111
Ретроспективный анализ
Обнаружение вредоносных файлов, проникнувших сквозь периметр защиты
ESA
§ Упреждающее
блокирование
§ Отслеживание
сообщений
§ Подробный отчет
§ Определение
приоритетов
при ликвидации
последствий
Поддерживаемые действия
До
Выявление
Во время
Отражение
После
Оценка
масштаба

Фильтры для защиты от вирусных
эпидемий
Защита от вредоносных программ на основе файлов и URL-адресов «нулевого часа»
Облачная система защиты
от вредоносного ПО «нулевого часа»
Обнаружение вирусов
и вредоносного
ПО «нулевого часа»
Улучшенная защита от вредоносного ПО Фильтры для защиты от вирусных эпидемий в действии
Преимущества фильтров для защиты
от вирусных эпидемий
§ Среднее время упреждения*: более 13 часов
§ Число заблокированных эпидемий*: 291
§ Общая продолжительность дополнительной защиты*:
более 157 дней
Фильтр
вирусов
Динамический
карантин
Cisco®
Talos
До
Выявление
Во время
Отражение
После
Оценка
масштаба

Отправить в облако
Электронная почта содержит URL-адрес
Репутация и классификация веб-
ресурсов
Анализ
URL
Cisco®
Talos
Перезаписать
Обезврежено
Заменить
ЗАБЛОКИРОВАНОwww.playb
oy.comЗАБЛОКИРОВАНО
ЗАБЛОКИРОВАНОwww.proxy
.orgЗАБЛОКИРОВАНО
«Данный URL-адрес
заблокирован политикой
безопасности»
Автоматические или определяемые вручную фильтры для защиты от вирусных эпидемий
До
Выявление
Во время
Отражение
После
Оценка
масштаба
Превосходная защита на основе
URL-адресов
Множество способов защиты конечных пользователей от вредоносных
программ или неуместных ссылок

Фильтры для защиты от вирусных эпидемий
защищают от смешанных атак
Переход по ссылке
Решения Cisco для
обеспечения безопасности
Запрошенная веб-страница
заблокирована.
http://www.threatlink.com
Решения Cisco для обеспечения безопасности электронной
почты и веб-трафика защищают сеть вашей организации от
вредоносного ПО. Вредоносное ПО выглядит как безопасное
сообщение электронной почты или веб-сайт;; оно получает
доступ к компьютеру, скрывается в системе и повреждает
файлы.
Безопасный веб-сайт
Блокировка
веб-сайта
Cisco®
Talos
До
Выявление
Во время
Отражение
После
Оценка
масштаба
Динамический анализ
по HTTP в режиме
реального времени

Top
вредоносных
URL
Пользователей
кликнуло
Дата/время,
причина
перезаписи, URL
действие
Отслеживание взаимодействия с Web
Отслеживание URL, перезаписанное политикой
URL перезаписан
Пользователь кликает
на перезаписанный
URL
На базе
Email ID
На базе
LDAP группы
На основе IP
адреса
Остановка 0-day
Динамическая
информация
Образование
пользователей
Отчет о
перезаписанных
URL
Список
пользователей,
получивших
доступ к
перезаписанным
URL
Добавление
вредоносного
URL к списку

Защита от спама
Антивирусная защита
Усовершенствованная защита от
вредоносного ПО (AMP).
эпидемий
Защита от угроз Защита данных
Предотвращение утечки данных
Шифрование
Система Cisco Email Security обеспечивает лучшую
в отрасли защиту исходящих сообщений
Ограничение числа сообщений
Аутентификация почты

Точное, простое
и масштабируемое
Предотвращение утечки
данных
Инциденты Политики
Быстрая настройка
Низкие административные накладные
расходы
Комплексные средства создания и изменения
политик
Исключительная точность
Прямая интеграция с корпоративными
системами DLP
До
Выявление
Во время
Отражение
После
Оценка
масштаба
Предотвращение утечки данных (DLP) и обеспечение
соответствия нормативным требованиям
Встроенное комплексное решение DLP с RSA: точное, простое и масштабируемое

Ограничение исходящего потока
Ограничение по Mail From:
1-100 Emails 101-1000 Emails
Предупреждение
админа при превышении
• Для отдельных отправителей пороговое
значение может быть увеличено
• Пользователь отправляет 100 писем в час
Typical User
Known High Volume
Sender
• Получение предупреждений об
отправителях с очень большими
объемами сообщений
Admin
• Администратор устанавливает порог для
отдельных пользователей
Политика
!
!
Malicious Sender

• Блокирование фишинг и спуфинг атак
• Применяйте более либеральные политики к аутентифицированным внешним
источникам
Ваша компания
DKIM и SPF
Аутентификация Email
DNS
Server
SIGNED
SIGNEDüПроверено
Trusted_Partner.com
Trusted_Partner.com
Imposter
Cisco
ESA
Удалить/Карантин

• Не дайте подделать ваши сообщения
• Защитите свою репутацию
• Не попадайте в черные списки
Ваша компания ISP
Аутентификация почты
DKIM и SPF
DNS
Serve
r
Public
From: Your_Company.com From: Your_Company.com
SIGNED
From: Your_Company.com
SIGNEDüПроверено
Cisco ESA

Управление Cisco Email Security
обеспечивает доступ к простым в использовании и управлении панелям инструментов
Единая политика безопасности
для всей организации
Комплексный анализ на основе
детализированной отчетности
Контроль сообщений электронной
почты с отслеживанием всего
текста сообщения

Адаптируемые сервисные предложения
Полная защита и контроль
Защита от спама и антивирусная
защита
Защита от усовершенствованного
вредоносного ПО (AMP)
эпидемий
Защита от угроз Защита данных
Предотвращение утечки данных
Шифрование
Гибкие варианты
развертывания
Устройство Виртуальное уст-во Облако

Гибкие варианты внедрения
Варианты
внедрения
На стороне заказчика
ВиртуалкаУстройство
Поддержка
многих
типов
доступа
CloudДесктоп ПланшетЛэптопСмартфон
Гибрид
Облако
Облако АутсорсингГибрид

Преимущества Cisco Email Security
Преимущества
Ориентация на предотвращение угроз
Высокая производительность
Непрерывные инновации

3.5M Emails блокируется каждый день
Заблокированных
Emails
Emails* / mo Emails / день Emails / работник / день %
По репутации 73 M 3.3 M 43 94%
По контенту (спаму) 4.3 M 0.2 M 3 5%
Неверный получатель 0.4 M 0.02 M 0.25 1%
Emails получено Emails / mo Emails / день Emails / работник / день %
Поступило 124 M 5.6 M 73
Блокировано 77 M 3.5 M 46 63%
Доставлено 37 M 1.7 M 22 30%
Доставлено с пометкой
“Marketing”
9 M 0.4 M 5 7%
Как Cisco сама использует это решение
Malware
Spam

Дальнейшие шаги
Принять решение о типе
развертывания оценочной версии
Определить временные рамки и дату
установки
Определить требования
к оборудованию и изменения
конфигурации
Выбрать продолжительность
тестирования и способ доставки
Запланировать начальную встречу
1
2
3
4
5

• Динамический ландшафт угроз требует нового
подхода к защите электронной почты
• Посетите http://www.cisco.com/go/emailsecurity
для получения большей информации
• Вы можете сами протестировать это решение
– напишите нам на security-request@cisco.com
или самостоятельно оставьте заявку на
http://www.cisco.com/web/offers/sc07/virtual-trial-
offer/index.html?KeyCode=000813860
В заключение

Подробности см. на веб-сайте www.cisco.com/go/esa

Решения Cisco для защиты электронной почты

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Решения Cisco для защиты электронной почты

Similar to Решения Cisco для защиты электронной почты (20)

More from Cisco Russia

More from Cisco Russia (20)

Решения Cisco для защиты электронной почты