Защита почтового трафика от Fortinet

1. © Copyright Fortinet Inc. All rights reserved.
FortiMail
Паливода Александр
fortinet@muk.ua
opali@muk.ua

2. 2
FortiMail Future
 The future is cloudy….
Threat or opportunity?
 Targeted Attacks
Protect the
unknown
 Fabric-ready
What’s next after
FSA?
 Office365 is dominating the
cloud email server market
 Continue the drive against
emerging threats
» Targeting unknown threats
» Business Email Compromise
 FortiMail is a key Fabric element
» FortiSandbox integration has
been a massive success
delivering high growth in
2016.
 Add more value to customers through the
addition of new security features
 New features to help tie FortiMail to the
success of third party cloud services
 Continue to leverage the Fortinet Security
Fabric to drive the adoption of FortiMail

3. 3
Email is *the* critical threat vector
Malware
• Targets unskilled users therefore
often volumetric attacks
• Use of social engineering
techniques to get users to open
email and execute malware
• Some zero day, mostly a numbers
game
Phishing
• Targets an interest group,
organization or individuals (spear
phishing) within the organization
• Customised content based on
user interests or role
• Often targeted at C-levels
(whaling)
• Zero day malware or social
engineering to divulge financial or
credential information
• 12% users click on malicious
attachments or links in such mails*
Email Based Threats
* Source: Verizon 2017 Data Breach Investigations Report
Compliance & Data Loss
• Sending of Personally Identifiable
Information (PII) via Email
• Sending of corporate confidential
information out of the organization
• Corporate espionage
• Failure to encrypt sensitive emails
• Failure to backup/save/archive
emails to comply with corporate
standards
• IRS – 7 years
• PCI – 1 year
• State depts – 3 years
• HIPPA – 6 years

4. 4
It is just email. What’s the problem?
Lack of email security and management can lead to direct financial impact through fraud or indirect impact
through regulatory fines and negative PR.

5. 5
Email – the main vector of malware penetration
49%
of malware was
installed via email
attachment1
Advanced threats easily
bypass the signature-based
prevention mechanisms an
SEG has traditionally used.
15,071
Unique types of malware in
the 1Q18, an average of 170
each day
Notes/Sources:
1. Verizon 2018 Data Breach Report. April 2018.
2. Fortinet Threat Intelligence Newsletters, 2018.
3. FBI. IC3. 2017 Internet Crime Report. May 2018.
4. Gartner Market Guide for Secure Email Gateways, 2017.
$675m
Estimation of losses from
attacks "business email
compromise", 15,670
incidents in 2017

6. 6
Защита от Email угроз
Email Server
FortiGuard
Основные вызовы
Email основные векторы для
злоумышленника
 Spam, attachments, phishing
 Targeted attacks
Соблюдение, конфиденциальность и
контроль данных
Пользователи являются основным
фактором риска
Решение
FortiMail Email Security
 Inbound and outbound threat protection
 Data loss prevention and encryption
 FortiSandbox integration
Преимущества
 42 consecutive VBSpam awards
 44 VB100 awards
 Highest performance in industry
FortiMail
FortiSandbox

7. 7
FortiMail – e-mail protection
 FortiMail includes the best anti-virus
protection technology, anti-spam
protection and sandboxing.
https://www.virusbulletin.com/uploads/pdf/magazine/2018/201802-
vb100-comparative.pdf
https://www.virusbulletin.com/uploads/pdf/magazine/2018/201803-vbspam-
comparative.pdf

8. 8
Варианты развертывания
Различные сценарии применения
Gateway Mode
• Наиболее распространенный сценарий
развертывания
• Почта доставляется в FortiMail, очищается от угроз и
отправляется почтовому серверу назначения
• Используется как «почтовый релэй»
Transparent Mode
• Разворачивается как «прозрачный» форвардер почты.
Никаких изменений конфигурации, необходимых для
инфраструктуры электронной почты.
• Обычно используется в среде ISP и Операторов..
Server Mode
• FortiMail действует как полный почтовый сервер,
предоставляющий POP3, IMAP, Webmail и календарь в
дополнение к функциям безопасности.

9. 9
Варианты развертывания
High Availability and Scalability Options
Active-Passive Cluster
• Два устройства, полная отказоустойчивость
• Мониторинг состояния и доступности сервисов
• Полная синхронизация (почта, очередь, карантин, логи…)
Config Only HA
• Линейная масштабируемость, подходящая для крупных ISP
и операторов
• Централизованный карантин, управление и шифрование на
основе идентификации
• Enables route and geographic redundancy (гео-кластер)
• Load balanced option using FortiiADC or third party load balancer

10. 10
 Office365 - убедительный аргумент
» Microsoft сделала переход на Office365 убедительной
историей - простота, низкая совокупная стоимость
владения, только расходы на OPEX ……
» Встроенная защита от нежелательной почты и
антиспама не всегда адекватна ... .. Даже с Exchange
Online Protection.
» Отсутствуют функции шифрования и DLP в Office 365
 Решение
» FortiMail можно развернуть вместе с Office 365 в
Microsoft Azure Cloud для повышения безопасности и
защиты контента.
Варианты развертывания
Переход на Office365

11. 11
Deployment Options
Flexible Deployment Options
Wide range of appliances Virtual Appliances
Public Cloud
FortiMail Cloud
IaaS

12. 12
Key features

13. 13
 Репутационная база данных FortiGuard
» Запрос в «облако» для определения известных спам-
IP и контента
 FortiGuard Antivirus, Anti-Spam and URL Filtering
 FortiGuard IP Reputation including Botnets
» Удаление большого количества спама при низкой
стоимости
 Расширенные методы фильтрации
» Обнаружение новых кампаний спама, используя
различные динамические методы
 Header Analysis
 Dynamic Heuristics
 Behavior Analysis
 Sender Reputation
 Suspicious Newsletter
 DKIM / SPF / DMARC
 Greyware Scanning
Ключевой функционал
Anti-Spam/Anti-Phishing

14. 14
 FortiGuard Anti-Malware (On-box)
» One-to-many signature matching (CPRL)
» Heuristic detection
» Code emulation & Behavioural analysis
 Outbreak Protection (Cloud based)
» Задержка письма с одновременным запросом в FortiGuard –
«были ли у кого-то в мире подобные письма?»,
предотвращение 0-day threat
 Active Threat Neutralization
» Изъятие активного HTML-контента и вложений из писем, для
нейтрализации активных угроз
» Доставка нейтрализированой версии адресату, а оригинал – в
архив
 Decrypt Archives and PDFs
» Популярные и кастомизированные списки паролей
Ключевой функционал
Anti-Malware
File Sample
Действие на основе профилей
Файл отбрасывается, помещается в карантин или в лог
Outbreak detection
Behavioral Analysis
Code Emulation
Decryption/unpacker System
Signature Match
(CPRL/Checksum)
FortiGuard Data
Analytics

15. 15
 Behavioural Analysis
» Fuzzy logic engine for FortiGuard signatures
» Является ли поведение похожим на недавние
обнаружения на основе сигнатур?
 FortiGuard Outbreak Protection
» FortiGuard анализирует миллионы emails в час от
тысяч устройств в Интернете и способна
идентифицировать новый спам и malware в считанные
минуты.
» Подозрительные вложения, обнаруженные в
известном спаме, блокируются до полной оценки
FortiGuard Labs.
Ключевой функционал
Защита от возникающих (новых) угроз

16. 16
 Защита от утечки данных (DLP)
» Предустановленные настройки DLP для HIPAA, GLBA,
SOX, PCI для упрощения создания политики соответствия,
возможность кастомизации
» File fingerprinting с ручной загрузкой файлов и
сканированием Windows Fileshare
» Смарт-идентификаторы для высокой точности
 TLS & S/MIME Encryption
 Identity Based Encryption
» Не требуется дополнительная лицензия
» Нет обмена ключами шифрования, минимальное
управление ключами
 Per Mailbox Policy-based Archiving
» Архивация по политикам для каждого ящика –
отправитель/получатель; тема/тело/вложение
» Удаленное архивирование
» Доступ к архиву через IMAP
» Microsoft Exchange Journal Archiving
Ключевой функционал
Data Protection and Compliance

17. 17
 Dynamic Adult Image Analysis
» 2.5 миллиарда emails в день содержат порно-контент (8%
от всех писем) *
» 70% сотрудников допускают на работе просмотр или
отправку личной электронной почты, ориентированной на
взрослых. *
» Новая служба обнаруживает контент для взрослых в
изображениях с использованием различных
запатентованных методов, позволяющих блокировать или
логировать.
» Защита репутации бренда и компании
» Забота о сотрудниках, предотвращение враждебных
условий работы и избежание судебных исков о
сексуальных домогательствах
» Остановка оскорбительного контента
Ключевой функционал
Data Protection and Compliance
* Source: NFO Worldwide

18. 18
 Центральный карантин
» Легкое администрирование
» Может объединяться между устройствами
 Персональный карантин
» Отправитель и тема
» Добавление или удаление данных
 Автоматическая маркировка и доставка
 Новости и нежелательные категории
» Клиент фильтрует в выделенную папку
Ключевой функционал
Quarantine, End User Digest, Junkmail/Newsletter
Folders

19. 19
 On-Premise and Cloud options
 FortiMail queues email and submits files and URLs
to FortiSandbox for analysis
» AV Pre-filtering
» Cloud results lookup - is sample already known
bad
» Analyze objects in a virtual sandbox environment
» Callback detection – does sample try to call home
for instructions
» Assign and return a rating for the submission
» FortiMail maintains a cache of FortiSandbox
results
Ключевой функционал
FortiSandbox Threat Analysis *
* Optional but a core part of an ATP solution
Targeted Email
(1) Attachment sent
to FortiSandbox
(2) Object analyzed in
Sandbox environment
(3) Risk rating returned,
message handled by
policy
FortiMail
FortiSandbox

20. 20
 Content Disarm & Reconstruction
 Возможность «разоружения» офисных (MS
Office) и PDF файлов
 Из файлов удаляется весь активный контент
 Это позволяет минимизировать риск заражения
при наличии в файле эксплойтов
 Исходный файл можно загрузить в FortiSandbox
 Возможность выборочного «разоружения»
ссылок выбранной категории
» Ссылки могут быть удалены, либо могут
перенаправлять на портал с сообщением о
блокировке
 Password Decrypt Office Docs
» Расшифровка запароленных архивов и PDF
файлов поддерживалось с 5.4
» Добавлена поддержка расшифровки
запароленных офисных документов
(MSOffice)
FORTIMAIL FEATURE UPDATE
ЗАЩИТА ОТ ПРОДВИНУТЫХ УГРОЗ Удаление макросов
Нейтрализация URLs
Удаление вложенного
контента (OLE)

21. 21
URL Click Protection
 Защита в момент клика
» При проверке письма ссылки
переписываются так, что они
указывают на специальный портал
на FortiMail
» При попадании полтзователя по
такой ссылке, FortiMail проводит
повторный анализ конечной
ссылки
» Новая лицензия URL Click Protect
 Преимущества
» Позволяет защитить
пользователей от перехода по
ссылкам, по которым уже после
прохождения письма стал
доступен вредоносный контент
FORTIMAIL FEATURE UPDATE
TARGETED ATTACK PREVENTION

22. 22
Business Email Compromise
(BEC)
 Анализ подмены C-Level e-mails
» Идентификация корректных пар
Display Name / Header Address.
» Детектирование спуфинга
входящих email
» Предупреждение получателя в
Subject Tag или Body Header
» Предупреждение Whaling атак на
C-Levels
» Dopelganger domain detection*
» Dangerous charset detection*
FORTIMAIL FEATURE UPDATE
TARGETED ATTACK PREVENTION

23. 23
FortiView
 Новое меню FortiView
» По аналогии с FortiGate
» Статистика – топ пользователей
и угроз
» Статистика по письмам и
сессиям
FORTIMAIL FEATURE UPDATE
FORTIVIEW & ФАБРИКА БЕЗОПАСНОСТИ

24. 24
Фабрика безопасности
 FortiMail становится частью FOS
Security Fabric
» FortiMail включается в
отображение топологии на
FortiGate
FORTIMAIL FEATURE UPDATE
FORTIVIEW & ФАБРИКА БЕЗОПАСНОСТИ

25. 25
Усовершенствования
пересылки исходящих писем
 Возможность Outbound Mail Relay
до нескольких получателей:
» Host
» MX Record
» IP/Group
Ограничение темпа доставки
сообщений (rate limiting)
 Настройка максимального темпа
до определенных доменов
получателей
» Ограничение темпа отправки
почтовых рассылок – для защиты
домена от попадания в черные
списки
FORTIMAIL FEATURE UPDATE
УЛУЧШЕНИЯ MTA
5.4 6.0

26. 26
Репутация попыток
аутентификации
 Добавлена в GUI (в прошлых
версиях только в CLI)
 Конфигурация для различных опций
– CLI, Почта, Веб
 Исключения для внутренних IP и
прокси
 База репутации отображается в
Monitor и может быть использована
для создания исключений из
блокировки
FORTIMAIL FEATURE UPDATE
УЛУЧШЕНИЯ СИСТЕМЫ

27. 27
Усовершенствованный поиск
в журнале
 Переход в поиск по журналу из
почтовых очередей и карантина
 Трассировка сообщений
 Перекрестный поиск по всем журналам
событий
 Регистрация времени событий с
точностью до миллисекунд
 Отображение корректной
последовательности событий в выводе
трассировки
 Добавление поля “Session ID” в
почтовой очереди и карантине – для
трассировки
FORTIMAIL FEATURE UPDATE
РЕГИСТРАЦИЯ СОБЫТИЙ И ОТЧЕТНОСТЬ

28. 28
Усовершенствованная настройка административного доступа
 Возможность дифференцировать доступ к веб-интерфейсу: административный и/или веб-почта (карантин)
 Позволяет на портах, подключенных к внешнему миру оставить доступ к веб-интерфейсу карантина, при этом
закрыть доступ к интерфейсу администратора
FORTIMAIL FEATURE UPDATE
СИСТЕМА

29. 29
ENCRYPTEDENCRYPTED
Local network Local network
Когда TLS не достаточно
 Only a portion of the email’s path may be encrypted
 No control over which public MTA the email passes through
 Eavesdropping possible if email passes through an MTA in plain text
 To guarantee privacy and security, encryption must be present end-to-end

30. 30
Identity-Based Encryption
 Public key encryption technology used for end-to-end encryption
 Encryption keys generated from identity elements such as email addresses
 Authenticated access for decryption
 Simplified administration; No need to exchange keys or digital certificates in
advance
End-to-end encryption Authenticated
access

31. 31
Identity Based Encryption – Pull method
⑤ RECIPIENT ACCESSES
THE EMBEDDED URL
⑥ RECIPIENT IS
REGISTERED &
AUTHENTICATED
④ A NOTIFICATION EMAIL IS SENT
TO THE RECIPIENT WHICH
INCLUDES A WEB LINK
⑦ MESSAGE IS DISPLAYED
TROUGH A WEBMAIL
INTERFACE
③ ENCRYPTED MAIL IS
STORED ON FORTIMAIL
IN A SECURE MAILBOX
3
② MAIL MATCHES AN
ENCRYPTION
POLICY
7
① MAIL IS SENT BY
EMAIL CLIENT
1
MTA
4
5
6

32. 32
Identity Based Encryption – Push method
⑥ RECIPIENT IS
REGISTERED &
AUTHENTICATED
④ A NOTIFICATION IS SENT TO
THE RECIPIENT WITH THE HTML
PAYLOAD AS ATTACHEMENT
⑦ MESSAGE IS DISPLAYED
TROUGH A SECURE
WEBMAIL INTERFACE
③ MESSAGE IS
ENCRYPTED IN
HTML FORMAT
② MAIL MATCHES AN
ENCRYPTION
POLICY
7
① MAIL IS SENT BY
EMAIL CLIENT
1
MTA
5
3
4
⑤ RECIPIENT OPENS THE
ATTACHEMENT
6

33. 33
Delivery Method
① MAIL SENT
BY CLIENT
SENDER
RECIPIENT
② MAIL MATCHES
AN ENCRYPTION
POLICY

34. 34
Delivery Method
SENDER
RECIPIENT
③ ORIGINAL MESSAGE IS
ENCRYPTED AND ATTACHED TO
THE NOTIFICATION EMAIL

35. 35
Delivery Method
SENDER
RECIPIENT
④ NOTIFICATION EMAIL, WITH
ENCRYPTED ATTACHMENT
SENT TO RECIPIENT

36. 36
Delivery Method
SENDER
RECIPIENT
⑤ RECIPIENT ACCESSES THE
ATTACHMENT, WHICH CREATES
AN HTTPS CONNECTION TO
FORTIMAIL

37. 37
Delivery Method
SENDER
RECIPIENT
⑥ RECIPIENT IS
REGISTERED AND
AUTHENTICATED

38. 38
Delivery Method
SENDER
RECIPIENT
⑦ MESSAGE IS
DECRYPTED AND
DISPLAYED BY
HTTPS WEBMAIL
INTERFACE

39. 39
Customization
Custom Password Reset Page
» New custom pages created for
password reset and secure
question pages
 Hide subject on custom IBE login
page
 Rate limit login attempts on IBE
interface
FORTIMAIL FEATURE UPDATE
IBE ENHANCEMENTS
Mantis: 456518 / 456519 / 456755 Func Spec: 6136

40. 40
TESTING
 ICSA – Advanced Threat Defense
 NSS – Breach Prevention Systems
 Gartner – SEG Market Report
CERTIFICATION
 FIPS 140-2
 NDcPP
FORTIMAIL FEATURE UPDATE
TESTING & CERTIFICATION
Mantis: N/A Func Spec: N/A

41. 41
Base Bundle
 Поддержка 24х7 FortiCare
 FortiGuard AntiVirus
 FortiGuard AntiSpam
 FortiGuard Virus Outbreak Protection
 Identity Based Encryption
 Data Loss Prevention
 Archiving
ЛИЦЕНЗИРОВАНИЕ
НОВЫЕ ПАКЕТЫ ПОДПИСОК (BUNDLES)
Mantis: N/A Func Spec: N/A
Enterprise ATP Bundle
 Поддержка 24х7 FortiCare
 FortiGuard AntiVirus
 FortiGuard AntiSpam
 FortiGuard Virus Outbreak Protection
 Identity Based Encryption
 Data Loss Prevention
 Archiving
 FortiCloud Sandbox
 Content Disarm and Reconstruction (CDR)
 Time of Click Protection
 Business Email Compromise – Impersonation
Detection

42. 42
Линейка решений
Performance&Scalability
Email Routing
(Msgs/hr)*
3.6K 50k 250k 800k 2.5M 3,4M
AS+AV Perf.
(Msgs/hr)*
2.7K 40k 200k 500k 1.8M 2.4M
Recommended
for
Demo/Home Small Office Mid Enterprise Mid/Large Enterprise
Large Enterprise, ISP,
Carrier, University
Large Enterprise, ISP,
Carrier, University
FML-60D
FML-VM00
FML-VM04
FML-VM08
FML-VM16
FML-VM32
FML-VM01
FML-VM02
FML-1000D
FML-3200E
FML-3000E
FML-400F
FML-200F
FML Cloud
FML-2000E
FML-900F

43. 43
Targeted Email Attacks

44. 44
Обнаружение неизвестного на основе поведения
Domain Safelists
FortiGuard Antivirus
FortiGuard Anti-Spam
FortiGuard URL Filtering
Threat
Continuum
Security
Technologies
* Source: Verizon 2016 Data Breach Investigations Report
“99% вредоносных хэшей видны всего лишь 58 секунд или меньше. Это отражает то, как
быстро хакеры изменяют свой код, чтобы избежать обнаружения.” *
Known
Bad
Probably
Good
Very
Suspicious
Somewhat
Suspicious
Might be
Good
Completely
Unknown
User Safelists
Newsletter Detection
Outbreak Protection
Header Analysis
Heuristics and Behavior Analysis
Sender Reputation
Suspicious Newsletter
DKIM / SPF / DMARC
Greyware Scanning
FortiGuard IP Reputation
FortiSandbox

45. 45
Key Features FortiSandbox

46. 46
Выявление -> Подавление -> Предотвращение
Циклический процесс
Обновления для
предотвращения
• Обновленная репутация IP
• Категоризация новых веб-
сайтов для фильтрации
• Новые правила IPS и ботнет
для блокирования C&C
трафика
• Обновленные сигнатуры
антивируса для вложений
Выявление и анализ
• Анализ и подробности
поведения объектов в
песочнице
• Подозрительная активность:
изменение привилегий,
создание/изменение/удаление
файлов
• Вредоносная активность:
избыточный/зашифрованный
трафик, DNS запросы
• Имена файлов, URL, IP
адреса
Мгновенное подавление
• Блокирование IP отправителя
вредоносного email
• Предотвращение коммуникации с C&C
• Карантин зараженных устройств
• Подтверждение компрометации и
удаление зараженных файлов

47. 47
Ценность комплексного решения FortiSandbox