6. Эволюция угроз, связанных с Email: Снаружи
Входящие угрозы
?
Завтра
Низкие объемы
Высокая стоимость
Сегодня
Большие объемы
Низкая стоимость
Вчера
Целевые атаки
Targeted
Phishing
Covert, Sponsored
Targeted Attacks
Blended
Threats
Advanced
Persistent
Threats
Фишинг
Спам
Network Evasions
Polymorphic Code
Code Red Image
Attachment-based
Slammer
Worms
Spam
Вирусные атаки
Botnets
Custom URL
Conficker
Stuxnet
???
7. Эволюция угроз, связанных с Email: Изнутри
?
Завтра
Небольшие объемы
Слабое влияние
Вчера
Исходящая
Высокие объемы
Сильное влияние
Сегодня
Доступ к почти из
любой точки
Соответствие
Потери активов
заказчика
HIPAA
State regulations
PCI Credit card numbers
Brand Social security numbers
Интеллектуальная
стоимость
Product-planning documents
Data breaches
Corporate espionage
Trade secrets
Legal documents
4
К 2015, доступ с
более 7 млрд
мобильных
устройств
Использование
Доступ к почте
только из-за
корпоративного
МЭ
Меняющееся
законодательство
European Union laws
State laws
Federal laws
Province laws
8. Cisco – это многолетний лидер в квадранте Gartner Secure
Email Gateways
This graphic was published by Gartner, Inc. as
part of a larger research document and should
be evaluated in the context of the entire
document. The Gartner document is available
upon request from this URL.
Gartner does not endorse any vendor, product or service
depicted in its research publications, and does not advise
technology users to select only those vendors with the highest
ratings. Gartner research publications consist of the opinions
of Gartner's research organization and should not be
construed as statements of fact. Gartner disclaims all
warranties, expressed or implied, with respect to this
research, including any warranties of merchantability or
fitness for a particular purpose.
Gartner’s Magic Quadrant for Secure Email Gateways
Peter Firstbrook and Brian Lowans, July 2, 2013.
Challengers Leaders
Cisco
Proofpoint
Symantec
Ability to Execute Completeness of Vision
Microsoft
McAfee
Mimecast
Websense
Barracuda Networks
Sophos
Trend Micro
Clearswift
Sophos
Fortinet
SilverSky
Dell
Trustwave
Watchguard
Niche Players Visionaries
Gartner MQ: Secure Email Gateway – Август 2013
9. Защита от угроз Cisco Email Security
Полная защита входящих
Cisco® SIO
Репутационные фильтры SenderBase
Антиспам
Сигнатурный антивирус & AMP
Фильтры Outbreak
Анализ URL в реальном
времени
cws
Доставка Карантин Перезапись
Сброс
Сброс/Карантин
Сброс/Карантин
Карантин/Перезапись
URLs Сброс
10. Что такое репутационная безопасность?
• Репутационная безопасность возвращает числовое
значение уровня доверия к объекту, что позволяет
устройству предпринять действие, предписанное
политикой.
• Репутация строится на трех вещах:
§ Наша оценка (данные SensorBase)
§ Оценки 3-х сторон
§ Сложная модель, которая возвращает значение в
реальном времени
11. Cisco SenderBase: База данных Email репутации
Complaint
Reports
IP Blacklists
and Whitelists
Compromised
Host Lists
Domain
Blacklist and
Safelists
Website
Composition
Data
Spam Traps
Message
Composition
Data
Global Volume Other Data
Data
IP Reputation Score
-10 0 +10
Знание об угрозах
• Более 1,6 млн устройств
• Библиотека о 40 тыс угроз
• 35% глобального email трафика
• 13B+ web запросов
• 200+ параметров отслеживается
• Мультивекторный обзор
Выгоды
• Полный динамический обзор угроз
• Понимание уязвимостей и технологий
• Просмотр наиболее опасных атак
• Последние техники и тренды атак
12. Динамические обновления
Автоматизированная защита
Обновления Преимущества
• Cisco устройства запрашивают
обновления раз в 3-5 мин
• 8M+ правил в день
• Обновления репутации –
защита в реальном времени
• Снижение времени окна
«небезопасности»
• Минимизация затрат на
управление
Cisco® SIO
13. Антиспам
Whitelisted is delivered
Нормальная
почта идет на
антиспам
фильтр
Подозрительная
идет на
антиспам
фильтр и
ограничивается
WHO WHEN
• > 99% Catch Rate
• < 1 на 1 ложных
срабатываний
Почта с
разной
репутацией
SBRS
Поддерживается
SIO
Известная плохая
блокируется перед
входом в сеть
Blacklisted
email is
dropped
WHAT
Cisco
Anti-Spam
WHERE HOW
Политики
14. Многократная проверка
Хорошая,
плохая,
неизвестна
я
Сброс
IronPort
Anti-Spam
Engine
Anti-Spam
Engine B
Anti-Spam
Engine
(Future)
IronPort
Anti-Spam
Engine
Доставка
Intelligent Multi-Scan
Результаты
15. Intelligent Multi-Scan
Лучшее из двух миров – выше уровень срабатывания, ниже уровень ложных
срабатываний
Catch Rate False Positives
Cisco 99.60% 1 in 1 Million
Greater Spam Detection…with Cisco-Leading FP Rate
+Engine A
+Engine B
MS Улучшение
IMS улучшение
.20%
.10%
18 in 1 Million
21 in 1 Million
Multi-Scan 99.90% 40 in 1 Million
.30% -4000%
Intelligent Multi-Scan 99.90% 1.2 in 1 Million
.30% - 20%
17. Защита от вирусов в деталях
Антивирусные механизмы
Выбор антивирусных движков
Outbreak фильтры
Защита от вирусов и фишинга
0 дня
18. Фильтры Cisco Data Security Outbreak
Защита от Malware 0 дня
Virus
Filter
Динамический
Cisco® SIO карантин
Антивирусы Фильтры Outbreak в действии
Выбор антивирусов
Защита от вирусов и
фишинга 0 дня
Преимущества Outbreak Filters
• Среднее время опережения: 13 часов
• Заблокировано атак: 291
• Общее время защиты: 157 дней
19. Защита Cisco от Zero-Hour Malware
Advanced Malware Protection
Advanced Malware Protection Outbreak Filters
Облачное обнаружение
вредоносного ПО Zero-
Hour
Обнаружение вредоносного
ПО и вирусов Zero-Hour на
базе телеметрии
Файловая
репутация
Файловая
песочница
Известная
репутация
файла
Неизвестный файл
отправляется в
песочницу
Обновление
Интеграция репутации
Sourcefire AMP
20. Основные функции AMP на Cisco Email и Web
Security
File Sandboxing
Анализ поведения
неизвестных файлов
File Retrospection
Ретроспективный
анализ после атаки
File Reputation
Блокирование
вредоносных файлов
21. За горизонтом события ИБ
Точечное обнаружение
Антивирус
Песочница
Начальное значение = Чисто
Начальное значение = Чисто
AMP
Пропущены атаки
Анализ остановлен
Актуальное значение = Плохо = Поздно!!
Регулярный возврат
к ретроспективе
Видимость и
контроль – это ключ
Не 100%
Sleep Techniques
Unknown Protocols
Encryption
Polymorphism
Ретроспективное
обнаружение, анализ
продолжается
Актуальное значение = Плохо =
Блокировано
22. Интеграция механизмов контроля e-mail и web
Сайт чистый
Клик на ссылку
Website
заблокирован Cisco Security
The requested web page
has been blocked
http://www.threatlink.com
Cisco Email and Web Security protects your
organization’s network from malicious software.
Malware is designed to look like a legitimate email or
website which accesses your computer, hides itself
in your system, and damages files.
Cisco SIO
Динамическая
инспекция HTTP в
реальном времени
23. Блокирование фишинговых атак и скрытых угроз
Репутационный фильтр
Спам-фильтр
Анализ контента сообщение
Черные списки
Защита от спуфинга
Блокирование неожидаемых
сообщений
Перенаправление подозрительных
ссылок для анализа и выполнения в
Фильтрация плохих URL базируется защищенное облако
на репутации web и категориях
24. Cisco Email Security обеспечивает прекрасный контроль над
исходящим потоком
Encrypt
Sensitive
Data
Compliance/
DLP
Sender
Rate Limiting
Outbound
Recipient
AS/AV
Checks DKIM/SPF
25. Ограничение исходящего потока
Ограничение по Mail From:
1-100 Emails 101-1000 Emails
Alert admin when limit is hit
• Для отдельных отправителей пороговое
значение может быть увеличено
• Пользователь отправляет 100 писем в час
Known High Volume Sender
Typical User
• Получение предупреждений об
отправителях с очень большими объемами
сообщений
Admi
n
• Администратор устанавливает порог для
отдельных пользователей
Malicious Sender
Policy
26. Сдерживание почты от инфицированных
пользователей
Anti-Spam Anti-Virus
(Intelligent Multi-
Scan)
Ограничение
по Mail From
!
Предупредить
Держитесь подальше от черных списков
• Остановите вредоносное и неправильное использование
систем
• Знайте, кого надо изолировать
• Объединяйте к Outbreak Filters для двусторонней защиты
27. DLP и соответствия
Отдельное или часть общего решения DLP
RSA DLP на устройстве Интегрируется с RSA
Enterprise DLP
Data Loss Prevention
Инциденты Политики
• Email Uptime
• Threat Prevention
• Email Scanning
• Policy Enforcement
• Определение Risk
Policy
• Расследование
инцидентов
• Fingerprinting
Точный, простой, расширяемый
28. Примените политики шифрования
TLS на основе Mail From
Cisco ESA Ваша компания
• Защита чувствительных данных
• Запрет на отправку данных в открытом виде
29. У традиционной Internet почты есть ограничения
Любой может
прочитать
сообщение
Нет
гарантированного
отзыва сообщения
Нет управления
процессом отправки
T
O
C
C
SUBJE
CT
Confidential
Email
Read
Receipt
Guaranteed
Recall
Secure
Reply and forward
T
O
C
C
SUBJE
CT
30. Cisco Envelope Encryption
Просто отправителю
Cisco Email
Security Appliance
Message Key
Sender Recipient
Controls
• Автоматическое управление ключами
• Не требуется дополнительное ПО
• Прозрачная отправка на любой адрес
• Шифрование инициируется -- Keywords | Policies | Senders |
Recipients | etc.
31. Просто получателю
Подтвердите
идентичность
2
Корпоративная учетная
запись(opt)
Cisco Registered
Envelope Service
Откройте аттач
1
Посмотрие
сообщение
3
32. DKIM и SPF
Аутентификация Email
Imposter
• Блокирование фишинг и спуфинг атак
• Применяйте более либеральные политики к аутентифицированным внешним
источникам
Your Company
DNS
Server
SIGNED
SIGNED üVe ri fied Trusted_Partner.com
Trusted_Partner.com
Cisco ESA
Drop/Quarantine
33. Аутентификация почты
DKIM и SPF
SIGNED
Your Company ISP
• Не дайте подделать ваши сообщения
• Защитите свою репутацию
• Не попадайте в черные списки
DNS
Server
Public
From: Your_Company.com From: Your_Company.com
SIGNED üVe ri fied
From: Your_Company.com
Cisco ESA
34. Cisco Email Security. Администрирование
Управление Отчетность Message Tracking
Admin
36. Обзор обработки Email
Message Tracking
Что случилось с письмом, которое я
отослал 2 часа назад?
̶ Можно проследить
индивидуальные сообщения
Кто еще получил похожие сообщения?
̶ Расследования для гарантии
соответствия
37. Поддержка IPv6
Защита от увеличивающегося количества IPv6 угроз для систем Email
IPv6 адреса
Ваша система
безопасности может
правильно фильтровать
контент с IPv6 адресами?
Поддержка: IPv4/IPv6 адреса– single или dual stack – с Anti-Spam, Anti-Virus,
Content Filters, DLP, Encryption,
Преобразование: IPv6 вход, IPv4 выход… или наоборот
Полная поддержка отчетности и Message Tracking
38. • Email Volumes
• Spam Counters
• Policy Violations
• Virus Reports
• Outgoing Email Data
• Reputation Service
• System Health View
Полный обзор
Унифицированные бизнес-отчеты
• Простой просмотр
потоков почты в
организации
• Отчеты в режиме
реального времени как
для email, так и для
угроз
• Иерархическая модель
очетов.
Multiple Consolidated and Custom Reports data points
39. Варианты исполнения Cisco Email Security
Выгоды от виртуализации
• Выбор форм-фактора
• Гибкость развертывания
• Ценовая модель – подписка
Варианты использования
• Региональный офис
• Пики трафика
• Инициатива облака/виртуализация
Cisco E-mail Hosted Security
ESAV
+
+
Cisco UCS
41. Безопасность Web – ставки выше, чем когда-
либо
Зксплоиты
Кражи и
шпионаж
Прерывание
работы
42. Web страницы содержат скрытые угрозы
• Flash
• Java
• JPG
• PDF
• Script
• .exe
• Etc.
Potential
threats
43. Потеря производительности – это тоже угроза
Сколько полосы пропускания занимает ежедневно Web 2.0?
Facebook time:
2,110,516 minutes or
35,175 hours, 1465
days, 4.1 years!
# of Facebook likes:
3,925,407 at 1 second a
like that’s almost 1100
hrs/day or 45 days just
liking things!
Bytes on YouTube
video playback:
11,344,463,363,245
or 10 TB
Pandora:
713,884,303,727
or .6 TB
Total browse time for
the day:
2,270,690,423 or
4,320 Years.
Total bytes for the day:
70,702,617,989,737
or 64 TB over 15% from
YouTube!
Source: Cloud Web Security Report
44. Cisco – это лидер в квадранте Gartner для Secure Web
Gateways
This graphic was published by Gartner, Inc. as
part of a larger research document and should
be evaluated in the context of the entire
document. The Gartner document is available
upon request from this URL.
Gartner does not endorse any vendor, product or service
depicted in its research publications, and does not advise
technology users to select only those vendors with the highest
ratings. Gartner research publications consist of the opinions
of Gartner's research organization and should not be
construed as statements of fact. Gartner disclaims all
warranties, expressed or implied, with respect to this
research, including any warranties of merchantability or
fitness for a particular purpose.
Gartner’s Magic Quadrant for Secure Web Gateways
Lawence Orans, Peter Firstbrook, 28 May 2013
Challengers Leaders
Ability to Execute Completeness of Vision
Cisco
Blue Coat Systems
Websense
McAfee Zscaler
Symantec
Barracuda
Networks
Trend Micro
Trustwave
Sophos
Sangfor
ContentKeeper
Technologies
Phantom
Technologies-iboss
Security
Niche Players Visionaries
45. Cisco Web Security обеспечивает сильную защиту
WW
W
Время
запроса
Время
ответа
Cisco® SIO
URL Фильтрация
Репутационный фильтр
Динамический анализ (DCA)
Сигнатурные anti-malware движки & AMP
Анализ в Sandbox real-time
Block
WWW
Block
WWW
Block
WWW
Block
WWW
WWW Allow
Warn
WWW WWW Partial
Block
Block
WWW
cws
46. Cisco Web Usage Controls
URL фильтрация и динамический анализ контента
1. Скан текста
WW
W
URL Database
3. Вычисление близости к
эталонным документов
4. Наиболее близкое
совпадение категории
2. Определение
релевантности
Finance
Adult
Health
Finance Adult Health
WWW Allow
Warn
WWW WWW Partial
Block
5. Применение
политики
Block
WWW
Если не знаем --
анализ
Block
WWW
Warn
WWW
Allow
WWW
Если знаем
47. Анализ репутации
Мощь контекста в реальном времени
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10
IP Значение репутации
Who Where How When
Ex1a7m..Suspicious
1e9x2a.c0op.1m.2mle.0p.Domain
Domain Owner
1 .l6e8
o2r g Server SLBaoKneniejJdinovog in sn High
e Dynamic Risk Location
Address
HHSTTTSTPLP S
IP
Web Registered
server
< < > < 1 1 2 1 Month
Month
Year
Min
10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 010
48. Механизм динамического анализа контента (DCA)
Злоумышленники активно используют сайты-однодневки
Останавливает 50% спорного контента*
*Source: Cisco SIO, based on data from customer production traffic
Высокая
производительность
• База данных URL – более 50
млн улов
• Категоризация в реальном
времени для неизвестных URL
• Поддержка русского языка
Настройка для обычно
блокируемого контента
• Pornography and Adult
• Hate
• Gambling
• Proxy Avoidance
Анализ контента с
человеческой точки
зрения
• Эвристический анализ на
основе моделирования
концепции контента
• Улучшенная точность
49. Безопасный поиск и рейтинг контента
Более глубокий контроль приложений
Безопасный поиск
§ Предотвращение обхода политики с помощью поисковиков
§ Гарантия того, что поисковые механизмы вернут результат, в
котором нежелательный контент отфильтрован
§ Настройка – один клик
§ Поддержка: Google, Bing, Yahoo, Yandex. Дальше – больше
Рейтинг сайтов
§ Блокирование нежелательного
контента на разных сайтах
§ Основано на метаданных, а не на
анализе файлов
§ Поддержка: Flickr, Craigslist, YouTube
50. Контроль полосы пропускания для потокового медиа
• Механизм AVC обнаруживает потоковое аудио и
видео, которое использует HTTP как транспорт
• Ограничения по пользователям
Каждому клиенту разрешается использовать N Kbit/sec
для потокового медиа
Ограничение перегрузки, применение правил
использования, увеличение производительности
пользователей
• Агрегатные ограничение
Потоковое медиа может использовать не более, чем N
мбит/сек полосы пропускания
Гарантия полосы
• Может комбинироваться с категориями и Identlties.
51. Сканирование Malware в реальном времени
Dynamic vectoring and streaming
Сигнатурный и эвристический анализ
• Оптимизация эффективности и уровня
обнаружения с интеллектуальным мульти-
сканированием
• Расширенное покрытие несколькими
механизмами
• Идентификация зашифрованного
вредоносного трафика с помощью
перехвата, расшифровки и сканирования
SSL трафика
• Улучшение впечатления пользователя
благодаря параллельному потоковому
сканированию для более быстрого анализа
• Всегда самые свежие сигнатуры благодаря
автоматическим обновлениям
Эвристическое обнаружение
Необычное поведение
Anti-Malware сканирование
Несколько
движков Anti-
Malware
Сигнатурная проверка
Идентификация известного поведения
Параллельное, потоковое сканирование
53. Удаление ненужных объектов на странице
Анализ каждого объекта на странице (CWS only)
Эмуляция в реальном времени
54. Основные функции AMP на Cisco Email и Web Security
File Sandboxing
Анализ поведения
неизвестных файлов
File Retrospection
Ретроспективный
анализ после атаки
File Reputation
Блокирование
вредоносных файлов
55. Мониторинг угроз на сетевом уровне
Пользователи Анализ на сетевом уровне
Предотвращение трафика
ботнетов (“Phone-home”)
• Сканирование всего трафика, на всех
портах, по всем протоколам
• Обнаружение вредоносного ПО,
обходящего порт 80
• Предотвращение трафика ботнетов
Мощные данные для борьбы с
вредоносным кодом
• Автоматически обновляемые
правила
• Генерация правил в реальном
времени, используя “динамическую
идентификацию”
Инспекция
пакетов и
заголовков
Интернет
56. Правила применения в сегодняшнем Web
Снижение уровня «расстроенности» пользователей
Application Visibility and Control (AVC)
1,000+ Apps
URL фильтрация
150,000+
Micro-Apps
• База данный URL –
более 50 млн сайтов
• Динамическая
категоризация для
неизвестных URL Application
Behavior
• Управление
приложениями
Web 2.0
• Политика для
работы с
приложениями
• Поведение внутри
приложений
• Обзор
деятельности в
сети
http://
+
57. Предотвращение утечек данных
Снижение риска утечки чувствительной информации
Cloud
Базовый DLP
On-Premises
Интеграция DLP
по ICAP
протоколу
CWS
WSA
DLP вендор
WSA
+
Базовый DLP
Расширенный
DLP
58. Cisco Web Security предлагает полное управление
Application Visibility and
Control (AVC)
Data Loss Prevention
(DLP)
Admin
Allow
WWW
WWW Partial
Block
Block
WWW
Centralized
Management &
Reporting
Policy
Threat Protection
User
Cisco Web Usage Controls
59. Централизованное управление и отчетность
Complete solution for on-premises or cloud
Централизованная
отчетность
Централизованное
управление
Просмотр угроз
Возможности расследования
Внутри
Угрозы, данные, приложения
Управление
Общие политики между офисами и
удаленными пользователями
Обзор
Разные устройства, сервисы, сетевые
уровни
Управление
политиками
Делегированное
администрировани
е
Анализ, исправление и переработка политик безопасности
60. Защита мобильных пользователей
Cisco AnyConnect Secure Mobility Client
Web пользователи
Пользователи
с ноутбуками
Client installed on machine
Пользователи с
телефонами, лаптопами,
планшетами
Вердикт
WWW
Allow
WWW
Warn
WWW
Block
Web Security
Location
CWS applies web
security features
WSA применяет
политики
Перенаправление
Web трафика
Направляет
трафик на
ближайший Web
прокси
Перенаправление
трафика в WSA
Трафик
через
VPN
попадае
т в HQ
Cisco
AnyConnect™
Client
VPN
ACWS
VPN
61. Cisco Context Directory Agent
§ Цель CDA – предоставить ASA / ASA NGFW / WSA / CWS информации о
соответствии IP-адреса и имени пользователя для применении политики
безопасности, базирующейся на имени пользователя, а не IP-адреса
§ CDA, заменяющий AD Agent, интегрируется с ISE 1.1.x и ACS 5.3/5.4 и
позволяет получить информацию о пользователях, не
зарегистрированных в AD
64. Различия (1 of 2)
64
Масштаби
рование
Категории &
Репутация
User
Identity Внедрение Удаленные
пользователи
WSA
CWS
NGFW
Fire
POWER
“Сервер” Определяя вашего “Клиента”
65. Различия (2 of 2)
SSL Antivirus &
Malware
65
Non
HTTP(S) Troubleshooting
WSA
CWS
NGFW
Fire
POWER
Определяя “Контент”
66. Резюмируя
Что выбрать?
Все зависит от вашей задачи, одни решения больше подходят чем другие
Удаленные пользователи?
§ Cloud Web Security для согласованной безопасности… В любом месте.
Локальные пользователи с необходимостью контроллировать HTTP/HTTPS?
§ Web Security Appliance для задач фильтрации и контроля
Что-то больше чем HTTP/HTTPS?
§ FirePOWER , ASA+ FirePower, WSA + AMP, ESA + AMP для блокировки и
контроля трафика на остальных портах/протоколах.
66