Upload
cisco-russia
View
295
Download
3
Embed Size (px)
Citation preview
Лучшая в отрасли защита на протяжении всей атаки
Решения Cisco для защиты электронной почты
Алексей ЛукацкийМенеджер по развитию бизнеса
2C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Способы работы с электронной почтой меняются,усложняя защиту сети
Со смартфона В кафе В офисе Дома В аэропорту
3C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
E-mail – вектор угроз 1
Заражение вредоносным кодом
Нарушения политик допустимого использования
Потеря данных
Спам через IPv6
Смешанные угрозы
Направленные атакиНепрерывные кибератаки повышенной сложности
Усовершенствованное вредоносное ПО
Руткиты
Черви
Трояны
В 95% случаях атака начинается с e-mail
4C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Угрозы ОкружениеПериметр
Email-вектор
Web-вектор
3Жертвкликает на резюме
Инсталляция бота, установка соединения с сервером C2
4 5Сканирование LAN & альтернативный бэкдори поиск привилегированных пользователей
Система скомпрометирована и данные утекли. Бэкдорсохранен
8Архивирует данные, разделение на разные файлы и отправка их на внешние сервера по HTTPS
7
Посылка фальшивогорезюме([email protected])
2
Админ
Изучение жертвы (SNS)
1
Привилегированные пользователи найдены.6
Админ ЦОДПК
ЕленаИванова
Елена Иванова• HR-координатор• Нужны инженеры• Под давлением времени
Анатомия современной атаки
5C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Для защиты от современных угроз необходим повышенный уровень мониторинга и контроля на протяжении всей атаки
Период атаки
ДоВыявлениеПрименение политик
Ужесточение политик
Во времяОбнаружениеБлокированиеОтражение
ПослеОпределение масштабаСдерживаниеВосстановление
СетьОконеч. уст-во Моб. уст-во Виртуальная среда ОблакоЭл. почта Интернет
WWW
Точка во времени Непрерывно
6C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Решение Cisco Email Security Комплексная защита входящей почты
BeforeDis c ov er Enforc eHarden
DuringDetec tBloc k Defend
AfterScopeConta in
Remediate
Cisco® TalosРепутационная фильтрация
Антиспам
Outbreak Filters
Анализ URL в реальном времени
Удалить
Удалить/Карантин
Защита от вирусов Удалить/Карантин
Advanced Malware Protection (AMP) Удалить/Карантин
Карантин/Переписать
Доставить КарантинПереписать URL Удалить
Обнаружение Graymail Переписать
7C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Нейтрализация самых изощренных атак с помощью решений Cisco для защиты электронной почты
Период атаки
ДоВыявлениеПрименение политик
Ужесточение политик
Во времяОбнаружениеБлокированиеОтражение
ПослеОпределение масштабаСдерживаниеВосстановление
Фильтрация по репутации
Входной контроль
Сигнатуры, антивирус, сканирование спама
Сканирование URL
Непрерывный ретроспективный анализ
Отслеживание сообщений
Репутация файлов
Помещение в песочницу
8C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
§ Более 180 000 образцов файлов в день§ Сообщество FireAMP™
§ Специализированные отраслевые публикации и уведомления от Microsoft
§ Сообщества разработчиков открытого ПО Snort и ClamAV
§ Незащищенные сети для изучения хакерских методик
§ Программа Sourcefire AEGIS™
§ Частные и общедоступные каналы информации об угрозах
§ Динамический анализ
Интеграция системы защиты электронной почты Cisco Email Security с интеллектуальными средствами мониторинга угроз на основе беспрецедентной системы коллективной аналитики безопасности
10I000 0II0 00 0III000 II1010011 101 1100001 110110000III000III0 I00I II0I III0011 0110011 101000 0110 00
I00I III0I III00II 0II00II I0I000 0110 00 101000 0II0 00 0III000 III0I00II II II0000I II01100001110001III0 I00I II0I III00II 0II00II 101000 0110 00
100I II0I III00II 0II00II I0I000 0II0 00
Cisco®Talos
Аналитика угроз
ИсследованияРеагирование
ESA
Эл. почта Оконечные устройства Интернет Сети IPS Устройства
WWW
1,6 млндатчиков по всему миру
100 ТБ данных, получаемых ежедневно
Более 150 млн развернутых оконечных устройств
Более 600инженеров, технических специалистов и исследователей
35 %мирового трафика электронной почты
13 млрд веб-запросов
Круглосуточная работа без выходных
Более 40 языков
9C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Технологии Cisco Talos/SensorBase: база данных репутации отправителей электронной почты
0-10
Оценка репутации IP-адреса
+10-10
Перехват спама
Отчеты по претензиям
Черные и белые списки IP-адресов
Данные по структуре сообщений
Списки взломанных хостов
Данные по структуре веб-сайтов
Данные по глобальному
объему трафика
Черные и белые списки
доменовПрочие данные
Разнообразие и качество данных играют ключевую роль
ДоВыявлениеПрименение политик
Ужесточение политик
Во времяОбнаружениеБлокированиеОтражение
ПослеОпределение масштабаСдерживаниеВосстановление
Обновления приходит каждые 3-5 минут
Свыше 8М правил в день
10C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
ДоВыявлениеПрименение политик
Ужесточение политик
Во времяОбнаружениеБлокированиеОтражение
ПослеОпределение масштабаСдерживаниеВосстановление
Схема работы системы для защиты от спама
Входящая почта: легитимная, нежелательная и неопределенная
Cisco® Talos
Что
Система Cisco для защиты от спама
КогдаКто
КакГдеСкорость передачи подозрительной почты ограничивается, спам отфильтровывается
Достоверно нежелательная почта блокируется до попадания в сеть
Выбор механизмов сканирования с учетом риска для каждого пользователя
§ Результативность — более 99 %§ Менее одного ложного срабатывания
на миллион сообщений
11C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Анализ пропущенного спамаКатегории пропущенного спама
(предоставляется пользователям с января 2014 г.)
Предложение
Фишинг
Мошенничество
Работа
ЛотереяЛекарства
Кредиты Знакомства
СтрахованиеПорнография
СеминарДипломы
Маркетинго-вые услуги
КазиноСсылка Вредоносное
ПОПредметы роскошиАкции
Ненужные предложения (категория микроспама) = продажа товаров или услуг.
Большинство отправителей спама используют технологию «спам на снегоступах»
«Спам на снегоступах» — технология, используемая для того, чтобы скрыть настоящего отправителя и остаться незамеченным. Она позволяет обойти традиционные методы защиты от спама.
короткие кампании —быстрая трансформация— постоянное изменение
Между результативностью и ложным срабатыванием очень тонкая грань
Это не «новые» техники, однако они используются все чаще
Негативная репутация отправителя Анализ негативного контента
§ Никогда не используется тот же IP-адрес для отправки больше x сообщений спама за интервал времени y.
§ Никогда не отправляется спам с одного и того же IP.
§ Никогда не используется одинаковая последовательность слов
§ Никогда не используются одинаковые изображения
§ Никогда не используется тот же URL-адрес
12C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Глубокая защита от вирусов
Что
Cisco Anti-Spam IMS
КогдаКто
КакГде
§ Результативность—более 99 %
§ Менее одного ложного срабатывания на миллион сообщений
Механизмы защиты от спама
Антивирусные подсистемы
Несколько антивирусных подсистем§ Sophos § McAfee
ДоПоиск
ПрименениеУкрепление
Во времяОбнаружениеБлокированиеОтражение
ПослеОценка масштабаСдерживаниеВосстановление
13C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Возможности Cisco AMP…
Дополнительная защита в заданный момент времени
Репутация файлов и их изоляция (помещение в песочницу)
Ретроспективная защита
Непрерывный анализ
ДоВыявление ПрименениеУкрепление
Во времяОбнаружениеБлокированиеОтражение
ПослеОценка масштабаСдерживаниеВосстановление
14C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
AMP усиливает первую линию обнаружения
Любое обнаружение не является 100-процентным
Фильтрация по репутации и помещение файлов в песочницу
Динамический анализ
Машинное обучение
Распознавание отпечатков пальцев методами нечеткой
логики
Расширенная аналитика
Идентичнаясигнатура
ДоВыявление ПрименениеУкрепление
Во времяОбнаружениеБлокированиеОтражение
ПослеОценка масштабаСдерживаниеВосстановление
15C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 1101000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
Система AMP обеспечивает непрерывную ретроспективную безопасность
Интернет
WWW
Оконечные устройства
СетьЭл. почта УстройстваIPS
Контрольная сумма и метаданные файла
Информация о процессе
Непрерывный поток
Непрерывный анализ
Файловый и сетевой ввод/вывод
Объем защиты и контрольные точки:
Поток телеметрических данных
ДоВыявление ПрименениеУкрепление
Во времяОбнаружениеБлокированиеОтражение
ПослеОценка масштабаСдерживаниеВосстановление
16C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 1101000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
Объем защиты и контрольные точки:
Контрольная сумма и метаданные файла
Файловый и сетевой ввод/вывод
Информация о процессе
Поток телеметрических данных
Непрерывный поток
Интернет
WWW
Оконечные устройства СетьЭл. почта
Непрерывный анализ
УстройстваIPS
Анализ до, во время и после атаки
11000 0111 0001110 10011101 1110011 0110011 101000 0110 00
0010 010 10010111001 10 100111
Ретроспективный анализ
Обнаружение вредоносных файлов, проникнувших сквозь периметр защиты
ESA
§ Упреждающее блокирование
§ Отслеживание сообщений
§ Подробный отчет
§ Определение приоритетов при ликвидации последствий
Поддерживаемые действия
ДоВыявление ПрименениеУкрепление
Во времяОбнаружениеБлокированиеОтражение
ПослеОценка масштабаСдерживаниеВосстановление
17C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Фильтры для защиты от вирусных эпидемий Защита от вредоносных программ на основе файлов и URL-адресов «нулевого часа»
Облачная система защиты от вредоносного ПО «нулевого часа»
Обнаружение вирусов и вредоносного
ПО «нулевого часа»
Улучшенная защита от вредоносного ПО Фильтры для защиты от вирусных эпидемий в действии
Преимущества фильтров для защиты от вирусных эпидемий§ Среднее время упреждения*: более 13 часов§ Число заблокированных эпидемий*: 291 § Общая продолжительность дополнительной защиты*:
более 157 дней
Фильтр вирусов
Динамический карантин
Cisco®Talos
ДоВыявление ПрименениеУкрепление
Во времяОбнаружениеБлокированиеОтражение
ПослеОценка масштабаСдерживаниеВосстановление
18C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Отправить в облако
Электронная почта содержит URL-адресРепутация и классификация веб-
ресурсов
Анализ URL
Cisco®Talos
Перезаписать
Обезврежено
Заменить
ЗАБЛОКИРОВАНОwww.playboy.comЗАБЛОКИРОВАНОЗАБЛОКИРОВАНОwww.proxy.orgЗАБЛОКИРОВАНО
«Данный URL-адрес заблокирован политикой безопасности»
Автоматические или определяемые вручную фильтры для защиты от вирусных эпидемий
ДоВыявление ПрименениеУкрепление
Во времяОбнаружениеБлокированиеОтражение
ПослеОценка масштабаСдерживаниеВосстановление
Превосходная защита на основе URL-адресов Множество способов защиты конечных пользователей от вредоносных программ или неуместных ссылок
19C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Фильтры для защиты от вирусных эпидемий защищают от смешанных атак
Переход по ссылке
Решения Cisco для обеспечения безопасности
Запрошенная веб-страницазаблокирована.http://www.threatlink.comРешения Cisco для обеспечения безопасности электронной почты и веб-трафика защищают сеть вашей организации от вредоносного ПО. Вредоносное ПО выглядит как безопасное сообщение электронной почты или веб-сайт;; оно получает доступ к компьютеру, скрывается в системе и повреждает файлы.
Безопасный веб-сайт
Блокировка веб-сайта
Cisco®Talos
ДоВыявление ПрименениеУкрепление
Во времяОбнаружениеБлокированиеОтражение
ПослеОценка масштабаСдерживаниеВосстановление
Динамический анализ по HTTP в режиме реального времени
20C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Top вредоносных URL
Пользователей кликнуло
Дата/время, причина перезаписи, URL действие
Отслеживание взаимодействия с WebОтслеживание URL, перезаписанное политикой
URL перезаписан
Пользователь кликает на перезаписанный
URL
На базе Email ID
На базе LDAP группы
На основе IP адреса
Остановка 0-day
Динамическая информация
Образование пользователей
Отчет о перезаписанных URL
Список пользователей, получивших доступ к перезаписанным URL
Добавление вредоносного URL к списку
21C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Защита от спама
Антивирусная защита
Усовершенствованная защита от вредоносного ПО (AMP).
Фильтры для защиты от вирусных эпидемий
Защита от угроз Защита данных
Предотвращение утечки данных
Шифрование
Система Cisco Email Security обеспечивает лучшую в отрасли защиту исходящих сообщений
Ограничение числа сообщений
Аутентификация почты
22C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Точное, простое и масштабируемое
Предотвращение утечки данных
Инциденты Политики
Быстрая настройка
Низкие административные накладные расходы
Комплексные средства создания и изменения политик
Исключительная точность
Прямая интеграция с корпоративными системами DLP
ДоВыявление ПрименениеУкрепление
Во времяОбнаружениеБлокированиеОтражение
ПослеОценка масштабаСдерживаниеВосстановление
Предотвращение утечки данных (DLP) и обеспечение соответствия нормативным требованиям Встроенное комплексное решение DLP с RSA: точное, простое и масштабируемое
23C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Ограничение исходящего потокаОграничение по Mail From:
1-100 Emails 101-1000 Emails
Предупреждение админа при превышении
• Для отдельных отправителей пороговое значение может быть увеличено
• Пользователь отправляет 100 писем в час
Typical User
Known High Volume Sender
• Получение предупреждений об отправителях с очень большими объемами сообщений
Admin
• Администратор устанавливает порог для отдельных пользователей
Политика !
!
Malicious Sender
24C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
• Блокирование фишинг и спуфинг атак
• Применяйте более либеральные политики к аутентифицированным внешним источникам
Ваша компания
DKIM и SPFАутентификация Email
DNS Server
SIGNED
SIGNEDüПроверено Trusted_Partner.com
Trusted_Partner.com
ImposterCisco ESA
Удалить/Карантин
25C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
• Не дайте подделать ваши сообщения
• Защитите свою репутацию
• Не попадайте в черные списки
Ваша компания ISP
Аутентификация почтыDKIM и SPF
DNS Server
Public
From: Your_Company.com From: Your_Company.com
SIGNED
From: Your_Company.com
SIGNEDüПроверено
Cisco ESA
26C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Управление Cisco Email Securityобеспечивает доступ к простым в использовании и управлении панелям инструментов
Единая политика безопасности для всей организации
Комплексный анализ на основе детализированной отчетности
Контроль сообщений электронной почты с отслеживанием всего текста сообщения
27C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Адаптируемые сервисные предложенияПолная защита и контроль
Защита от спама и антивирусная защита
Защита от усовершенствованного вредоносного ПО (AMP)
Фильтры для защиты от вирусных эпидемий
Защита от угроз Защита данных
Предотвращение утечки данных
Шифрование
Гибкие варианты развертывания
Устройство Виртуальное уст-во Облако
28C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Гибкие варианты внедрения
Варианты внедрения
На стороне заказчика
ВиртуалкаУстройство
Поддержка многих типов доступа
CloudДесктоп ПланшетЛэптопСмартфон
Гибрид
Облако
Облако АутсорсингГибрид
29C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Преимущества Cisco Email Security
Преимущества
Ориентация на предотвращение угроз
Высокая производительность
Непрерывные инновации
30C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
3.5M Emails блокируется каждый день
Заблокированных Emails
Emails* / mo Emails / день Emails / работник / день %
По репутации 73 M 3.3 M 43 94%
По контенту (спаму) 4.3 M 0.2 M 3 5%
Неверный получатель 0.4 M 0.02 M 0.25 1%
Emails получено Emails / mo Emails / день Emails / работник / день %
Поступило 124 M 5.6 M 73
Блокировано 77 M 3.5 M 46 63%
Доставлено 37 M 1.7 M 22 30%
Доставлено с пометкой “Marketing”
9 M 0.4 M 5 7%
Как Cisco сама использует это решение
MalwareSpam
31C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
Дальнейшие шаги
Принять решение о типе развертывания оценочной версии
Определить временные рамки и дату установки
Определить требования к оборудованию и изменения конфигурации
Выбрать продолжительность тестирования и способ доставки
Запланировать начальную встречу
1
2
3
4
5
32C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco
• Динамический ландшафт угроз требует нового подхода к защите электронной почты
• Посетите http://www.cisco.com/go/emailsecurityдля получения большей информации
• Вы можете сами протестировать это решение – напишите нам на security-[email protected]или самостоятельно оставьте заявку на http://www.cisco.com/web/offers/sc07/virtual-trial-offer/index.html?KeyCode=000813860
В заключение
Подробности см. на веб-сайте www.cisco.com/go/esa