Решения Cisco для защиты электронной почты

Лучшая в отрасли защита на протяжении всей атаки

Решения Cisco для защиты электронной почты

Алексей ЛукацкийМенеджер по развитию бизнеса

2C97-731718-03 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. Конфиденциальная информация корпорации Cisco

Способы работы с электронной почтой меняются,усложняя защиту сети

Со смартфона В кафе В офисе Дома В аэропорту


E-mail – вектор угроз 1

Заражение вредоносным кодом

Нарушения политик допустимого использования

Потеря данных

Спам через IPv6

Смешанные угрозы

Направленные атакиНепрерывные кибератаки повышенной сложности

Усовершенствованное вредоносное ПО

Руткиты

Черви

Трояны

В 95% случаях атака начинается с e-mail


Угрозы ОкружениеПериметр

Email-вектор

Web-вектор

3Жертвкликает на резюме

Инсталляция бота, установка соединения с сервером C2

4 5Сканирование LAN & альтернативный бэкдори поиск привилегированных пользователей

Система скомпрометирована и данные утекли. Бэкдорсохранен

8Архивирует данные, разделение на разные файлы и отправка их на внешние сервера по HTTPS

7

Посылка фальшивогорезюме([email protected])

2

Админ

Изучение жертвы (SNS)

1

Привилегированные пользователи найдены.6

Админ ЦОДПК

ЕленаИванова

Елена Иванова• HR-координатор• Нужны инженеры• Под давлением времени

Анатомия современной атаки


Для защиты от современных угроз необходим повышенный уровень мониторинга и контроля на протяжении всей атаки

Период атаки

ДоВыявлениеПрименение политик

Ужесточение политик

Во времяОбнаружениеБлокированиеОтражение

ПослеОпределение масштабаСдерживаниеВосстановление

СетьОконеч. уст-во Моб. уст-во Виртуальная среда ОблакоЭл. почта Интернет

WWW

Точка во времени Непрерывно


Решение Cisco Email Security Комплексная защита входящей почты

BeforeDis c ov er Enforc eHarden

DuringDetec tBloc k Defend

AfterScopeConta in

Remediate

Cisco® TalosРепутационная фильтрация

Антиспам

Outbreak Filters

Анализ URL в реальном времени

Удалить

Удалить/Карантин

Защита от вирусов Удалить/Карантин

Advanced Malware Protection (AMP) Удалить/Карантин

Карантин/Переписать

Доставить КарантинПереписать URL Удалить

Обнаружение Graymail Переписать


Нейтрализация самых изощренных атак с помощью решений Cisco для защиты электронной почты

Период атаки





Фильтрация по репутации

Входной контроль

Сигнатуры, антивирус, сканирование спама

Сканирование URL

Непрерывный ретроспективный анализ

Отслеживание сообщений

Репутация файлов

Помещение в песочницу


§ Более 180 000 образцов файлов в день§ Сообщество FireAMP™

§ Специализированные отраслевые публикации и уведомления от Microsoft

§ Сообщества разработчиков открытого ПО Snort и ClamAV

§ Незащищенные сети для изучения хакерских методик

§ Программа Sourcefire AEGIS™

§ Частные и общедоступные каналы информации об угрозах

§ Динамический анализ

Интеграция системы защиты электронной почты Cisco Email Security с интеллектуальными средствами мониторинга угроз на основе беспрецедентной системы коллективной аналитики безопасности

10I000 0II0 00 0III000 II1010011 101 1100001 110110000III000III0 I00I II0I III0011 0110011 101000 0110 00

I00I III0I III00II 0II00II I0I000 0110 00 101000 0II0 00 0III000 III0I00II II II0000I II01100001110001III0 I00I II0I III00II 0II00II 101000 0110 00

100I II0I III00II 0II00II I0I000 0II0 00

Cisco®Talos

Аналитика угроз

ИсследованияРеагирование

ESA

Эл. почта Оконечные устройства Интернет Сети IPS Устройства

WWW

1,6 млндатчиков по всему миру

100 ТБ данных, получаемых ежедневно

Более 150 млн развернутых оконечных устройств

Более 600инженеров, технических специалистов и исследователей

35 %мирового трафика электронной почты

13 млрд веб-запросов

Круглосуточная работа без выходных

Более 40 языков


Технологии Cisco Talos/SensorBase: база данных репутации отправителей электронной почты

0-10

Оценка репутации IP-адреса

+10-10

Перехват спама

Отчеты по претензиям

Черные и белые списки IP-адресов

Данные по структуре сообщений

Списки взломанных хостов

Данные по структуре веб-сайтов

Данные по глобальному

объему трафика

Черные и белые списки

доменовПрочие данные

Разнообразие и качество данных играют ключевую роль





Обновления приходит каждые 3-5 минут

Свыше 8М правил в день






Схема работы системы для защиты от спама

Входящая почта: легитимная, нежелательная и неопределенная

Cisco® Talos

Что

Система Cisco для защиты от спама

КогдаКто

КакГдеСкорость передачи подозрительной почты ограничивается, спам отфильтровывается

Достоверно нежелательная почта блокируется до попадания в сеть

Выбор механизмов сканирования с учетом риска для каждого пользователя

§ Результативность — более 99 %§ Менее одного ложного срабатывания

на миллион сообщений


Анализ пропущенного спамаКатегории пропущенного спама

(предоставляется пользователям с января 2014 г.)

Предложение

Фишинг

Мошенничество

Работа

ЛотереяЛекарства

Кредиты Знакомства

СтрахованиеПорнография

СеминарДипломы

Маркетинго-вые услуги

КазиноСсылка Вредоносное

ПОПредметы роскошиАкции

Ненужные предложения (категория микроспама) = продажа товаров или услуг.

Большинство отправителей спама используют технологию «спам на снегоступах»

«Спам на снегоступах» — технология, используемая для того, чтобы скрыть настоящего отправителя и остаться незамеченным. Она позволяет обойти традиционные методы защиты от спама.

короткие кампании —быстрая трансформация— постоянное изменение

Между результативностью и ложным срабатыванием очень тонкая грань

Это не «новые» техники, однако они используются все чаще

Негативная репутация отправителя Анализ негативного контента

§ Никогда не используется тот же IP-адрес для отправки больше x сообщений спама за интервал времени y.

§ Никогда не отправляется спам с одного и того же IP.

§ Никогда не используется одинаковая последовательность слов

§ Никогда не используются одинаковые изображения

§ Никогда не используется тот же URL-адрес


Глубокая защита от вирусов

Что

Cisco Anti-Spam IMS

КогдаКто

КакГде

§ Результативность—более 99 %

§ Менее одного ложного срабатывания на миллион сообщений

Механизмы защиты от спама

Антивирусные подсистемы

Несколько антивирусных подсистем§ Sophos § McAfee

ДоПоиск

ПрименениеУкрепление


ПослеОценка масштабаСдерживаниеВосстановление


Возможности Cisco AMP…

Дополнительная защита в заданный момент времени

Репутация файлов и их изоляция (помещение в песочницу)

Ретроспективная защита

Непрерывный анализ

ДоВыявление ПрименениеУкрепление




AMP усиливает первую линию обнаружения

Любое обнаружение не является 100-процентным

Фильтрация по репутации и помещение файлов в песочницу

Динамический анализ

Машинное обучение

Распознавание отпечатков пальцев методами нечеткой

логики

Расширенная аналитика

Идентичнаясигнатура





0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 1101000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

Система AMP обеспечивает непрерывную ретроспективную безопасность

Интернет

WWW

Оконечные устройства

СетьЭл. почта УстройстваIPS

Контрольная сумма и метаданные файла

Информация о процессе

Непрерывный поток


Файловый и сетевой ввод/вывод

Объем защиты и контрольные точки:

Поток телеметрических данных





0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 1101000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

Объем защиты и контрольные точки:

Контрольная сумма и метаданные файла

Файловый и сетевой ввод/вывод

Информация о процессе

Поток телеметрических данных

Непрерывный поток

Интернет

WWW

Оконечные устройства СетьЭл. почта


УстройстваIPS

Анализ до, во время и после атаки

11000 0111 0001110 10011101 1110011 0110011 101000 0110 00

0010 010 10010111001 10 100111

Ретроспективный анализ

Обнаружение вредоносных файлов, проникнувших сквозь периметр защиты

ESA

§ Упреждающее блокирование

§ Отслеживание сообщений

§ Подробный отчет

§ Определение приоритетов при ликвидации последствий

Поддерживаемые действия





Фильтры для защиты от вирусных эпидемий Защита от вредоносных программ на основе файлов и URL-адресов «нулевого часа»

Облачная система защиты от вредоносного ПО «нулевого часа»

Обнаружение вирусов и вредоносного

ПО «нулевого часа»

Улучшенная защита от вредоносного ПО Фильтры для защиты от вирусных эпидемий в действии

Преимущества фильтров для защиты от вирусных эпидемий§ Среднее время упреждения*: более 13 часов§ Число заблокированных эпидемий*: 291 § Общая продолжительность дополнительной защиты*:

более 157 дней

Фильтр вирусов

Динамический карантин

Cisco®Talos





Отправить в облако

Электронная почта содержит URL-адресРепутация и классификация веб-

ресурсов

Анализ URL

Cisco®Talos

Перезаписать

Обезврежено

Заменить

ЗАБЛОКИРОВАНОwww.playboy.comЗАБЛОКИРОВАНОЗАБЛОКИРОВАНОwww.proxy.orgЗАБЛОКИРОВАНО

«Данный URL-адрес заблокирован политикой безопасности»

Автоматические или определяемые вручную фильтры для защиты от вирусных эпидемий




Превосходная защита на основе URL-адресов Множество способов защиты конечных пользователей от вредоносных программ или неуместных ссылок


Фильтры для защиты от вирусных эпидемий защищают от смешанных атак

Переход по ссылке

Решения Cisco для обеспечения безопасности

Запрошенная веб-страницазаблокирована.http://www.threatlink.comРешения Cisco для обеспечения безопасности электронной почты и веб-трафика защищают сеть вашей организации от вредоносного ПО. Вредоносное ПО выглядит как безопасное сообщение электронной почты или веб-сайт;; оно получает доступ к компьютеру, скрывается в системе и повреждает файлы.

Безопасный веб-сайт

Блокировка веб-сайта

Cisco®Talos




Динамический анализ по HTTP в режиме реального времени


Top вредоносных URL

Пользователей кликнуло

Дата/время, причина перезаписи, URL действие

Отслеживание взаимодействия с WebОтслеживание URL, перезаписанное политикой

URL перезаписан

Пользователь кликает на перезаписанный

URL

На базе Email ID

На базе LDAP группы

На основе IP адреса

Остановка 0-day

Динамическая информация

Образование пользователей

Отчет о перезаписанных URL

Список пользователей, получивших доступ к перезаписанным URL

Добавление вредоносного URL к списку


Защита от спама

Антивирусная защита

Усовершенствованная защита от вредоносного ПО (AMP).

Фильтры для защиты от вирусных эпидемий

Защита от угроз Защита данных

Предотвращение утечки данных

Шифрование

Система Cisco Email Security обеспечивает лучшую в отрасли защиту исходящих сообщений

Ограничение числа сообщений

Аутентификация почты


Точное, простое и масштабируемое


Инциденты Политики

Быстрая настройка

Низкие административные накладные расходы

Комплексные средства создания и изменения политик

Исключительная точность

Прямая интеграция с корпоративными системами DLP




Предотвращение утечки данных (DLP) и обеспечение соответствия нормативным требованиям Встроенное комплексное решение DLP с RSA: точное, простое и масштабируемое


Ограничение исходящего потокаОграничение по Mail From:

1-100 Emails 101-1000 Emails

Предупреждение админа при превышении

• Для отдельных отправителей пороговое значение может быть увеличено

• Пользователь отправляет 100 писем в час

Typical User

Known High Volume Sender

• Получение предупреждений об отправителях с очень большими объемами сообщений

Admin

• Администратор устанавливает порог для отдельных пользователей

Политика !

!

Malicious Sender


• Блокирование фишинг и спуфинг атак

• Применяйте более либеральные политики к аутентифицированным внешним источникам

Ваша компания

DKIM и SPFАутентификация Email

DNS Server

SIGNED

SIGNEDüПроверено Trusted_Partner.com

Trusted_Partner.com

ImposterCisco ESA

Удалить/Карантин


• Не дайте подделать ваши сообщения

• Защитите свою репутацию

• Не попадайте в черные списки

Ваша компания ISP

Аутентификация почтыDKIM и SPF

DNS Server

Public

From: Your_Company.com From: Your_Company.com

SIGNED

From: Your_Company.com

SIGNEDüПроверено

Cisco ESA


Управление Cisco Email Securityобеспечивает доступ к простым в использовании и управлении панелям инструментов

Единая политика безопасности для всей организации

Комплексный анализ на основе детализированной отчетности

Контроль сообщений электронной почты с отслеживанием всего текста сообщения


Адаптируемые сервисные предложенияПолная защита и контроль

Защита от спама и антивирусная защита

Защита от усовершенствованного вредоносного ПО (AMP)

Фильтры для защиты от вирусных эпидемий

Защита от угроз Защита данных


Шифрование

Гибкие варианты развертывания

Устройство Виртуальное уст-во Облако


Гибкие варианты внедрения

Варианты внедрения

На стороне заказчика

ВиртуалкаУстройство

Поддержка многих типов доступа

CloudДесктоп ПланшетЛэптопСмартфон

Гибрид

Облако

Облако АутсорсингГибрид


Преимущества Cisco Email Security

Преимущества

Ориентация на предотвращение угроз

Высокая производительность

Непрерывные инновации


3.5M Emails блокируется каждый день

Заблокированных Emails

Emails* / mo Emails / день Emails / работник / день %

По репутации 73 M 3.3 M 43 94%

По контенту (спаму) 4.3 M 0.2 M 3 5%

Неверный получатель 0.4 M 0.02 M 0.25 1%

Emails получено Emails / mo Emails / день Emails / работник / день %

Поступило 124 M 5.6 M 73

Блокировано 77 M 3.5 M 46 63%

Доставлено 37 M 1.7 M 22 30%

Доставлено с пометкой “Marketing”

9 M 0.4 M 5 7%

Как Cisco сама использует это решение

MalwareSpam


Дальнейшие шаги

Принять решение о типе развертывания оценочной версии

Определить временные рамки и дату установки

Определить требования к оборудованию и изменения конфигурации

Выбрать продолжительность тестирования и способ доставки

Запланировать начальную встречу

1

2

3

4

5


• Динамический ландшафт угроз требует нового подхода к защите электронной почты

• Посетите http://www.cisco.com/go/emailsecurityдля получения большей информации

• Вы можете сами протестировать это решение – напишите нам на security-[email protected]или самостоятельно оставьте заявку на http://www.cisco.com/web/offers/sc07/virtual-trial-offer/index.html?KeyCode=000813860

В заключение

Подробности см. на веб-сайте www.cisco.com/go/esa

Technology

Решения Cisco для защиты электронной почты