More Related Content
More from Cisco Russia (20)
Cisco Email Security - обзор технологии и функционала
- 1. 1C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Email Security
Обзор технологии и функционала
- 2. 2C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Программа
• Эволюция Email безопасности
• Защита входящих
• Контроль исходящих
• Функции управления и
отчетности
• Гибкость развертывания
- 3. 3C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Эволюция угроз, связанных с Email: Снаружи
Входящиеугрозы
?
Завтра
Низкие объемы
Высокая стоимость
Сегодня
Большие объемы
Низкая стоимость
Вчера
Целевые атаки
Targeted
Phishing
Covert, Sponsored
Targeted Attacks
Blended
Threats
Advanced
Persistent
Threats
Фишинг
Спам
Attachment-based
Slammer
Worms
Network Evasions
Polymorphic Code
Code Red
Image
Spam
Вирусные атаки
Custom URL
Botnets
Conficker
Stuxnet
???
- 4. 4C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Эволюция угроз, связанных с Email: Снаружи
?
Завтра
Небольшие объемы
Слабое влияние
Вчера
Исходящая
Высокие объемы
Сильное влияние
Сегодня
Доступ к почти из
любой точки
Соответствие
Потери активов
заказчика
HIPAA
State regulations
Brand Social security numbers
PCI
Credit card numbers
Интеллектуальная
стоимость
Product-planning documents
Data breaches
Corporate espionage
Trade secrets
Legal documents
К 2015, доступ с
более 7 млрд
мобильных устройств
Использование
Доступ к почте
только из-за
корпоративного МЭ
Меняющееся
законодательство
European Union laws
State laws
Federal laws
Province laws
- 5. 5C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Избавьтесь от проблем с помощью решений Cisco Email
Security
Высокая
производительность
Низкий TCO Фокус на будущее
Защита от угроз Безопасность данных
Решения
Преимущества
- 6. 6C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco – это многолетний лидер в квадранте Gartner Secure
Email Gateways
Gartner’s Magic Quadrant for Secure Email Gateways
Peter Firstbrook and Brian Lowans, July 2, 2013.
This graphic was published by Gartner, Inc. as
part of a larger research document and should be
evaluated in the context of the entire document.
The Gartner document is available upon request
from this URL.
Gartner does not endorse any vendor, product or service
depicted in its research publications, and does not advise
technology users to select only those vendors with the highest
ratings. Gartner research publications consist of the opinions of
Gartner's research organization and should not be construed as
statements of fact. Gartner disclaims all warranties, expressed or
implied, with respect to this research, including any warranties of
merchantability or fitness for a particular purpose.
AbilitytoExecute
Completeness of Vision
Challengers Leaders
Niche Players Visionaries
Cisco
Microsoft
Websense
Mimecast
McAfee
Sophos
Barracuda Networks
Trend Micro
Clearswift
Sophos
Fortinet
SilverSky
Dell
Gartner MQ: Secure Email Gateway – Август 2013
Proofpoint
Symantec
Trustwave
Watchguard
- 7. 7C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Защита от угроз Cisco Email Security
Полная защита входящих
Cisco® SIO
Репутационные фильтры SenderBase
Антиспам
Сигнатурный антивирус & AMP
Фильтры Outbreak
Анализ URL в реальном
времени
cws
Доставка Карантин
Перезапись
URLs
Сброс
Сброс
Сброс/Карантин
Сброс/Карантин
Карантин/Перезапись
- 8. 8C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Важность репутации
«По следам, которые мы
оставляем, нас будут помнить
вечно»
- 9. Cisco Confidential© 2011 Cisco and/or its affiliates. All rights reserved. 9
Репутационная безопасность возвращает числовое
значение уровня доверия к объекту, что позволяет
устройству предпринять действие, предписанное
политикой.
Репутация строится на трех вещах:
Наша оценка (данные SensorBase)
Оценки 3-х сторон
Сложная модель, которая возвращает значение в
реальном времени
Что такое репутационная безопасность?
- 10. 10C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Control
Cisco
AnyConnect®
Cisco
IPS
Cisco CWS
WWW
Cisco WSACisco ASACisco ESA
Visibility
WWW
Web
Endpoints
Devices
Networks
Email
IPS
Cisco Security Intelligence Operations (SIO)
Непревзойденная облачная система безопасности
1.6 million
global sensors
100 TB
of data received per day
150 million+
deployed endpoints
35%
worldwide email traffic
13 billion
web requests
24x7x365
operations
40+
languages
600+
engineers, technicians, and researchers
80+
PH.D., CCIE, CISSP, AND MSCE users
More than US$100 million
spent on dynamic research and development
3- to 5-
minute updates
5,500+
IPS signatures produced
8 million+
rules per day
200+
parameters tracked
70+
publications produced
Информация
обновления
Cisco® SIO
- 11. 11C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco SenderBase: База данных Email репутации
Complaint
Reports
IP Blacklists
and Whitelists
Domain
Blacklist and
Safelists
Compromised
Host Lists
Website
Composition
Data
Other DataGlobal Volume
Data
Message
Composition
Data
Spam Traps
+100-10
IP Reputation Score
Выгоды
• Полный динамический обзор угроз
• Понимание уязвимостей и технологий
• Просмотр наиболее опасных атак
• Последние техники и тренды атак
Знание об угрозах
• Более 1,6 млн устройств
• Библиотека о 40 тыс угроз
• 35% глобального email трафика
• 13B+ web запросов
• 200+ параметров отслеживается
• Мультивекторный обзор
- 12. 12C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Threat Operations Center
Экспертиза
Исследования и анализ Выгоды
• 600+ инженеров, техников,
исследователей
• 80+ PhDs, CCIEs, CISSPs, MSCEs
• Создание правил, требующих
человеческого вмешательства,
контроль качества
• Тесты вторжений, инфильтрация
ботнетов, реинжениринг malware,
исследования уязвимостей
• Работа в 5 центрах 24x7x365
• Best Practices по сетевой
безопасности и техники ухода от
атак
• Взгляд в тенденции и будущее
• Контроль качества, снижение
уровня ложных срабатываний
• Круглосуточная работа
- 13. 13C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Динамические обновления
Автоматизированная защита
Обновления Преимущества
• Cisco устройства запрашивают
обновления раз в 3-5 мин
• 8M+ правил в день
• Обновления репутации – защита
в реальном времени
• Снижение времени окна
«небезопасности»
• Минимизация затрат на управление
Cisco® SIO
- 14. Cisco Confidential© 2011 Cisco and/or its affiliates. All rights reserved. 14
Global Volume
Data
Over 100,000
organizations,
email traffic,
web traffic
Message
Composition
Data
Message size,
attachment volume,
attachment types,
URLs, host names
Spam Traps
SpamCop, ISPs,
customer
contributions
IP Blacklists &
Whitelists
SpamCop, SpamHaus (SBL),
NJABL, Bonded Sender
Compromised
Host Lists
Downloaded
files, linking
URLs, threat
heuristics
Web Site
Composition
Data
SORBS, OPM,
DSBL
Other Data
Fortune 1000, length of
sending history, location,
where the domain is
hosted, how long has it
been registered, how
long has the site been up
Complaint
Reports
Spam, phishing,
virus reports
Spamvertized URLs,
phishing URLs,
spyware sites
Domain Blacklist
& Safelists
Что такое имитационная репутация?
Корреляция и объединение миллиардов кусочков информации в одно значение
Verdict
- 15. 15C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• Блокирование фишинг и спуфинг атак
• Применяйте более либеральные политики к аутентифицированным внешним
источникам
Your Company
DKIM и SPF
Аутентификация Email
DNS
Server
SIGNED
SIGNEDVerified
Trusted_Partner.com
Trusted_Partner.com
Imposter
Cisco ESA
Drop/Quarantine
- 16. 16C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Антиспам
Whitelisted is delivered
Нормальная почта
идет на антиспам
фильтр
Подозрительная идет
на антиспам фильтр и
ограничивается • > 99% Catch Rate
• < 1 на 1 ложных
срабатываний
Известная плохая
блокируется перед
входом в сеть
Почта с разной
репутацией
SBRS
Поддерживается
SIO
Blacklisted
email is
dropped
WHAT
Cisco
Anti-Spam
WHENWHO
HOWWHERE
Политики
- 17. 17C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Защита от спама в деталях
Хорошая,
плохая,
неизвестная
Сброс
IronPort
Anti-Spam
Engine
Anti-Spam
Engine B
Anti-Spam
Engine
(Future)
IronPort
Anti-Spam
Engine
Доставка
Intelligent Multi-Scan
Results
- 18. 18C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Intelligent Multi-Scan
Лучшее из двух миров – выше уровень срабатывания, ниже уровень ложных
срабатываний
Greater Spam Detection…with Cisco-Leading FP Rate
+Engine A
+Engine B
MS Улучшение
IMS улучшение
.20%
.10%
Cisco 99.60% 1 in 1 Million
18 in 1 Million
21 in 1 Million
Multi-Scan 40 in 1 Million99.90%
.30% -4000%
Intelligent Multi-Scan 1.2 in 1 Million99.90%
- 20%.30%
False PositivesCatch Rate
- 19. 19C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Anti-Spam Архитектура
Обнаружение маркетинговых сообщений
X
Privacy Policy
At Buy.com, your privacy is
a top priority. Please read
our privacy policy details.
…
All information collected
from you will be shared with
Buy.com and its affiliate
companies.
- 20. 20C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Архитектура антиспам
Обнаружение маркетинговых сообщений
Опции для доставки, карантина,
сброса, отбивки
Включено в отчеты
- 21. 21C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Защита от вирусов в деталях
Антивирусные механизмы
Выбор антивирусных движков
Outbreak фильтры
Защита от вирусов и фишинга
0 дня
- 22. 22C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Фильтры Cisco Data Security Outbreak
Защита от Malware 0 дня
Virus
Filter
Динамический
карантин
Cisco® SIO
Выбор антивирусов
Антивирусы Фильтры Outbreak в действии
Защита от вирусов и
фишинга 0 дня
Преимущества Outbreak Filters
• Среднее время опережения: 13 часов
• Заблокировано атак: 291
• Общее время защиты: 157 дней
- 23. 23C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Фильтры Outbreak filters защищают от смешанных атак
Интеграция email и web безопасности
Сайт чистый
Клик на ссылку
Website is
blocked Cisco Security
The requested web page
has been blocked
http://www.threatlink.com
Cisco Email and Web Security protects your
organization’s network from malicious software.
Malware is designed to look like a legitimate email
or website which accesses your computer, hides
itself in your system, and damages files.
Динамическая
инспекция HTTP в
реальном времени
Cisco SIO
- 24. 24C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Outbreak фильтры в действии: ощущения пользователя
Request for Review
Paul,
I forward my thesis to you for review.
Please open it and provide comments.
www.Personal Site.com/Thesis_Draft.pdf
Hope all’s well since Verizon.
Best regards,
Friend
Friend
Paul@email.com
После
Subject: Запрос на рассмотрение
http://www.threatlink.com/
Перед
Subject: [SUSPICIOUS MESSAGE] запрос на рассмотрение
http://secure-web.Cisco.com/auth=X&URL=www.threatlink.com
WARNING: This appears to be a
malicious email
Paul
- 25. 25C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Identified: Targeted Attack
Content: Malware Payload
Vector: Email
Action: Blocked
Cisco SIO – Использование облачной безопасности
Cisco Cloud
Web Security
Request for Review
WARNING: This appears to be a
malicious email
Paul,
I forward my thesis to you for review.
Please open it and provide comments.
www.Personal Site.com/Thesis_Draft.pdf
Hope all’s well since Verizon.
Best regards,
Friend
Friend
Paul@email.com
- 26. 26C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Malware
Payload Blocked
Фильтры Cisco Outbreak защищают от целевых атак
http://secure-web.Cisco.com…
The requested web page
has been blocked
http://www.threatlink.com
Cisco Email and Web Security protects your
organization’s network from malicious software.
Malware is designed to look like a legitimate email
or website which accesses your computer, hides
itself in your system, and damages files.
Cisco Security
- 27. 27C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Защита Cisco от Zero-Hour Malware
Advanced Malware Protection
Облачное обнаружение
вредоносного ПО Zero-
Hour
Advanced Malware Protection Outbreak Filters
Обнаружение вредоносного
ПО и вирусов Zero-Hour на
базе телеметрии
Файловая
репутация
Файловая
песочница
Известная
репутация
файла
Неизвестный файл
отправляется в
песочницу
Обновление
репутацииИнтеграция
Sourcefire AMP
- 28. 28C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Основные функции AMP на Cisco Email и Web
Security
File Sandboxing
Анализ поведения
неизвестных файлов
File Retrospection
Ретроспективный
анализ после атаки
File Reputation
Блокирование
вредоносных файлов
- 29. 29C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
За горизонтом события ИБ
Антивирус
Песочница
Начальное значение = Чисто
Точечное обнаружение
Начальное значение = Чисто
AMP
Пропущены атаки
Актуальное значение = Плохо = Поздно!!
Регулярный возврат
к ретроспективе
Видимость и
контроль – это ключ
Не 100%
Анализ остановлен
Sleep Techniques
Unknown Protocols
Encryption
Polymorphism
Актуальное значение = Плохо =
Блокировано
Ретроспективное
обнаружение, анализ
продолжается
- 30. 30C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Интеграция AMP & VRT & ESA/WSA/CWS
AMP клиент – единый модуль, который применяется в WSA и ESA
Web/Sender
Reputation
Web/
Email
Proxy
VRT Sandboxing
WSA/ESA/CWS
Amp connector
Локальные
AV-сканеры
Запрос репутации файла
AMP
Cloud
Неизвестный файл,
загрузка в песочницу
Обновление
репутации
файлов
Sandbox
connector
AMP Client
Local
Cache
Обновление
ретроспективы
- 31. 31C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
File SHA Hash
‘Fingerprint’
Неизвестно 1->100
Файл
распознан
Файл неизвестен
Отправить в песочницу?
Да
Нет
1->59 : чисто
60->100: заражено
Вердикт «Чисто»
Вердикт «Заражено»
Реакция по политики
ESA / WSA
Amp
Service
Amp Cloud Service
Вердикт
«Чисто» + отправить
в песочницу
Вердикт «Чисто»
Amp Client
Чисто
Заражено
Вердикт Рейтинг
Нет рейтинга
Принятие решений в связке AMP и ESA/WSA/CWS
- 32. 32C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Блокирование фишинговых атак и скрытых угроз
Репутационный фильтр
Спам-фильтр
Анализ контента сообщение
Черные списки
Защита от спуфинга
Блокирование неожидаемых
сообщений
Перенаправление подозрительных
ссылок для анализа и выполнения в
защищенное облако
Фильтрация плохих URL базируется
на репутации web и категориях
- 33. 33C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Email Security обеспечивает прекрасный контроль
над исходящим потоком
Encrypt
Sensitive Data
Compliance/
DLP
Sender
Rate Limiting
Outbound
Recipient
AS/AV Checks DKIM/SPF
- 34. 34C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Ограничение исходящего потока
Ограничение по Mail From:
1-100 Emails 101-1000 Emails
Alert admin when limit is hit
• Для отдельных отправителей пороговое
значение может быть увеличено
• Пользователь отправляет 100 писем в час
Typical User
Known High Volume Sender
• Получение предупреждений об
отправителях с очень большими объемами
сообщений
Admin
• Администратор устанавливает порог для
отдельных пользователей
Policy
!
!
Malicious Sender
- 35. 35C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Сдерживание почты от инфицированных пользователей
Держитесь подальше от черных списков
• Остановите вредоносное и неправильное использование
систем
• Знайте, кого надо изолировать
• Объединяйте к Outbreak Filters для двусторонней защиты
Anti-VirusAnti-Spam
(Intelligent Multi-Scan)
Ограничение
по Mail From
Предупредить
!
- 36. 36C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
DLP и соответствия
Отдельное или часть общего решения DLP
RSA DLP на устройстве Интегрируется с RSA
Enterprise DLP
Data Loss Prevention
Инциденты Политики
• Email Uptime
• Threat Prevention
• Email Scanning
• Policy Enforcement
• Определение Risk
Policy
• Расследование
инцидентов
• Fingerprinting
Точный, простой, расширяемый
- 37. 37C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Примените политики шифрования
TLS на основе Mail From
• Защита чувствительных данных
• Запрет на отправку данных в открытом виде
Ваша компанияCisco ESA
- 38. 38C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Любой может
прочитать
сообщение
Нет
гарантированного
отзыва сообщения
Нет управления
процессом отравки
TO
CC
SUBJECT
У традиционной Internet почты есть ограничения
Confidential
Email
Read
Receipt
Guaranteed
Recall
Secure
Reply and forward
TO
CC
SUBJECT
- 39. 39C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Envelope Encryption
Просто отправителю
• Автоматическое управление ключами
• Не требуется дополнительное ПО
• Прозрачная отправка на любой адре
• Шифрование инициируется -- Keywords | Policies | Senders | Recipients
| etc.
Cisco Email
Security Appliance
RecipientSender Controls
Message Key
- 40. 40C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Просто получателю
Подтвердите
идентичность
2
Корпоративная учетная
запись(opt)
Cisco Registered
Envelope Service
Откройте аттач
1
Посмотрие
сообщение
3
- 41. 41C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• Не дайте подделать ваши сообщения
• Защитите свою репутацию
• Не попадайте в черные списки
Your Company ISP
Аутентификация почты
DKIM и SPF
DNS
Server
Public
From: Your_Company.com From: Your_Company.com
SIGNED
From: Your_Company.com
SIGNEDVerified
Cisco ESA
- 42. 42C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Email Security. Администрирование
Admin
Отчетность Message TrackingУправление
- 43. 43C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Detailed Message TrackingDrill Down Reporting
Простое управление и мониторинг
- 44. 44C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Обзор обработки Email
Message Tracking
Что случилось с письмом, которое я
отослал 2 часа назад?
̶ Можно проследить
индивидуальные сообщения
Кто еще получил похожие сообщения?
̶ Расследования для гарантии
соответствия
- 45. 45C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Поддержка IPv6
Защита от увеличивающегося количества IPv6 угроз для систем Email
• Поддержка: IPv4/IPv6 адреса– single или dual stack – с Anti-Spam, Anti-Virus,
Content Filters, DLP, Encryption,
• Преобразование: IPv6 вход, IPv4 выход… или наоборот
• Полная поддержка отчетности и Message Tracking
IPv6 адреса
Ваша система
безопасности может
правильно фильтровать
контент с IPv6 адресами?
- 46. 46C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• Email Volumes
• Spam Counters
• Policy Violations
• Virus Reports
• Outgoing Email Data
• Reputation Service
• System Health View
• Простой просмотр
потоков почты в
организации
• Отчеты в режиме
реального времени как
для email, так и для
угроз
• Иерархическая модель
очетов.
Multiple data pointsConsolidated and Custom Reports
Полный обзор
Унифицированные бизнес-отчеты
- 47. 47C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Email Security Virtual Appliance
Выгоды
• Выбор форм-фактора
• Гибкость развертывания
• Ценовая модель – подписка
Варианты использования
• Региональный офис
• Пики трафика
• Инициатива облака/виртуализация
Cisco UCS
+
+
ESAV