ironport. Эффективнаязащита ... · © 2008 cisco systems, inc. all rights...
TRANSCRIPT
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
IronPort.Эффективная защитаэлектронной почты
Павел РодионовСистемный инженер. Россия и Восточная Европа. IronPort, a Cisco Business [email protected]
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Who is IronPort?
§ Основан в 2000 году пионерами вобласти обработки электроннойпочты из ListBot, Yahoo, HotMail
§ идея: создание самого быстрого имощного MTA
§ Располагается в США, Калифорния, Силиконовая долина
§ В июне 2007 года приобретенаCisco
§ Более 500 сотрудников по всемумиру
§ 50 in Europe (UK, Germany, Sweden, France, Spain, Italy)
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Устройства безопасности шлюза IronPort®
Устройствобезопасности EMAIL
УстройствобезопасностиWEB
Устройствоуправления
безопасностью
IronPortSenderBase
APPLICATION-SPECIFICSECURITY GATEWAYS
Клиенты
Блокированиевходящих угроз
Защита ресурсовзащита от утечки данных
Централизованноеадминистрирование
Internet
Устройствошифрования
§ Internet
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Сеть IronPort SenderBaseГлобальный охват ведет к более точным оценкам
• 30B+ ежедневных запросов• 150+ параметров Email иWeb• 25% всего мирового трафика
IronPort EMAILSecurity Appliances
IronPort WEBSecurity Appliances
IronPort SenderBase
Combines Email & Web Traffic Analysis§ Прсмотр трафика как email, так и
web ведет к повышению точности§ 80% спама содержат URL§ Email это основной векторраспространения вредоносногоПО
§ А вредоносное ПО – это основнойвектор распространения зомби-инфекций
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
IronPort объединяет периметр сетиБезопасность, надежность, снижение расходов наобслуживание
После внедрения IronPort
Groupware
Firewall
Устройство безопасности электронной почтыIronPort Email Security Appliance
Internet
Перед внедрением IronPort
Анти-Спам
Анти-Вирус
Управлениеполитиками
Маршрутизация почты
Internet
Firewall
Groupware
Пользователи
Платформашифрования MTA
Сканер DLP
УправлениеполитикамиDLP
Пользователи
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
IronPort AsyncOS™Непревзойденная масштабируемость ибезопасность
• AsyncOS масштабируемая и защищенная ОС оптимизированная для передачисообщений• Расширенное управление почтой защищает репутацию нижележащих систем• Реализация существующих стандартов позволяет быстро заменить существующиесистемы
MANAGEMENT TOOLS
THE IRONPORT ASYNCOS™ EMAIL PLATFORM
SPAMDEFENSE
POLICY ENFORCEMENT
VIRUSDEFENSE
EMAIL AUTHENTICATION
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
AsyncOS™ революционная платформаMTA
§ AsyncOS™: построена для доступности e-mail- Потоковая модель, планировщик и файловая система специально
разработаны для шлюза MTA- IronPort X1050 способен обрабатывать 200 сообщений в сек, что в 10
раз больше, чем традиционные MTA- 10,000 одновременных соединений TCP, в 50 раз больше, чем у
традиционных MTA§ Гарантирует доставку e-mail
- Медленные или недоступные домены не влияют на производительность, каждый пункт назначения имеет отдельную очередь, планировщикповторых попыток и bounce профиль
- Технология Virtual Gateway™ позволяет использовать для доставкиисходящей почты несколько IP адресов
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
IronPort AsyncOS Революционная платформа обработки e-mail
Традиционные почтовые шлюзы идругие устройства IronPort Email Security Appliances
200Outgoing
Connections
Low Performance/Peak Delivery Issue
Disk I/O Bottlenecks
Unable To Leverage Full Capability Components
CPU Limited Solely By CPU Capacity
1K – 10KOutgoing
Connections
High Performance/Sure Delivery
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
IronPort AsyncOS™
Поддержка стандартов
LDAP
DNS
AdvancedNetworking
EssentialMail
Operations
• Интегрируется со всеми стандартными LDAP серверами, включаяActive Directory™
• Клиент операторского класса и кеширование on-box
• Высокопроизводительный клиент может обрабатывать миллионызапросов в секунду
• Поддержка разных DNS серверов на домен.
• Тегирование 802.1Q• NIC failover• Loopback interfaces для интеграции с балансировщиком нагрузки
• Alias, masquerade, и таблицы маршрутизации• Операции с заголовками• Хранение таблиц локально, или же в каталоге LDAP• Bounce verification
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Multi-layer Spam DefenseЛучшая защита на шлюзе
• IronPort Reputation Filters™: внешний уровень обороны• IronPort Anti-Spam™: останавливает широкий спектр угроз: спам, фишинг, мошенничество и т.д.
MANAGEMENT TOOLS
THE IRONPORT ASYNCOS™ EMAIL PLATFORM
SPAMDEFENSE
VIRUSDEFENSE
DATA LOSS PREVENTION
EMAIL ENCRYPTION
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
2005 2007 2nd Qtr
2006
Text Spam
Image Spam
PDF Spam
Excel Spam
MP3 Spam
Эволюция спамаСпамеры тестируют новые технологии
“2007 has seen a proliferation of different attachment types…Spammers are using these different attachments in order to try and get past email security gateways that are unable to look into complicated file types”
- 2008 Internet Security Trends Report Published By Cisco and IronPort
3rd Qtr
4th Qtr
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
0
20
40
60
80
100
120
140
160
180
Jan-06
Feb-06
Mar-06
Apr-06
May-06
Jun-06
Jul-06
Aug-06
Sep-06
Oct-06
Nov-06
Dec-06
Jan-07
Feb-07
Mar-07
Apr-07
May-07
Jun-07
Jul-07
Aug-07
Sep-07
Oct-07
Nov-07
Dec-07
Jan-08
Feb-08
Mar-08
Apr-08
May-08
Jun-08
Jul-08
Aug-08
Avg Daily Volume (billions)
Date
Тенденции развития спамаThrough August, 2008
• 2008 Spam volumes more than double than 2007 levels
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Тенденции развития спамаПоследний месяц
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Средства защиты от спама IronPort
§ Многоуровневая технология защиты от спама специальноразработана для:Быстрой остановки спамаТочной остановки спамаРепутационный фильтры останавливают свыше 80% спам трафика до егопопадания на appliance
Worlds first and best sender based reputation service
- Blocks 80% of spam at gateway- World class accuracy
SenderBase Reputation Score IronPort Anti-Spam
Who? How? What? Where?
World’s most accurate content based spam engine
- 98% catch rate- World class accuracy
Репутация
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Сеть IronPort SenderBaseОтличие – в данных
• Complaint Reports
• Spam Traps
• MessageComposition Data
• Global Volume Data
• URL Lists
• Compromised Host Lists
• Web Crawlers
• IP Blacklists & Whitelists
• Additional Data
ДанныеSenderBase
Анализ данных/моделирование
SenderBaseрепутация-10 to +10
150 Parameters
ПРЕДОТВРАЩЕНИЕ УГРОЗ В РЕАЛЬНОМ ВРЕМЕНИ
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
IronPort Anti-SpamТочность, которая достигается с помощью Context Adaptive Scanning Engine
Что?
КАК?
КТО?
КУДА?
• All text inside an image• Random dots appear
within the message• Nearly identical color
scheme in 100,000’s spamtrap msgs
Verdict
BLOCKBLOCK
• IP address recently started sending email
• Message originated from dial-up IP address
• Sending IP address located in Russia
• Message leaves trace of spamware tool
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Средства управленияКонтроль пользователей
§ Спам карантинКарантин для администраторов ипользователейSafe Listing и Block ListingОбъединенный карантин длянескольких устройств(IronPort M-Series)Аутентификация пользователей спомощью LDAP, Active Directory or IMAP/POP
§ Outlook Plug-inУведомления о спаме, фишингеодним нажатием кнопки мышиСписки блокированияподдерживаются в Outlook изначально
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Многоуровневая защита от вирусовОптимальная защита на уровне шлюза
• IronPort Virus Outbreak Filters: останавливает атаки за 13 часов перед выпускомтрадиционных сигнатур• McAfee и Sophos Anti-Virus: сигнатурные решения с высокой точностью обнаружения
MANAGEMENT TOOLS
THE IRONPORT ASYNCOS™ EMAIL PLATFORM
SPAMDEFENSE
VIRUSDEFENSE
DATA LOSS PREVENTION
EMAIL ENCRYPTION
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Антивирусные сигнатуры McAfee + SophosНесколько линий обороны
§ Интегрированные движкиMcAfee и SophosВысокопроизводительноесканирование одновременно двумядвижкамиВозможен выбор любого из движков
§ Легкое развертывание иуправлениеИнтуитивный пользовательскийинтерфейсПростой мониторинг благодаряIronPort Mail Flow Monitor
Автоматические обновленияИнтегрированное решение –снижение TCO
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Сценарий антивирусной защиты
MyDoomBagleNetskyGaobotMaddisetc
nomoney.zipmessage.scrdetail3.zipwebcam_image.zipjokes.txt.scrstuff.txt.pifpatch.exe
Вирус быстро множится
Пока ещё нет антивирусныхсигнатур вирус очень быстрораспространяется по сетиИнтренет.
Антивирус
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
IronPort Virus Outbreak FiltersПервая линия обороны
Early Protection with
IronPort Virus Outbreak Filters
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Anti-Virus
SOPHOSMcAfee
IronPortVirus Outbreak
Filters
Жизненный циклVirus Quarantine
Sophos & McAfee выпускают обновления сигнатур, файлы в карантине заново сканируютсяантивирусом.
Сообщение проходит анти-вирусный фильтр из-за отсутствия сигнатуры
IronPort выпускает RULE-V1 поднимающее уровень угрозы для всех ZIP содержащих .EXE. Сообщение попадает в Virus Outbreak Filters и отправляется в карантин
IronPort выпускает RULE-V2, которому соответствуют ZIP файлы с .EXE больше 36KB. Всесообщения, которые соответствуют соответствуют правилу 1, но не соответствуют правилу 2 освобождаются из карантина.
IronPort выпускает RULE-V3, ZIP файлы с .EXE размером между 50 & 55KB с именем файла“price”. Все сообщения, которые соответствуют RULE-V2 но не RULE-V3 освобождаются идоставляются
Rule V1: Quarantine ZIP(.EXE)
Rule V2: ZIP(.EXE),>36KB
V3: ZIP(.EXE),50<size<55,name=*price*
Rule V4: IDE #117 releases
Pattern #117Anti-Virus
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
IronPort Data Loss PreventionПрименение политик для входящей/исходящей почты
•Гибкие механизм политик для защиты интеллектуальной собственности и принудительноговыполнения политик•Решение для соответствия требованиям регулятивных органов•Встроенные механизмы шифрования позволяют передавать почту безопасно и надежно
MANAGEMENT TOOLS
THE IRONPORT ASYNCOS™ EMAIL PLATFORM
SPAMDEFENSE
DATA LOSS PREVENTION
VIRUSDEFENSE
EMAIL ENCRYPTION
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Scanning Work Flow Remediation Work Flow
Compliance Dictionaries
Pre-Defined Filters
Pre-Defined Filters
Compliance Dictionaries
Smart Identifiers
Smart Identifiers
DLP Notification
DLP Notification
Quarantine View Of Violation
Quarantine View Of Violation
Encrypt The MessageEncrypt The Message
View HIPAA Violation View HIPAA Violation Report
Data Loss Prevention: Интегрированное сканирование и предотвращение
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Аутентификация электронной почты
MANAGEMENT TOOLS
THE IRONPORT ASYNCOS™ EMAIL PLATFORM
SPAMDEFENSE
DATA LOSS PREVENTION
VIRUSDEFENSE
ENCRYPTIONAUTHENTICATION
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential26
Проблема аутентификации
ISP
From: [email protected]
Business
Отправитель
Person in theMiddle
Business Partner
From: [email protected]
From: [email protected]
From: [email protected]
From: [email protected]
Какоеправильное?
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Аутентификация Email Fixing Email
Bounce Verification§ Позволяет идентифицировать
легитимные bounces
§ Избежать лишних звонков в HelpDesk и недоумения пользователей
BV
Internet
BV+
Internet
ISPsprivate
publicDNS
DomainKeys Identified Mail (DKIM)
§ Аутентификация отправителя Email§ Блокирование фишинг-атак для защиты
вашего бренда
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
SPF АутентификацияЧто это?
§ Расширенная поддержка Email аутентификации: - Проверка Sender Policy Framework (SPF)- Проверка Sender ID Framework (SIDF)
§ Выгоды: - Помогает уменьшить объем мошеннических писем- Защищает бренд и репутацию- Поддержка заказчиков, которые наиболее подвержены фишинг-атакам
– финансовая индустрия и их заказчики/покупатели
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Pavel RodionovSystems Engineer Eastern Europe & RussiaIronPort, a Cisco Business [email protected]
IronPort.Effective Email Security