Cisco Email & Web Security. Обзор технологии и функционала.

1C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Email & Web Security
Обзор технологии и функционала

2C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Эволюция угроз, связанных с Email: Снаружи
Входящиеугрозы
?
Завтра
Низкие объемы
Высокая стоимость
Сегодня
Большие объемы
Низкая стоимость
Вчера
Целевые атаки
Targeted
Phishing
Covert, Sponsored
Targeted Attacks
Blended
Threats
Advanced
Persistent
Threats
Фишинг
Спам
Attachment-based
Slammer
Worms
Network Evasions
Polymorphic Code
Code Red
Image
Spam
Вирусные атаки
Custom URL
Botnets
Conficker
Stuxnet
???

Эволюция угроз, связанных с Email: Изнутри
?
Завтра
Небольшие объемы
Слабое влияние
Вчера
Исходящая
Высокие объемы
Сильное влияние
Сегодня
Доступ к почти из
любой точки
Соответствие
Потери активов
заказчика
HIPAA
State regulations
Brand Social security numbers
PCI
Credit card numbers
Интеллектуальная
стоимость
Product-planning documents
Data breaches
Corporate espionage
Trade secrets
Legal documents
4
К 2015, доступ с
более 7 млрд
мобильных устройств
Использование
Доступ к почте
только из-за
корпоративного МЭ
Меняющееся
законодательство
European Union laws
State laws
Federal laws
Province laws

Cisco – это многолетний лидер в квадранте Gartner Secure
Email Gateways
Gartner’s Magic Quadrant for Secure Email Gateways
Peter Firstbrook and Brian Lowans, July 2, 2013.
This graphic was published by Gartner, Inc. as
part of a larger research document and should be
evaluated in the context of the entire document.
The Gartner document is available upon request
from this URL.
Gartner does not endorse any vendor, product or service
depicted in its research publications, and does not advise
technology users to select only those vendors with the highest
ratings. Gartner research publications consist of the opinions of
Gartner's research organization and should not be construed as
statements of fact. Gartner disclaims all warranties, expressed or
implied, with respect to this research, including any warranties of
merchantability or fitness for a particular purpose.
AbilitytoExecute
Completeness of Vision
Challengers Leaders
Niche Players Visionaries
Cisco
Microsoft
Websense
Mimecast
McAfee
Sophos
Barracuda Networks
Trend Micro
Clearswift
Sophos
Fortinet
SilverSky
Dell
Gartner MQ: Secure Email Gateway – Август 2013
Proofpoint
Symantec
Trustwave
Watchguard

Защита от угроз Cisco Email Security
Полная защита входящих
Cisco® SIO
Репутационные фильтры SenderBase
Антиспам
Сигнатурный антивирус & AMP
Фильтры Outbreak
Анализ URL в реальном
времени
cws
Доставка Карантин
Перезапись
URLs
Сброс
Сброс
Сброс/Карантин
Сброс/Карантин
Карантин/Перезапись

Cisco Confidential© 2011 Cisco and/or its affiliates. All rights reserved. 6
§  Репутационная безопасность возвращает числовое
значение уровня доверия к объекту, что позволяет
устройству предпринять действие, предписанное
политикой.
§  Репутация строится на трех вещах:
§  Наша оценка (данные SensorBase)
§  Оценки 3-х сторон
§  Сложная модель, которая возвращает значение в
реальном времени
Что такое репутационная безопасность?

Cisco SenderBase: База данных Email репутации
Complaint
Reports
IP Blacklists
and Whitelists
Domain
Blacklist and
Safelists
Compromised
Host Lists
Website
Composition
Data
Other DataGlobal Volume
Data
Message
Composition
Data
Spam Traps
+100-10
IP Reputation Score
Выгоды
•  Полный динамический обзор угроз
•  Понимание уязвимостей и технологий
•  Просмотр наиболее опасных атак
•  Последние техники и тренды атак
Знание об угрозах
•  Более 1,6 млн устройств
•  Библиотека о 40 тыс угроз
•  35% глобального email трафика
•  13B+ web запросов
•  200+ параметров отслеживается
•  Мультивекторный обзор

Динамические обновления
Автоматизированная защита
Обновления Преимущества
•  Cisco устройства запрашивают
обновления раз в 3-5 мин
•  8M+ правил в день
•  Обновления репутации – защита
в реальном времени
•  Снижение времени окна
«небезопасности»
•  Минимизация затрат на управление
Cisco® SIO

Антиспам
Whitelisted is delivered
Нормальная почта
идет на антиспам
фильтр
Подозрительная идет
на антиспам фильтр и
ограничивается •  > 99% Catch Rate
•  < 1 на 1 ложных
срабатываний
Известная плохая
блокируется перед
входом в сеть
Почта с разной
репутацией
SBRS
Поддерживается
SIO
Blacklisted
email is
dropped
WHAT
Cisco
Anti-Spam
WHENWHO
HOWWHERE
Политики

Многократная проверка
Хорошая,
плохая,
неизвестная
Сброс
IronPort
Anti-Spam
Engine
Anti-Spam
Engine B
Anti-Spam
Engine
(Future)
IronPort
Anti-Spam
Engine
Доставка
Intelligent Multi-Scan
Results

Intelligent Multi-Scan
Лучшее из двух миров – выше уровень срабатывания, ниже уровень ложных
срабатываний
Greater Spam Detection…with Cisco-Leading FP Rate
+Engine A
+Engine B
MS Улучшение
IMS улучшение
.20%
.10%
Cisco 99.60% 1 in 1 Million
18 in 1 Million
21 in 1 Million
Multi-Scan 40 in 1 Million99.90%
.30% -4000%
Intelligent Multi-Scan 1.2 in 1 Million99.90%
- 20%.30%
False PositivesCatch Rate

Маркировка сообщений
Обнаружение маркетинговых сообщений
§  Опции
для
доставки,
карантина,

сброса,
отбивки

§  Включено
в
отчеты

Защита от вирусов в деталях
Антивирусные механизмы
Выбор антивирусных движков
Outbreak фильтры
Защита от вирусов и фишинга
0 дня

Фильтры Cisco Data Security Outbreak
Защита от Malware 0 дня
Virus
Filter
Динамический
карантин
Cisco® SIO
Выбор антивирусов
Антивирусы Фильтры Outbreak в действии
Защита от вирусов и
фишинга 0 дня
Преимущества Outbreak Filters
•  Среднее время опережения: 13 часов
•  Заблокировано атак: 291
•  Общее время защиты: 157 дней

Защита Cisco от Zero-Hour Malware
Advanced Malware Protection
Облачное обнаружение
вредоносного ПО Zero-
Hour
Advanced Malware Protection Outbreak Filters
Обнаружение вредоносного
ПО и вирусов Zero-Hour на
базе телеметрии
Файловая
репутация
Файловая
песочница
Известная
репутация
файла
Неизвестный файл
отправляется в
песочницу
Обновление
репутацииИнтеграция
Sourcefire AMP

Основные функции AMP на Cisco Email и Web
Security
File Sandboxing
Анализ поведения
неизвестных файлов
File Retrospection
Ретроспективный
анализ после атаки
File Reputation
Блокирование
вредоносных файлов

За горизонтом события ИБ
Антивирус
Песочница
Начальное значение = Чисто
Точечное обнаружение
Начальное значение = Чисто
AMP
Пропущены атаки
Актуальное значение = Плохо = Поздно!!
Регулярный возврат
к ретроспективе
Видимость и
контроль – это ключ
Не 100%
Анализ остановлен
Sleep Techniques
Unknown Protocols
Encryption
Polymorphism
Актуальное значение = Плохо =
Блокировано
Ретроспективное
обнаружение, анализ
продолжается

Интеграция механизмов контроля e-mail и web
Сайт чистый
Клик на ссылку
Website is
blocked Cisco Security
The requested web page
has been blocked
http://www.threatlink.com
Cisco Email and Web Security protects your
organization’s network from malicious software.
Malware is designed to look like a legitimate email
or website which accesses your computer, hides
itself in your system, and damages files.
Динамическая
инспекция HTTP в
реальном времени
Cisco SIO

Блокирование фишинговых атак и скрытых угроз
Репутационный фильтр
Спам-фильтр
Анализ контента сообщение
Черные списки
Защита от спуфинга
Блокирование неожидаемых
сообщений
Перенаправление подозрительных
ссылок для анализа и выполнения в
защищенное облако
Фильтрация плохих URL базируется
на репутации web и категориях

Cisco Email Security обеспечивает прекрасный контроль
над исходящим потоком
Encrypt
Sensitive Data
Compliance/
DLP
Sender
Rate Limiting
Outbound
Recipient
AS/AV Checks DKIM/SPF

Ограничение исходящего потока
Ограничение по Mail From:
1-100 Emails 101-1000 Emails
Alert admin when limit is hit
•  Для отдельных отправителей пороговое
значение может быть увеличено
•  Пользователь отправляет 100 писем в час
Typical User
Known High Volume Sender
•  Получение предупреждений об
отправителях с очень большими объемами
сообщений
Admin
•  Администратор устанавливает порог для
отдельных пользователей
Policy
Malicious Sender

Сдерживание почты от инфицированных пользователей
Держитесь подальше от черных списков
•  Остановите вредоносное и неправильное использование
систем
•  Знайте, кого надо изолировать
•  Объединяйте к Outbreak Filters для двусторонней защиты
Anti-VirusAnti-Spam
(Intelligent Multi-Scan)
Ограничение
по Mail From
Предупредить
!

DLP и соответствия
Отдельное или часть общего решения DLP
RSA DLP на устройстве Интегрируется с RSA
Enterprise DLP
Data Loss Prevention
Инциденты Политики
•  Email Uptime
•  Threat Prevention
•  Email Scanning
•  Policy Enforcement
•  Определение Risk
Policy
•  Расследование
инцидентов
•  Fingerprinting
Точный, простой, расширяемый

Примените политики шифрования
TLS на основе Mail From
•  Защита чувствительных данных
•  Запрет на отправку данных в открытом виде
Ваша компанияCisco ESA

Любой может
прочитать
сообщение
Нет
гарантированного
отзыва сообщения
Нет управления
процессом отправки
TO
CC
SUBJECT
У традиционной Internet почты есть ограничения
Confidential
Email
Read
Receipt
Guaranteed
Recall
Secure
Reply and forward
TO
CC
SUBJECT

Cisco Envelope Encryption
Просто отправителю
•  Автоматическое управление ключами
•  Не требуется дополнительное ПО
•  Прозрачная отправка на любой адре
•  Шифрование инициируется -- Keywords | Policies | Senders | Recipients
| etc.
Cisco Email
Security Appliance
RecipientSender Controls
Message Key

Просто получателю
Подтвердите
идентичность
2
Корпоративная учетная
запись(opt)
Cisco Registered
Envelope Service
Откройте аттач
1
Посмотрие
сообщение
3

•  Блокирование фишинг и спуфинг атак
•  Применяйте более либеральные политики к аутентифицированным внешним
источникам
Your Company
DKIM и SPF
Аутентификация Email
DNS
Server
SIGNED
SIGNEDü Verified
Trusted_Partner.com
Trusted_Partner.com
Imposter
Cisco ESA
Drop/Quarantine

•  Не дайте подделать ваши сообщения
•  Защитите свою репутацию
•  Не попадайте в черные списки
Your Company ISP
Аутентификация почты
DKIM и SPF
DNS
Server
Public
From: Your_Company.com From: Your_Company.com
SIGNED
From: Your_Company.com
SIGNEDü Verified
Cisco ESA

Cisco Email Security. Администрирование
Admin
Отчетность Message TrackingУправление

Detailed Message TrackingDrill Down Reporting
Простое управление и мониторинг

Обзор обработки Email
Message Tracking
Что случилось с письмом, которое я
отослал 2 часа назад?
̶  Можно проследить
индивидуальные сообщения
Кто еще получил похожие сообщения?
̶  Расследования для гарантии
соответствия

Поддержка IPv6
Защита от увеличивающегося количества IPv6 угроз для систем Email
•  Поддержка: IPv4/IPv6 адреса– single или dual stack – с Anti-Spam, Anti-Virus,
Content Filters, DLP, Encryption,
•  Преобразование: IPv6 вход, IPv4 выход… или наоборот
•  Полная поддержка отчетности и Message Tracking
IPv6 адреса
Ваша система
безопасности может
правильно фильтровать
контент с IPv6 адресами?

•  Email Volumes
•  Spam Counters
•  Policy Violations
•  Virus Reports
•  Outgoing Email Data
•  Reputation Service
•  System Health View
•  Простой просмотр
потоков почты в
организации
•  Отчеты в режиме
реального времени как
для email, так и для
угроз
•  Иерархическая модель
очетов.
Multiple data pointsConsolidated and Custom Reports
Полный обзор
Унифицированные бизнес-отчеты

Варианты исполнения Cisco Email Security
Выгоды от виртуализации
•  Выбор форм-фактора
•  Гибкость развертывания
•  Ценовая модель – подписка
Варианты использования
•  Региональный офис
•  Пики трафика
•  Инициатива облака/виртуализация
Cisco E-mail Hosted Security
Cisco UCS
+
+
ESAV

Зксплоиты Кражи и шпионаж Прерывание
работы
Безопасность Web – ставки выше, чем когда-либо

Web страницы содержат скрытые угрозы
•  Flash
•  Java
•  JPG
•  PDF
•  Script
•  .exe
•  Etc.
Potential
threats

Facebook time:
2,110,516 minutes or
35,175 hours, 1465
days, 4.1 years!
# of Facebook likes:
3,925,407 at 1 second a
like that’s almost 1100
hrs/day or 45 days just
liking things!
Bytes on YouTube
video playback:
11,344,463,363,245
or 10 TB
Pandora:
713,884,303,727
or .6 TB
Total browse time for
the day:
2,270,690,423 or
4,320 Years.
Total bytes for the day:
70,702,617,989,737
or 64 TB over 15% from
YouTube!
Потеря производительности – это тоже угроза
Сколько полосы пропускания занимает ежедневно Web 2.0?
Source: Cloud Web Security Report

Cisco – это лидер в квадранте Gartner для Secure Web
Gateways
Gartner’s Magic Quadrant for Secure Web Gateways
Lawence Orans, Peter Firstbrook, 28 May 2013
This graphic was published by Gartner, Inc. as
part of a larger research document and should be
evaluated in the context of the entire document.
The Gartner document is available upon request
from this URL.
Gartner does not endorse any vendor, product or service
depicted in its research publications, and does not advise
technology users to select only those vendors with the highest
ratings. Gartner research publications consist of the opinions of
Gartner's research organization and should not be construed as
statements of fact. Gartner disclaims all warranties, expressed or
implied, with respect to this research, including any warranties of
merchantability or fitness for a particular purpose.
AbilitytoExecute
Completeness of Vision
Challengers Leaders
Niche Players Visionaries
Cisco
Blue Coat Systems
Websense
Zscaler
McAfee
Symantec
Barracuda
Networks
Trend Micro
Trustwave
Sophos
Sangfor
ContentKeeper
Technologies
Phantom
Technologies-iboss
Security

Cisco Web Security обеспечивает сильную защиту
WWW
Время
запроса
Время
ответа
Cisco® SIO
URL Фильтрация
Репутационный фильтра
Динамический анализ (DCA)
Сигнатурные anti-malware движки & AMP
Анализ в Sandbox real-time
BlockWWW
BlockWWW
BlockWWW
BlockWWW
AllowWWW
WarnWWW WWW Partial
Block
BlockWWW
cws

1.Скан текста
Cisco Web Usage Controls
URL фильтрация и динамический анализ контента
WWW
URL Database
3.Вычисление близости к
эталонным документов
4.Наиболее близкое
совпадение категории
2. Определение
релевантности
Finance
Adult
Health
Finance Adult Health
AllowWWW
WarnWWW WWW Partial
Block
BlockWWW
5. Применение политики
Если не знаем --
анализ
BlockWWW
WarnWWW
AllowWWW
Если знаем

Анализ репутации
Мощь контекста в реальном времени
Suspicious
Domain Owner
Server in High
Risk Location
Dynamic IP
Address
Domain
Registered
< 1 Min
192.1.0.68
example
.com
Example.org17.0.2.12 BeijingLondonSan JoseKiev HTTPSSLHTTPS
Domain
Registered
> 2 Year
Domain
Registered
< 1 Month
Web server
< 1 Month
Who HowWhere When
0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 1
0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 01
010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 011
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10
IP Значение репутации

Механизм динамического анализа контента (DCA)
Злоумышленники активно используют сайты-однодневки
Останавливает 50% спорного контента*
*Source: Cisco SIO, based on data from customer production traffic
Высокая производительность
•  База данных URL – более 50
млн ужлов
•  Категоризация в реальном
времени для неизвестных URL
•  Поддержка русского языка
Настройка для обычно
блокируемого контента
•  Pornography and Adult
•  Hate
•  Gambling
•  Proxy Avoidance
Анализ контента с
человеческой точки зрения
•  Эвристический анализ на
основе моделирования
концепции контента
•  Улучшенная точность

Безопасный поиск и рейтинг контента
Более глубокий контроль приложений
Безопасный поиск
§  Предотвращение обхода политики с помощью
поисковиков
§  Гарантия того, что поисковые механизмы вернут
результат, в котором нежелательный контент
отфильтрован
§  Настройка – один клик
§  Поддержка: Google, Bing, Yahoo, Yandex. Дальше
-- болше
Рейтинг сайтов
§  Блокирование нежелательного контента
на разных сайтах
§  Основано на метаданных, а не на
анализе файлов
§  Поддержка: Flickr, Craigslist, YouTube

Контроль полосы пропускания для потокового медиа
•  Механизм AVC обнаруживает потоковое аудио и
видео, которое использует HTTP как транспорт
•  Ограничения по пользователям
Каждому клиенту разрешается использовать N Kbit/sec для
потокового медиа
Ограничение перегрузки, применение правил
использования, увеличение производительности
пользователей
•  Агрегатные ограничение
Потоковое медиа может использовать не более, чем N
мбит/сек полосы пропускания
Гарантия полосы
•  Может комбинироваться с категориями и Identlties.

Сканирование Malware в реальном времени
Dynamic vectoring and streaming
Сигнатурный и эвристический анализ
•  Оптимизация эффективности и уровня
обнаружения с интеллектуальным мульти-
сканированием
•  Расширенное покрытие несколькими
механизмами
•  Идентификация зашифрованного вредоносного
трафика с помощью перехвата, расшифровки и
сканирования SSL трафика
•  Улучшение впечатления пользователя
благодаря параллельному потоковому
сканированию для более быстрого анализа
•  Всегда самые свежие сигнатуры благодаря
автоматическим обновлениям
Эвристическое обнаружение
Необычное поведение
Anti-Malware сканирование
Параллельное, потоковое сканирование
Сигнатурная проверка
Идентификация известного поведения
Несколько
движков Anti-
Malware

Adaptive
Scanning
Адаптивное сканирование: автоматический выбор сканера
Репутация + тип контента + выбор сканера = Адаптивное сканирование
www.anysite2.com -3.5
www.anysite1.com +1.1
www.anysite3.com -5.5
WSA
10 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
10 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
Cisco® SIO
HTML
HTML
HTML

Удаление ненужных объектов на странице
Анализ каждого объекта на странице (CWS only)
Эмуляция в реальном времени

Основные функции AMP на Cisco Email и Web
Security
File Sandboxing
Анализ поведения
неизвестных файлов
File Retrospection
Ретроспективный
анализ после атаки
File Reputation
Блокирование
вредоносных файлов

Мониторинг угроз на сетевом уровне
Пользователи Анализ на сетевом уровне
Предотвращение трафика
ботнетов (“Phone-home”)
•  Сканирование всего трафика, на всех
портах, по всем протоколам
•  Обнаружение вредоносного ПО,
обходящего порт 80
•  Предотвращение трафика ботнетов
Мощные данные для борьбы с
вредоносным кодом
•  Автоматически обновляемые
правила
•  Генерация правил в реальном
времени, используя “динамическую
идентификацию”
Инспекция
пакетов и
заголовков
Интернет

Application Visibility and Control (AVC)
1,000+ Apps
URL фильтрация
•  База данный URL –
более 50 млн сайтов
•  Динамическия
категоризация для
неизвестных URL Application
Behavior
150,000+
Micro-Apps
•  Управление
приложениями Web
2.0
•  Политика для
работы с
приложениями
•  Поведение внутри
приложений
•  Обзор деятельности
в сети
http://
+
Правила применения в сегодняшнем Web
Снижение уровня «расстроенности» пользователей

Предотвращение утечек данных
Снижение риска утечки чувствительной информации
On-Premises
Интеграция DLP
по ICAP
протоколу
CWS
WSA
Cloud
DLP вендор
WSA
+
Базовый DLP
Расширенный
DLP
Базовый DLP

Cisco Web Security предлагает полное управление
Data Loss Prevention (DLP)
Application Visibility and
Control (AVC)
Admin
AllowWWW
WWW Partial
Block
BlockWWW
Centralized
Management &
Reporting
Policy
Threat Protection
User
Cisco Web Usage Controls

Централизованное управление и отчетность
Complete solution for on-premises or cloud
Централизованная
отчетность
Централизованное
управление
Просмотр угроз
Возможности расследования
Внутри
Угрозы, данные, приложения
Управление
Общие политики между офисами и
удаленными пользователями
Обзор
Разные устройства, сервисы, сетевые
уровни
Управление
политиками
Делегированное
администрирование
Анализ, исправление и переработка политик безопасности

Защита мобильных пользователей
Cisco AnyConnect Secure Mobility Client
Пользователи с
телефонами, лаптопами,
планшетами
Пользователи
с ноутбуками
Client installed on machine
Web пользователи
Block
WWW
Warn
WWW
Allow
WWW
Вердикт
CWS applies web
security features
WSA применяет
политики
Web Security
Location
Перенаправление
Web трафика
Перенаправление
трафика в WSA
Трафик
через
VPN
попадает
в HQ
Направляет
трафик на
ближайший Web
прокси
Cisco
AnyConnect™
Client
VPN
ACWS
VPN

Cisco Context Directory Agent
§  Цель CDA – предоставить ASA / ASA NGFW / WSA / CWS информации о
соответствии IP-адреса и имени пользователя для применении политики
безопасности, базирующейся на имени пользователя, а не IP-адреса
§  CDA, заменяющий AD Agent, интегрируется с ISE 1.1.x и ACS 5.3/5.4 и
позволяет получить информацию о пользователях, не зарегистрированных
в AD

Варианты исполнения Cisco Web Security
Выгоды от виртуализации
•  Выбор форм-фактора
•  Гибкость развертывания
•  Ценовая модель – подписка
Варианты использования
•  Региональный офис
•  Пики трафика
•  Инициатива облака/виртуализация
Cisco Cloud Web Security
Cisco UCS
+
+
WSAV

Cisco Email & Web Security. Обзор технологии и функционала.

More Related Content

What's hot (20)

Viewers also liked (16)

Similar to Cisco Email & Web Security. Обзор технологии и функционала. (20)

More from Cisco Russia (20)

Cisco Email & Web Security. Обзор технологии и функционала.