Post on 05-Dec-2014
description
Как побеждатьPavel RodionovSystems Engineer, Security EMEAR
Cisco Email and Web Security
Некоторые из продуктов и функционал, описанный здесь находятся на разных стадиях разработки и будет предложен по мере завершения. План развития может быть изменен по чистому усмотрению Cisco, компания Cisco не несет ответственности за отсутствие любых продуктов или же функций, описанных в этом документе.
Forward Looking Statements
Cisco Email SecurityДля надежности, безопасности и снижения затрат на обслуживание
После IronPort
Groupware
Firewall
IronPort Email Security Appliance
Internet
Перед IronPort
Anti-Spam
Anti-Virus
Policy Enforcement
Mail Routing
Internet
Firewall
Groupware
Users
Encryption PlatformMTA
DLP Scanner
DLP Policy Manager
Users
Многоуровневая система безопасности входящей…
Asyncos™ MTA Platform
Шифрование Коррекция DLP Контентные фильтры
Входящая
Исходящая
Репутационные фильтры
Фильтры Virus OutbreakАнти-спам Анти-Вирус
...и контроль исходящей электронной почты
Репутационная фильтрация
Антиспам Антивирус
Входящая
Исходящая
Фильтры Virus Outbreak
Фильтры содержимого
Asyncos™ MTA Platform
Шифрование Коррекция DLP
Bounce VerificationEliminates mis-directed
bounces
DKIM Signing & Verification
Sender verification
SPF VerificationVerify mail is coming
from servers designated to send on
sender’s behalf
HTML SanitizationEliminates spoofed URLs
Recipient ValidationEliminates messages sent to invalid email addresses
TLS Encryption Gateway to gateway
encryption
Cisco IronPort AsyncOS Набор инструментов для защиты пользователей
End User Allow & Block Lists &
Spam Quarantine End user controls
Industry Leading LDAP Capabilities
LDAP referrals, multiple LDAP servers, 3 step set
up wizard
Массовые атаки Целевые атаки
Защита входящих Контроль исходящих
Облако или локально Гибридное внедрение
Изолированная телеметрия Координированная безопасность
Преобразование рынка
• Подозрительные угрожающие сообщения
• Все виды угроз (спам, фишинг, целевые)
ЗадержкаЗадержка
• Подозрительные URL на Cisco Web SecurityПеренаправлениеПеренаправление
• Содержимое сообщения (тема)
• Добавить предупреждениеИзменениеИзменение
Эволюция защитыМногоуровневая целевая защита
Фильтр вируса, спам, фишинга, других угрозФильтр вируса, спам,
фишинга, других угрозФильтр вируса, спам,
фишинга, других угроз
Динамический карантин
Cisco Security Intelligence Operations
Internet
Модификация и доставка
Задержка подозрительных сообщенийOutbreak фильтрация в действии
Перенаправление подозрительных URIOutbreak фильтрация в действии
Cisco SIO
Вердикт: Подозрительные IP / URLДействие: Отослать в облако
Вердикт: вредоносный контентДействие: STOP
Redirect
11
• Обнаружение фишинг-писем и URL угроз• Дополнительно к защите от зараженных вирусами присоединенных
файлов• Для сканирования используется IPAS (CASE)
• Время хранения в динамическом карантине• CASE возвращает время хранения• Максимальные установки времени хранения имеют более высокий
приоритет• Разное время хранения для вирусных и других угроз
• Повторное сканирование карантина• Вирусные угрозы сканируются после обновления правил TOC/AV• Другие угрозы сканируются согласно рекоменуемому интервалу
CASE• Повторное сканирование CASE позволяет обнаруживать
короткоживущие фишинговые угрозы
Обзор функционала
12
• Модификация URL• Перезапись URL для использования в прокси• Вместе работают ScanSafe и SecApps• Подписанные сообщения могут быть оставлены неизменными• Список исключений доменов• Поддержка IPv4 и IPv6 буквенные/CIDR, имена хостов, и домены
• Предупреждения• Если сообщение потенциальная угроза• Генерируется системой или же с помощью встроенных словарей• Уровень угрозы, категория, тип, описание доступны для заполнения• Добавляется в начало сообщения
• Модификация темы• Предупреждение, что сообщение было модифицировано• Перед/после темы так же, как это делает AS/AV сканеры
Обзор функционала - продолжение
Сканирование больших спам-сообщений
Технические подробности
• Сообщения больше, чем рекомендуемый размер сканирования но меньше максимального размера сканирования сканируются частично
Message Size СканированиеСканирование
(Частичное)Не сканируется
Рекомендуемый размер
сканирования
Максимальный размер
сканирования
Делегированное администрирование
• Администратор может создавать роли пользователей.• Пользователи могут быть «привязаны» к ролям.• Привилегии могут быть назначены только ролям, не пользователям.• Типы привилегий:
Привилегии доступа: доступ к функциям - Mail Policies, DLP, Reporting, Tracking, Quarantines, Trace, Encryption.
Привилегии политик: Доступ к определенной политике или объекту -политике почты, DLP политике, карантину.
• Типы доступа (для функций с привилегиями политик) Нет доступа Просмотр и редактирование только назначенной политики (restricted) Просмотр всех политик и редактирование назначенной (semi-restricted) Полный доступ (unrestricted)
Пользовательские роли (Основы)
Интеграция с RSA Enterprise Manager – Фаза 1
Интеграция с RSA Enterprise Manager:• Позволяет заказчикам управлять и контролировать свое DLP политики
во всей организации с помощью центральной консоли RSA Enterprise Manager
• Расширенные потоки• Расширяет наши DLP политики и включает те, которые не
показываются через ESA GUI• Поддержка таких конкурентных функций, как Fingerprinting
Бизнес-требования
21
Integration in Phases
Интеграция прозводится в две фазы:• Фаза 1
• Управление политиками• Взаимодействие (push/pull политики, освобождение из
карантина, и т.д.)• Журналирование• Потоки данных
• Фаза 2 (Следующие релизы) Расширенные объекты Поддержка тегов сообщений в EM
Политики, которые определяются на уровне RSA Enterprise Manager могут быть отправлены на ESA
Интеграция RSA Enterprise Manager Определение политик
Простой просмотр инструментов с помощью панели EM.
Интеграция с RSA Enterprise Manager Просмотр инцидентов
Поддержка IPv6
• IPv6 уже здесь– IPv4 пул уже исчерпан– Национальные стратегии IPv6– Увеличение поддержки приложений – OS, контент, Web.
• IPv6 Email-угрозы начинают возникать– Cisco – это единственный игрок, который инвестирует в репутацию
IPv6
• Пошаговый план внедрения– Hosted– SBRS эффективность для IPv6 будет улучшаться по мере
увеличния трафика.
Зачем
• Отправка/получение почты через IPv6– SMTP и большинство Email функций на ESA уже
поддерживают IPv6.
• Бесшовная поддержка двойного стека– У интерфейса может быть как IPv4, так и IPv6 адрес. Listener
и политики работают без каких-либо изменений.– Настраиваемые опции доставки (IPv4/IPv6).
• Базовая поддержка управления через IPv6– Http/Ssh поддерживается IPv6 .
Примеры использования
HAT RAT Routes Filters Destination Controls
Trace NIC Pairing Outbreak Filters
TLS SMTP Routes
SMTP Callahead
Admin ACL Tracking Reporting Http(s)/Ssh
Обзор функционалаIPv6 поддерживаемые функции
Clustering ESQ Communication with SMA
DNS LDAP
SNMP FTP Updates/Upgrades
Sending Alerts Remote Access
Обзор функционалаНе поддерживаемые функции – будущие релизы
Что дальше?
• Ребрендинг UI• Централизованный карантин политик• Загрузка обновлений – разделение загрузки и
обновления• Улучшения системы репортинга• Улучшения системы Message Tracking• 64-бит ESA• Настраиваемая панель отчетов• Быстрые ссылки для часто выполняемых задач• Отмена конфигурации (rollback)
Новая версия
Развертывание систем Web безопасности
Cisco Web Security Appliance
Web прокси с кешированием (http,https, ftp, ftp over http)
Возможности безопасности и контроля
Репутационная фильтрацияСканирование MalwareURL фильтрацияApplication visibility & controlHTTPS инспекцияАутентификацияРепортинг и трекингL4TM…дальше -- больше!
Контроль Web приложений
Много приложений используют HTTP в качестве транспорта
Приложения обнаруживаются и управляются специальными сигнатурами
Эти сигнатуры загружаются автоматически
Не нужна перезагрузка или ручная проверка!
О репутации
Cisco SIO собирает статистику с устройств Cisco и из других ресурсов
Cisco SIO коррелирует информацию Обновленная информация отправляется на устройства Каждый IP / URL получает значение от -10 to +10
Web Email ASA IPS
Outbreak Intelligence
External feeds
О репутации
Вредоносные сайты отслежваются глобально через SIO WSA оценивает каждый запрос и назнает ему свою
репутацию Значение репутации и действие настраивается на WSA
• Это не сканер. Это механизм принятия решения• Решение основывается на
• Репутация• Тип контента• Доступные сканеры AV• Эффективность сканера AV• «Стоимость» сканирования
• Усиление эффективности и производительности.• Приоритезация сканирования объектов в зависимости от
объема трафика.
Адаптивное сканирование (AsyncOS 7.5)
Примеры: Значения репутации
Известный ботнет или фишинг сайт
Агрессивный маркетинг
Примеры: Значения репутации (2)
Нейтральный сайт
Сайт с хорошей историей
Участие в работе
Администратор определяет уровень участия Запрошенный URL с результатом отсылается нам Пользовательская информация и внутренние сети не отправляются
Disabled: Информация в Cisco SIO Database не отправляетсяLimited: Серверный URL запроса, хеш части путиStandard: Серверный URL и все сегменты
Веб безопасность в облаке
Web-безопасность через облачный сервис ScanSafe Web Security
Централизованное администрирование и репортинг с помощью портала управления
Потоки данных со ScanSafe
Web запросы
Разрешенный трафикОтфильтрованный трафик
Internet
User
Запросы клиентов перенаправляются на прокси-сервер в облаке
Запросы проверяются и фильтруются
Отфильтрованные запросы обрабатываются и запрошенная информация возвращается клиенту
Надежность и масштабируемость
Миллиарды запросов в день Задержка <50 мс Отказоустойчивая инфраструктура Параллельная обработка
43
Outbreak Intelligence
<html>
<js>
<swf>
<pdf>
<jpg>
<web>
JAVAScanlet
ArchiveScanlet
ScriptScanlet
PDFScanlet
SWFScanlet
Win EXEScanlet
Multiple AV
File Anomaly Scanlet
Phishing Scanlet
ContextScanlet
MFScanlet
METAScanner
Параллельная обработка в ЦОД обеспечивает максимальную производительность
Сканлеты ищут malware путем анализа различных аномалий
Что нас ждет в новой версии WSA?
Multi-Forest NTLM SOCKS Proxy
SW Based FIPS
OCSP/CA Management
Nexus 7kinterop
YouTube for Schools
Основные возможности
OCSP
• PKI rполагается на CA для подписи и проверки сертификатов серверов.
• Что-то может пойти неправильно – украдены приватные ключи, выпущены поддельные CA сертификаты.
* 2001 – сертификаты, подписанные Verisign говорили, что они принадлежали Microsoft
* 2011 – Comodo CA – атакующий создал сертификаты для www.google.com и login.yahoo.com
• Отозвать сертификаты можно с помощью CRL и OCSP
Почему OCSP
• OCSP – Online certificate status protocol.• CRL – Certificate revocation lists.• CRL – Требуют периодической загрузки и большие.• OCSP -- это интернет-протокол, который используется для проверки
статуса сертификата.• OCSP дает более своевременную информацию об отзыве
сертификатов по сравнению с CRL.
Что такое OCSP?
Multi-Forest NTLM
Лес – набор доменов с системой взаимного доверияMulti NTLM Forest – Несколько лесов без доверительных отношений
• Заказчики обеспечивают IT услуги нескольким подразделениям, каждое из которых является независимым объектом
• Администраторы, управляющие WSA не контролируют структуру AD объектов
• Чрезвычайно сложно добавить доверие между независимыми объектами
Зачем поддерживать Multi NTLM Forest?
• Создание нескольких NTLM объектов и последовательностей• До 10 NTLM объектов• Identity – несколько NTLM объектов• Политики – пользователи и группы из нескольких NTLM объектов• TUI работает с несколькими агентами, один на AD лес• Win 2000, 2003, 2008
Что поддерживается?
SOCKS
• Socks широко используется в финансовой индустрии• Одна точка выхода для трафика в Internet• Часто используется для выделенной связи между бизнес-
партнерами• WSA поддерживает только SOCKSv5. Старые версии не
поддерживаются.• Не поддерживается IPv6, поддержка появится в середине 2013
года.
SOCKS – Зачем проксировать другой протокол?
Youtube для образования
• В школах постепенно назревает необходимость более тщательного контроля youtube контента, который просматривается детьми
• Youtube предлагает школам опцию зарегистрировать канал и назначить уникальный ключ
• Школы могут добавлять к этому каналу видео, которое они считают подходящим
• Все запросы, которые идут на youtube.com имеют определенный заголовок с ключом в качестве значения
• Как только youtube видит этот заголовок, он проверяет права доступа и принимает решение о том, показывать ли это видео или нет.
Need for custom Youtube header
Позиционирование – ASA CX, WSA и ScanSafe.
Протофолио Web безопасности CiscoГибкость развертывания для повсеместной безопасности
ASA CX Облачная Web безопасность
Web Security Appliance(Физический и виртуальный)
Cisco SIO
Поддержка
Телеметрия Информация
Cloud Connectors
ISR WSA ASA AnyConnectControlled Availability
Основы портофолио Web безопасности
Web/URL фильтрация
Контроль приложений Порты (все)Протоколы (все)
Порты (80, 443)Протоколы(HTTP(S))
Порты(21, 80, 443)П(HTTP(S), FTP)
Защита от malware Основная(репутация)
Расширенная(Репутация + анализ контента)
Расширенная(Репутация + Анализ контента)
Безопасность удаленных пользователей
VPN Backhaul Направление в облако VPN Backhaul
Развертывание На МЭ Направление в облако через ASA, ISR, AnyConnect, WSA
На площадке –перенаправление
Политики и репортинг Встроены В облаке Встроены
Лицензирование и подписка
Основано на модели ASA1Y / 3Y / 5Y
По пользователям1Y / 3Y / 5Y
По пользователям1Y / 3Y / 5Y
Firewall Integrated (ASA CX)
Cloud(Cloud Web Security)
Appliance, Physical & Virtual(Web Security Appliance)
Web Security Positioning
Когда у вас следующие требования…
• Требуются возможности Nextgen firewall
• Контроль «сложных» приложений или же специфические требования (запрет туннелирования по DNS порту, контроль ICMPтрафика, контроль Torrent, Skype, IM etc)
• Фильтрация URL
• Облачный сервис
• Web безопасность для небольших филиалов с доступом к Internet
• Web безопаность для мобильных пользователей без отправки трафика в VPN Web security for roaming or mobile users without backhauling over VPN
• Защита от вирусов и malware
• Выделенные прокси
• Кеширование
• Защита от вирусов и вредоносного ПО
• DLP для Web
• SOCKS прокси
• FTP прокси
• Подробное журналирование с архивацией журналов и построением отчетов
• Ограничение полосы для Видео/Аудио
• SIEM интеграция
Firewall Integrated (ASA CX)
Cloud(Cloud Web Security)
Appliance, Physical & Virtual(Web Security Appliance)
Устанавливайте…
• Web/URL фильтрация• Контроль Web приложений• Репутационная фильтрация
• Web/URL фильтрация• Контроль Web приложений• Репутационная фильтрация
Виртуализация
Virtual Content Security Appliance Program
• Полная функциональная совместимость с аналогичной аппаратной платформой
• Тот же апдейт сервер, что и для аппаратной платформы
Обновления & и апгрейды работают аналогично
Работа и производительность
• Совместима с гипервизором VMware ESXi 4.x • В будущей версии появится поддержка ESXi 5.x
• Протестировано и поддерживается на Cisco UCS Бета-тестирование на другом железе, приоритет поддержки ниже
• Эквивалентность аппаратным моделямВиртуальный WSA: аппаратные спецификации UCS для получения производительности, аналогичной S170, S370, или S670
Виртуальные SMA: аппаратные спецификации UCS для получения производительности, аналогичной M170, M670, M1070
Виртуальные ESA: аппаратные спецификации UCS для получения производительности, аналогичной C170, C370, C670, X1070
Время появления 1QCY13Мы будем поддерживаеть ESAv на VMware ESXi 4.1
• Тестируемая платформа -- Cisco UCS• Это виртуальный appliance – загрузите OVF файл и
импортируйте его в ESXi. • В следущих релизах мы рассматриваем возможность
использования других виртуальных сред
Новая номенклатура:• Cisco Email Security Virtual Appliance: ESAv.• Cisco Content Security Management Virtual Appliance: SMAv
Virtual Email Security Appliance (ESAv)
Уже тестируется бета вресияМы будем поддерживаеть WSAv на VMware ESXi 4.1
• Тестируемая платформа -- Cisco UCS• Это виртуальный appliance – загрузите OVF файл и
импортируйте его в ESXi. • В следущих релизах мы рассматриваем возможность
использования других виртуальных сред
Новая номенклатура:• Cisco Web Security Virtual Appliance: WSAv.• Cisco Content Security Management Virtual Appliance: SMAv
Virtual Web Security Appliance (ESAv)
Поддержка смешанного режима развертывания
• Взаимодействие аппаратных и виртуальных устройств
• «Сквозное» лицензирование
Virtual SMA
HW ESA HW WSA
HW SMA
Virtual ESA HW WSA
Вопросы?
Спасибо!
Просим вас заполнить анкетыВаше мнение очень важно для нас