Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort )...
Transcript of Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort )...
![Page 1: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/1.jpg)
Ecole polytechnique fédérale de LausanneSécurité IT : actions en cours et rétrospective 2017 Patrick Saladino / Martin Ouwehand / Alexandre Sutlian
1
![Page 2: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/2.jpg)
Team Secure-IT
P. Saladino M. Ouwehand A. Sutlian N. RepondSécurité (85%)Service Manager (15%)
Sécurité (50%)Mail (50%)
Sécurité (15%)Réseau (85%)
Sécurité (100%)J-F. Dousson
2
RSSI (100%)
![Page 3: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/3.jpg)
Agenda
Mailcleaner Statistiques Mail Cisco ESA (IronPort) Actions 2017/8Solution antispam officielle, n’est plus adaptée face aux menaces actuelles et futures
Combien de messages, légitimes ou non, l’EPFL reçoit-elle chaque année? Pour quels impacts opérationnels?
Présentation rapide du produit Cisco ainsi que du POC mené au Q1 2018
TeqNoSSL, authentification expéditeur mail, SMBv1, Meltdown/Spectre et antivirus
3
![Page 4: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/4.jpg)
MailcleanerService antispam EPFL officiel
Depuis 2003 sur inscription puis généralisé en 2007
PME locale Saint-Sulpice (VD)
Limitations
Filtrage variable Peu adapté au filtrage du phishing et du malware SPAM en langues étrangères peu intercepté
Réactivité du support en baisse4
![Page 5: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/5.jpg)
Statistiques MailMotivations
Vision de bout en bout nécessaire Combien de mails génèrent un incident au 1234
Impact sur temps de travail Des utilisateurs De l’équipe Sécurité
Méthodologie
Séquence complète du mail Serveurs d’entrée (SMTP) > Service desk Volumétrie contextuelle
5
![Page 6: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/6.jpg)
Statistiques Mail (1/3)Transport
6
MTA Pool (DNS MX records)
SpamHaus (local DNS cache)
Blacklists (~/admin/in/*)Pattern-based
(ClamAV)Désactivé
checkMessage.plContent-based + sender verification
IP Filter (local)
Angelmatophylax (MTA)
Reporting(Sends attachments metadata to WS)
158'000 emails
188'500 emails
Qmail (MTA)
147 million emails (100%)
33,8 millionemails (22%)
![Page 7: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/7.jpg)
Statistiques Mail (2/3)MailCleaner
7
MailCleaner Pool
TrustedSourcesSPF – Sender Policy Framework
NIceBayesBayesian filtering
ClamSpamClamAV + SPAM signatures
PreRBLReal-time Blackhole Lists
UriRBLReal-time Blackhole Lists
SpamControlSpam[Haus,Cop] + DKIM + DCC
Newsletters module
EXIM (MTA)
4'732'000 emails (14% of input)
33,8 million emails (22%)
29 millionemails (19,8%)
![Page 8: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/8.jpg)
Statistiques Mail (3/3)Stockage
8
Exchange (Storage & access)Windows-based clientsOther clients
MTA
Exchange Backend (storage)
POP3S
Exchange Frontend
IMAPS MAPI/AS
McAfee145'000 threats
(dangerous attachments)
2400 incidents91 man-days
29 million emails (19,8%)
![Page 9: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/9.jpg)
Statistiques MailConclusions
Situation sécuritaire pas assez maîtrisée Malgré sensibilisation Malgré filtres/AV Vecteur principal de menaces
Mobilisation ressources Secure-IT Evitable si meilleur filtrage en amont
Insatisfaction des utilisateurs finaux
Nécessité d’un antispam/malware performant
9
![Page 10: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/10.jpg)
Cisco Email Security Appliance-ESA (IronPort)Présentation
Rachat de la technologie de IronPort Systems en 2007 IronPort AntiSpam
Leader du marché Très efficace contre le malware et le phishing Appliance de sandboxing pour malware inconnus
10
![Page 11: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/11.jpg)
Cisco Email Security Appliance-ESA (IronPort)POC
Tests menés durant Q1 2018 Résultats très positifs
Acquisition de la solution Q2 2018 Mise en production Q3 (juillet – août)
11
![Page 12: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/12.jpg)
Actions 2017/8Authentification expéditeur mail EPFL
Garantir que l’expéditeur est bien le ‘vrai’ correspondant Adresse email EPFL correspond usr/pwd annuaire ? Doit fonctionner pour les adresses techniques Implique quelques modifications pour certains clients
mail - Gmail et Thunderbird principalement
12
![Page 13: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/13.jpg)
Actions 2017/8TeqNoSSL
Contrôle d’accès Tequila Basé sur des critères (ID,
rattachement, rôle, droits…) Solution SSO pour le Web
Applications en HTTP Trafic non chiffré…qui contient le
‘secret’ applicatif Interception difficile mais possible
Remédiation Imposition de HTTPS
Application XYZ
Tequila
2.
4.
1.johndoe
?appkey=540a42liysZx5.
6.
‘I am johndoe’
3.
13
![Page 14: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/14.jpg)
Actions 2017/8SMBv1 (Samba)
Protocole de partage de ressources ‘legacy’ OS obsolètes vers NAS (compatibilité) Vulnérable à l’exploit « Eternal Blue » (NSA) Exploité par des pirates > répercutions mondiales
• Ransomware Wannacry, Wannacrypt, etc.
Réaction immédiate obligatoire Communication interne et RP Coordination avec le CSI Suppression SMBv1 client, limitation côté host/NAS Scan de vulnérabilité ‘campus wide’ et corrections
14
![Page 15: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/15.jpg)
Actions 2017/8Spectre/Meldown
Vulnérabilités touchant le cœur du traitement processeur 5 variantes (2 nouvelles publiées en mai 2018) Nouvelle ‘classe’ de failles
• Architecture processeur «speed vs security» Remédiation complexe…et risquée (‘brick’ HW)
Mise en place d’un guide interne évolutif Classé par variante et par OS/application/device Recommandations par Secure-IT
https://wiki.epfl.ch/secure-it/meltdown-spectre
15
![Page 16: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/16.jpg)
Actions 2017/8Migration infrastructure antivirus
Clé publiqueZEUS + cert
Clé privéeZEUS
MSSQL natif
HTTPS
Clés publiquesARES & ZEUS
+ certificat
MSSQL s/SSL
HTTPS
ClientsInternes
Clé privéeZEUS
Synchro clients déplacés
Stratégies, tâches et règles de tri
Infra ePO 5.3 (physique) ZEUS.epfl.ch
Infra ePO 5.9 (VM) ARES.epfl.ch
MSSQL2008
MSSQL2016
ePO 5.3 ePO 5.9
~7000 clients
Clé privéeARES
ePO 5.9
Agent Handler ePO 5.9 (VM) ARES-AH.epfl.ch
Clé privéeARES Clients
Externes
MSSQL s/SSL
HTTPS
DIODE
16
![Page 17: Ecole polytechnique fédérale de Lausanne · Cisco Email Security Appliance-ESA (IronPort ) Présentation Rachat de la technologie de IronPort Systems en 2007 IronPortAntiSpam Leader](https://reader033.fdocuments.net/reader033/viewer/2022050606/5fada28c20186708a51de962/html5/thumbnails/17.jpg)
Actions 2017/8Q/A
?17