Contenu connexe
Similaire à Cisco Content Security. Обзор технологий защиты Email и Web трафика
Similaire à Cisco Content Security. Обзор технологий защиты Email и Web трафика (20)
Plus de Cisco Russia (20)
Cisco Content Security. Обзор технологий защиты Email и Web трафика
- 1. Cisco Content Security
Обзор технологий защиты Email и Web трафика
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
1
- 2. •
•
Содержание
•
•
•
•
•
•
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Эволюция и угрозы email
Портофолио безопасности Cisco Email
Безопасность Email и SIO
Опции развертывания
Широкая защита и управление
Защита входящих
Контроль исходящих
Управление/отчетность
Cisco Confidential
2
- 3. Эволюция email безопасности
HIGH
$ VALUE
Эволюция ландшафта угроз
MASS EMAIL
ADOPTION
SPAM
LOW
Volume
VIRUS OUTBREAKS
CEO
Network Evasions
Polymorphic Code
PHISHING
Covert, Sponsored
Targeted Attacks
Worms
Botnets
Stuxnet
Code Red
HIGH
Volume
Aurora
Conficker
Attachment-based
LOW
$ VALUE
CFO
Image
Spam
Slammer
Custom URL
Targeted
Phishing
P A S T
T O D A Y
LOW
Volume
Intellectual Property
Quarantine
Filter
LOW
$ IMPACT
Encrypt
Everything
State Regulations
Brand
DLP
Data
Classification
TLS
HIPAA
PCI
Social Security Numbers
СООТВЕТСТВИЕ
Эволюция исходящей защиты
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
АКТИВЫ ПОЛЬЗОВАТЕЛЕЙ
Identity
Aware
HIGH
Volume
HIGH
$ IMPACT
Cisco Confidential
3
- 4. Входящие и исходящие угрозы сегодня
Реальная стоимость инсайдерских угроз и утечек информации
Стоимость всего одной бреши для организации может быть потрясающей.
Ponemon Institute оценил диапазон от US$1 млн до US$58 млн.*
А законодательство еще увеличивает стоимость – только в США -- Data Breach
Notification Act of 2011, Personal Data Protection and Breach Accountability Act,
Spam
Data & Content
Spam
Data & Content
Personal Data Privacy and Security Act of 2011
Malware
Malware
Inbound
Malware
Malware
Email
Corporate Office
Email
Home Office
Coffee Shop
Outbound
*Email Attacks: This Time It’s Personal, Cisco, June 2011,
www.cisco.com/en/US/prod/collateral/vpndevc/ps10128/ps10339/ps10354/targeted_attacks.pdf
© 2011 Cisco and/or its affiliates. All rights reserved.
Mobile User
Airport
Email –
основной
вектор утечек
данных
Cisco Confidential
4
- 5. Эволюция Email пользователя
Безопасность Email для изменяющегося рабочего места
Пользователь вчерашнего дня
Проверяет email только с
авторизованных компьютеров
P A S T
Пользователь сегодня
Проверка email с нескольких
устройств
Текст с вложениями
Всегда находится за
корпоративным FW
7 млрд мобильных
устройств к 2015
1 из 3 использует как
минимум три устройства на
работе
Доступ к email – всегда и везде
Глобальны
й
T O D A Y
Смешивает работу и личное
Верит в то, что за
безопасность отвечает IT
Rich HTML email
Для того, чтобы сделать работу,
нарушит IT политики
Активно взаимодействует с
соцсетями
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
5
- 6. Cisco Email – универсальный шлюз контроля и
безопасности электронной почты!
Надежность, безопасность, снижение затрат на обслуживание
Перед IronPort
После IronPort
Internet
Internet
Firewall
Firewall
DLP Scanner
Encryption Platform
MTA
Anti-Spam
DLP Policy
Manager
Anti-Virus
Cisco Email Security Appliance
Policy Enforcement
Mail Routing
Groupware
Users
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Groupware
Users
Cisco Confidential
6
- 7. Gartner
2013 Magic
Quadrant
Leader
Портофолио Cisco Email Security
Лидирующая, оптимальная система безопасности Email на шлюзе
Cisco Email Security защищает 50% компаний из списка Fortune 1000, более 20%
крупнейших компаний мира и восемь из 10 крупнейших ISP
Appliance
Virtual
Cloud
Hybrid
Managed
Threat Defense
Data Security
Spam and Virus Protection
Targeted Threat Protection
Data Loss Prevention
Encryption
Централизованный обзор и управление
Поддержка нескольких устройств
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
7
- 8. Развертывание устройств
Готово к включению и установке для сетей любого размера
• Для организаций, которые требуют, чтобы их данные
обрабатывались у них на площадке
• Защита от риска снижения производительности
• Выделенные, легкоуправляемые, масштатируемые от малого
рынка до больших операторов
Models
Cisco X1070
Cisco C670
Cisco C370
Deployment
Large Enterprise
and ISPs
Medium to Large SMB – Small
Enterprise
Enterprise
Cisco C170
SMB
Для правильного определения количества узлов проконсультируйтесь с Cisco SE.
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
8
- 9. Виртуальное развертывание
Использование существующих инвестиций
• Быстрое развертывание
Model
Disk
Memory
Cores
C000v
200GB
4GB
1
C100v
200GB
6GB
2
C300v
500GB
8GB
4
C600v
500GB
8GB
8
• Улучшенное планирование емкостей
• Постоянная работа
• Гибкость развертывания
ESX | ESXi Hypervisor
Cisco UCS
Other Hardware
Consolidation | Automation | Virtualization
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
9
- 10. Гибкий набор опций развертывания
Разные предложение – неизменная безопасность
Cloud Email
Security
(SaaS)
ПЛОЩАДКА
ЗАКАЗЧИКА
Hybrid
Cloud Email
Security
Hybrid
Cloud Email
Security
Cisco Security
Operations
Center
Managed
Email
Security
Customer
Premise
Equipment
(CPE)
Общая политика| Централизованные отчеты| Постоянная защита
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
10
- 11. «По следам, которые мы
оставляем, нас будут помнить
вечно»
Важность репутации
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
11
- 12. Что такое репутационная безопасность?
Репутационная безопасность возвращает числовое
значение уровня доверия к объекту, что позволяет
устройству предпринять действие, предписанное
политикой.
Репутация строится на трех вещах:
Оценки 3-х сторон
© 2011 Cisco and/or its affiliates. All rights reserved.
Наша оценка (данные SensorBase)
Сложная модель, которая возвращает значение в
реальном времени
Cisco Confidential
12
- 13. Cisco Security Intelligence Operations
Три линии защиты
SensorBase
Dynamic Updates
Всеобъемлюющее
исследование угроз
© 2011 Cisco and/or its affiliates. All rights reserved.
Threat Operations
Center
Исследование и
анализ
Обновления в
реальном времени и
Best Practices
Cisco Confidential
13
- 14. SensorBase
Глубокое и широкое покрытие
Исследование угроз
• Более 1.6M глобальных
устройств
• Библиотека из более 40 тыс
угроз
• В день мы видим более 35%
email трафика
• 13 млрд web угроз в день
• 200+ параметров отслеживается
Выгоды
• динамический обзор угроз на
360
• Понимание уязвимостей и
технологий эксплоитов
• Обзор наиболее опасных угроз
• Самые последние техники и
тенденции атак
• Мультивекоторый обзор
Over 1,000 servers process over 500GB of threat data per day
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
14
- 15. Threat Operations Center
Экспертиза безопасности
Исследования и анализ
• 600+ инженеров, техников,
исследователей
• 80+ PhDs, CCIEs, CISSPs, MSCEs
• Создание правил, требующих
человеческого вмешательства,
контроль качества
• Тесты вторжений, инфильтрация
ботнетов, реинжениринг malware,
исследования уязвимостей
Выгоды
• Best Practices по сетевой
безопасности и техники ухода
от атак
• Взгляд в тенденции и будущее
• Контроль качества, снижение
уровня ложных срабатываний
• Круглосуточная работа
• Работа в 5 центрах 24x7x365
• 95% of Internet languages covered
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
15
- 16. Динамические обновления
Автоматизированная безопасность
Обновления
Cisco Security
Intelligence
• Cisco устройства запрашиваютOperations
обновления раз в 3-5 мин
• 8M+ правил в день
• Обновления репутации – защита
Benefits
• Снижение времени окна
«небезопасности»
• Минимизация затрат на
управление
в реальном времени
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
16
- 17. Что такое репутационная безопасность?
Реаутационная безопасность возвращает числовое
значение уровня доверия к объекту, что позволяет
устройству предпринять действие, предписанное
политикой.
Репутация строится на трех вещах:
Оценки 3-х сторон
© 2011 Cisco and/or its affiliates. All rights reserved.
Наша оценка (данные SensorBase)
Сложная модель, которая возвращает значение в
реальном времени
Cisco Confidential
17
- 18. Что такое имитационная репутация?
Корреляция и объединение миллиардов кусочков информации в одно значение
Spam, phishing,
virus reports
SpamCop, ISPs,
customer
contributions
Message size,
attachment volume,
attachment types,
URLs, host names
SpamCop, SpamHaus (SBL),
NJABL, Bonded Sender
Complaint
Reports
IP Blacklists &
Whitelists
Domain Blacklist
& Safelists
Spamvertized URLs,
phishing URLs,
spyware sites
Compromised
Host Lists
Spam Traps
SORBS, OPM,
DSBL
Web Site
Composition
Data
Message
Composition
Data
Global Volume
Data
Downloaded
files, linking
URLs, threat
heuristics
Other Data
Over 100,000
organizations,
email traffic,
web traffic
Fortune 1000, length of
sending history, location,
where the domain is
hosted, how long has it
been registered, how
long has the site been up
Verdict
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
18
- 19. Обработка email
Богатые возможности по контролю и управлению.
Соответствия:
Anti-Spam:
• Content Filters
• Smart Identifiers
• Weighted Content Dictionaries
• SIO Reputation Filtering
• Cisco Anti-Spam
Входящая безопасность
Anti-Virus & Targeted Attack:
• Outbreak Filters
• McAfee Anti-Virus
• Sophos Anti-Virus
Cisco Email
Security
Исходящий контроль
Защита и надежность:
• Secure Message Delivery
• Transport Layer Security
Cloud
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
19
- 20. Защита от спама защита в деталях
WHAT
Whitelisted is delivered
WHEN
WHO
SBRS
Поддерживается
SIO
Cisco
Anti-Spam
Политики
Нормальная почта
идет на антиспам
фильтр
Почта с разной
репутацией
Подозрительная идет
на антиспам фильтр и
ограничивается
Известная плохая
блокируется перед
входом в сеть
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Blacklisted
email is
dropped
WHERE
HOW
• > 99% Catch Rate
• < 1 на 1 ложных
срабатываний
Cisco Confidential
20
- 21. Архитектура антиспам
Обнаружение маркетинговых сообщений
Securing The Web
Gateway In The World Of
Web 2.0
EDITOR'S CORNER
Does Web 2.0 have legitimate business applications? If so, how can business
the news with you first. Think you
take advantage of its unique capabilities? In this Q&A, Gene Hodges, CEO of
know Websense? If you've been a
Anticipation
Big changes are happening at
Websense, and as a loyal subscriber
to our newsletter,
WebsenseConnect, I want to share
Websense, shares his insights on the risks, rewards, and future of Web 2.0 and Websense (or SurfControl) customer
the secure Web gateway.
for years, be prepared for a big
BUSINESS FOCUS
APPLICATION FOCUS
MOREsurprise—we
With 40,000 new blogs cropping up
are way more than
Web security.
Business Blogs, Vapid Web 2.0 Ready for
or Vital?
Prime Time?
MORE
QUICK LINKS
Web 2.0 makes many promises, but
PRODUCT TIP OF THE MONTH
CUSTOMER TRAINING
every day, it begs the question—is there managers are stumped about how to use EVENTS
a business benefit to blogging? And with it to drive growth and profits. With
the blogosphere already inconceivably
SUPPORT
companies like Google, IBM, and Adobe WEBSENSE NEWS
SUCCESS STORY
immense, how can one company stand creating software for commercial use of
out? Learn how enterprises such as
Web 2.0, businesses are poised to make
Furniture
General Motors have made their mark,
the leap. Learn more about the new
and how you can too, in this
applications and how your business can
Furniture retailer WS Badcock
Seller
Tables Threats
BusinessWeek story about social media get up to speed in this ChannelWeb
Corporation is taking aggressive
and business.
measures against emerging Internet
review.
MORE
LATEST NEWS
MORE
threats. Aware
OLYMPIANS CONNECT WI TH FANS THROUGH BLOGS
that current attacks
are focused on secretly stealing
information rather than the highly
visible and public "bring down the
ACQUISITION HELPS READY INTERNET SECURI TY SOFTWARE FIRM FOR WEB 2.0
network" attacks, the company
selected Websense Email Security
THE 2008 SUMMER OLYMPICS: THE MOST DIGITAL OF ALL
because of its ability to stop spam
and viruses and prevent confidential
MANAGING ACCESS TO FACEBOOK: A GOOD IDEA?
information from leaving the
organization through email.
X
Privacy Policy
At Buy.com, your privacy
is a top priority. Please
read our privacy policy
details.
…
All information collected
from you will be shared
with Buy.com and its
affiliate companies.
Не спам – автоматическая подписка и работающая отписка
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
21
- 22. Anti-Virus и целевые атаки
Эшелонированная оборона
Несколько антивирусов
Фильтрация,
используя один или
два механизма
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Outbreak Filters
Целевые атаки нулевого дня и
защита от вирусов
Cisco Confidential
22
- 23. Friend
paul@email.com
Request for Review
Paul,
I forward my thesis to you for review.
Please open it and provide comments.
www.Personal Site.com/Thesis_Draft.pdf
Hope all is well since Verizon.
Best regards,
Friend
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
23
- 24. Архитектура защиты от целевых атак
Cisco Email Security блокирует репутационными, malware и outbreak фильтрами
?
?
?
??
?
?
Reputation Filters Malware Scans
?
Outbreak Filters
>99% Catch Rate
Block 90%
of Spam < 1/1M False Positives
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
24
- 25. Outbreak фильтры в действии
Перед
http://www.threatlink.com/
Friend
paul@email.com
Request for Review
Paul,
После
http://secure-web.cisco.com/auth=X&URL=www.threatlink.com
I forward my thesis to you for review.
Please open it and provide comments.
www.Personal Site.com/Thesis_Draft.pdf
Hope alls well since Verizon.
Best regards,
Friend
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
25
- 26. Cisco SIO – использование Cloud Web
Security
7M
Updates per Day
1Tb
Threat Telemetry
Identified: Targeted Attack
Content: Malware Payload
Vector: Email
Action: Blocked
Friend
paul@email.com
Request for Review
Paul,
I forward my thesis to you for review.
Please open it and provide comments.
www.Personal Site.com/Thesis_Draft.pdf
Hope alls well since Verizon.
Best regards,
Friend
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
26
- 27. Cisco Outbreak Filters защищают от целевых атак
http://secure-web.cisco.com…
Malware
Загрузка заблокирована
Cisco Security
The requested web page
has been blocked
http://www.threatlink.com
Cisco Email and Web Security protects your
organization’s network from malicious software.
Malware is designed to look like a legitimate email
or website which accesses your computer, hides
itself in your system, and damages files.
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
27
- 28. Outbreak filters защищают от смешанных атак
Интеграция email и web безопасности
Чисто
Нажали на линк
Website is
blocked
Cisco SIO
Cisco Security
The requested web page
has been blocked
http://www.threatlink.com
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Динамическая
инспекция в
реальном времени
через HTTP
Cisco Email and Web Security protects your
organization’s network from malicious software.
Malware is designed to look like a legitimate email
or website which accesses your computer, hides
itself in your system, and damages files.
Cisco Confidential
28
- 29. Исходящая email безопасность
Поддержка конфиденциальности и достпности
Ограничение потока
по Mail From
Антиспам
Предотвращение
утечек
Outbound
Control
TLS шифрование
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
DKIM/SPF
Антивирус
Шифрование
конверта
Гарантированная
безопасная доставка
Cisco Confidential
29
- 30. For
Your
Referen
ce
Немного технологии
Политики обработки
SMTP
Receiver &
Rep.Filters
Message
Filters
AntiSpam
AntiVirus
Content
Filters
Outbreak
Filters
SMTP
Client
HAT
limits
• Разные получатели – разные политики.
• Сообщение разделяется (message splintering)
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
30
30
- 31. Фильтры содержимого. Проверка и действие
Что можно предпринять
-
Отправить сообщение в карантин (или скопировать)
Отправить скрытую копию
Уведомить кого-либо
Удалить прикрепленный файл в зависимости от типа
Перенаправить сообщение
Вставить или удалить заголовок
Добавить подпись
Пропустить обработку фильтром вирусных атак
-
Отправить «рикошетное» сообщение , или
сбросить сообщение , или
Доставить сообщение, или же
Зашифровать и доставить
И
© 2011 Cisco and/or its affiliates. All rights reserved.
Что можно проверить
-
Тело или прикрепленный файл сообщения
Тело сообщения
Размер сообщения
Содержание прикрепленного файла
Информацию о прикрепленном файле
Защищенность прикрепленного файла
Тема письма
Любой заголовок письма
Отправитель письма
Получатель письма
Принимающий IP
IP, отправляющий письмо
Значение репутации
Аутентификация DKIM
Проверка SPF
Cisco Confidential
31
- 32. Content Filters
Проверка содержимого письмаВсесторо
Множество опций реагирования –
шифрование, карантин, сброс,
рикошет, BCC, удаление контента
Подозрительный контент
подсвечивается в карантине для
простоты анализа
Репортинг по политикам и по
пользователям
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
32
- 33. Data Loss Prevention
Всеобъемлюющее, точное и простое
Всеобъемлюющее
Глобальный
просмотр
политик и
правил
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Точное
Высокий уровень
обнаружения. Мало
ложных
срабатываний
Простое
Простая настройка
фильтра и правил
реагирования
Cisco Confidential
33
- 34. Точный глубокий анализ
Need updated
screenshots
SSN detection
Proper name detection
Matches are found
in close proximity
Rule is matched multiple
times to increase score
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Unique Rule Matches Are Met
Cisco Confidential
34
- 35. Широкое покрытие политками
100+ политик обеспечивают очень широкое покрытие
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
35
- 36. Интеграция с RSA Enterprise Manager
Интеграция ESA в Enterprise DLP среду
В решении Enterprise DLP
ESA заменяет:
Cisco Email Security
Appliance
• SMTP Interceptor
• Encryption Server
• SMTP Smart Host
Интеграция приносит:
• Новые политики
Cisco Email Security
Appliance
• Fingerprinting
• Управление политиками
• Правила реагирования
• Расследования и многое другое
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
36
- 37. Аутентификация Email
DKIM и SPF (Domain Keys Identified Management и Sender Policy Framework)
• Как отправитель:
‒ Избегайте подделки ваших сообщений
‒ Увеличьте репутацию
‒ Не попадайте в черные списки
Verified
From: Your_Company.com
From:Your_Company.com
Your Company
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
DNS
ISP
Cisco Confidential
37
- 38. Технологии аутентификации E-mail
Domain Keys Identified Mail (DKIM) – RFC5585 et al.
• Технология с открытым ключом, обеспечивающая целостность, аутентификацию и
незоможность отказа от авторства
• Информация сохраняется в заголовке письма
• Проверочный ключ получается из DNS
Получатель
Отправитель
• Создание пары
ключей
• Публикация в
DNS public key
Отправитель
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
• Подпись
исходящего
сообщения
• Прием
подписанного
сообщения
• Получение
ключа из DNS
Получатель
• Использование
ключа и данных
подписи для
проверки
содержимого
сообщения
Cisco Confidential
38
38
- 39. Технологии аутентификации E-mail
Sender Policy Framework (SPF) – RFC4408
• Простая, основанная на DNS технология защиты от спуфинга
• Перечисление всех легитимных SMTP шлюзов для домена; предоставление
информации, что делать с отправителями, которые находятся не в списке (“-”: hard
fail; “~” soft fail)
• Не предоставляет целостности (чувствителен к MitM) или невозможность отказа
Отправитель
• Перечисляет все
легитимные
SMTP шлюзы в
записи DNS
Отправитель
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
• Просто
посылает
сообщение
Получатель
• Проверяет DNS
SPF запись во
время SMP
сессии
Получатель
• Обраратывает
письмо, если с
записью все в
порядке
Cisco Confidential
39
39
- 40. “My opinion is that any company which does
not know where their SMTP servers are has
to commit seppuku in front of the building
starting from CIO. DNS administrators can
prove their loyalty by cutting one finger from
their right hand.”
Член команды поддержки Email
Очень Большая Корпорация, заказчик Cisco Email Security.
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
40
- 41. Еще про управление
Как защититься от внутренних угроз?
Alert
Admins
Rate Limit по
Mail From
Anti-Spam
Anti-Virus
Не попадайте в черные списки
Остановите вредоносный трафик
Знайте, какие машины/пользователи виновны
Объединяйте с Outbreak Filters для полной
безопасности
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
41
- 42. Простота управления
Backup SMA
Централизованное управление/кластеризация
Reporting
Message Tracking
SMA
Quarantines
ESA устройства
•
ESA переводятся в режим «кластера»
•
В «кластере» все устройства равнозначны
•
Подключение к любому устройству в кластере и
внесение изменений будет мнгновенно
отображено на других устройствах кластера
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
42
- 43. Полный обзор
Унифицированные бизнес-отчеты
Consolidated and Custom Reports
Multiple data points
• Простой просмотр
потоков почты в
организации
• Отчеты в режиме
реального времени как
для email, так и для
угроз
• Иерархическая модель
очетов.
• Email Volumes
• Spam Counters
• Policy Violations
• Virus Reports
• Outgoing Email Data
• Reputation Service
• System Health View
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
43
- 44. Просмотр деталей обработки
Message Tracking
Что случилось с письмом, которое я два
часа назад отправил?
̶
Отслеживание индивидуальных
сообщений
Кто еще получал подобные сообщения?
̶
Исследования для гарантии
соответствия
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
44
- 45. Cisco – это абсолютный лидер в Gartner, Inc.’s Secure Email Gateways
Magic Quadrant
Leadership with Choice
• High efficacy, solid scalability/reliability
• Consolidated malware research
• Substantial product improvements
• Email and web security synergies
• Investment in cloud offerings and
infrastructure
This Magic Quadrant graphic was published by Gartner, Inc. as part of a
larger research note and should be evaluated in the context of the entire
report. The Gartner report is available upon request from Cisco.
The Magic Quadrant is copyrighted 2012 by Gartner, Inc. and is reused
with permission. The Magic Quadrant is a graphical representation of a
marketplace at and for a specific time period. It depicts Gartner's analysis of
how certain vendors measure against criteria for that marketplace, as
defined by Gartner. Gartner does not endorse any vendor, product or
service depicted in the Magic Quadrant, and does not advise technology
users to select only those vendors placed in the "Leaders" quadrant. The
Magic Quadrant is intended solely as a research tool, and is not meant to
be a specific guide to action. Gartner disclaims all warranties, express or
implied, with respect to this research, including any warranties of
merchantability or fitness for a particular purpose.
Magic Quadrant for Secure Email Gateways
August 15, 2012. Peter Firstbrook, Eric Ouellet.
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
45
- 46. Cisco Web Security
Deep Dive
Павел Родионов
Cisco Systems, Системный инженер, EMEAR Security
July 2013
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
46
- 47. Безопасность Web – ставки выше, чем когда-либо
Зксплоиты
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Кражи и
шпионаж
Прерывание
работы
Cisco Confidential
47
- 48. Web страницы содержат скрытые угрозы
• Flash
• Java
• JPG
• PDF
• Script
Potential
threats
• .exe
• Etc.
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
48
- 49. Потеря производительности – это тоже угроза
Сколько полосы пропускания занимает ежедневно Web 2.0?
Facebook time:
2,110,516 minutes or
35,175 hours, 1465
days, 4.1 years!
# of Facebook likes:
3,925,407 at 1 second a
like that’s almost 1100
hrs/day or 45 days just
liking things!
Bytes on YouTube
video playback:
11,344,463,363,245
or 10 TB
Pandora:
713,884,303,727
or .6 TB
Total browse time for
the day:
2,270,690,423 or
4,320 Years.
Total bytes for the day:
70,702,617,989,737
or 64 TB over 15% from
YouTube!
Source: Cloud Web Security Report
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
49
- 50. Мы можем помочь. Cisco Web безопасность
обеспечивает…
Сильную защиту
Защита каждого устройства, везде, в любое время
Полное управление
Управление Web трафиком для всех устройств
Защита инвестиций
Предоставление больше за ваши инвестиции
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
50
- 51. Cisco Web безопасность обеспечивает сильную защиту
WWW
URL Фильтрация
WWW
Block
Репутационный фильтра
WWW
Block
Динамический анализ (DCA)
WWW
Block
Сигнатурные anti-malware движки
WWW
Block
Время
запроса
Cisco® SIO
Время
ответа
Анализ в Sandbox real-time
WWW
Allow
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
WWW
Warn
WWW
cws
Partial
Block
WWW
Block
Cisco Confidential
51
- 52. Cisco Security Intelligence Operations (SIO)
Выдающийся глобальный облачный механизм безопасности
24x7x365
More than US$100 million
600+
operations
spent on dynamic research and development
engineers, technicians, and researchers
40+
80+
languages
PH.D., CCIE, CISSP, AND MSCE users
Cisco® SIO
WWW
IPS
Networks
Web
Endpoints
Visibility
Информация
Devices
обновления
Email
Cisco CWS
Cisco
IPS
Cisco
AnyConnect®
WWW
Cisco ESA Cisco ASA Cisco WSA
Control
3- to 5-
200+
minute updates
parameters tracked
1.6 million
35%
global sensors
worldwide email traffic
100 TB
13 billion
5,500+
70+
of data received per day
web requests
IPS signatures produced
publications produced
150 million+
8 million+
deployed endpoints
rules per day
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
52
- 53. Cisco Web Usage Controls
URL фильтрация и динамический анализ контента
WWW
WWW
WWW
Если не знаем -анализ
1. Скан текста
2. Определение
релевантности
Warn
WWW
URL Database
Allow
Block
Если знаем
3. Вычисление близости к
эталонным документов
Finance
Adult
4. Наиболее близкое
совпадение категории
Health
Finance
Adult
Health
5. Применение
политики
WWW
Allow
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
WWW
Warn
WWW
Partial
Block
WWW
Block
Cisco Confidential
53
- 54. Анализ репутации
Мощь контекста в реальном времени
-10
-9
-8
-7
-6
-5
-4
-3
-2
-1
0
1
2
3
4
5
6
7
8
9
10
IP Значение репутации
Who
Where
How
When
Suspicious
example
Example.org
192.1.0.68
17.0.2.12
Domain Owner
.com
Server in High
San Jose
London
Beijing
Kiev
Risk Location
Dynamic IP
HTTPS
HTTP
SSL
Address
Domain
Web server
Registered
< 1 Month
<>12Month
< 1 Year
Min
010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 011
0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 1
0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 011
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
54
- 55. Сканирование Malware в реальном времени
Dynamic vectoring and streaming
Сигнатурный и эвристический анализ
Эвристическое обнаружение
Несколько
движков AntiMalware
Сигнатурная проверка
Оптимизация эффективности и уровня
обнаружения с интеллектуальным мультисканированием
•
Расширенное покрытие несколькими
механизмами
Идентификация зашифрованного вредоносного
трафика с помощью перехвата, расшифровки и
сканирования SSL трафика
•
Улучшение впечатления пользователя
благодаря параллельному потоковому
сканированию для более быстрого анализа
•
Anti-Malware сканирование
•
•
Необычное поведение
Всегда самые свежие сигнатуры благодаря
автоматическим обновлениям
Идентификация известного поведения
Параллельное, потоковое сканирование
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
55
- 56. Анализ в Sandbox в реальном времени для определения атак
нулевого дня
Анализ каждого объекта на странице (CWS only)
Эмуляция в реальном времени
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
56
- 57. Cisco Web Security предлагает полное управление
Application Visibility and
Control (AVC)
Data Loss Prevention (DLP)
Policy
Admin
Threat Protection
Cisco Web Usage Controls
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
WWW
Centralized
Management &
Reporting
Allow
WWW
Partial
Block
User
WWW
Block
Cisco Confidential
57
- 58. Правила применения в сегодняшнем Web
Снижение уровня «расстроенности» пользователей
URL фильтрация
Application Visibility and Control (AVC)
• Управление
1,000+ Apps
приложениями Web
2.0
• Политика для
http://
• База данный URL –
более 50 млн сайтов
• Динамическия
категоризация для
неизвестных URL
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
+
работы с
приложениями
150,000+
Micro-Apps
• Поведение внутри
приложений
• Обзор деятельности
в сети
Application
Behavior
Cisco Confidential
58
- 59. Безопасный поиск и рейтинг контента
Более глубокий контроль приложений
Безопасный поиск
Предотвращение обхода политики с помощью
поисковиков
Гарантия того, что поисковые механизмы вернут
результат, в котором нежелательный контент
отфильтрован
Настройка – один клик
Поддержка: Google, Bing, Yahoo, Yandex. Дальше
-- болше
Рейтинг сайтов
Блокирование нежелательного контента
на разных сайтах
Основано на метаданных, а не на
анализе файлов
Поддержка: Flickr, Craigslist, YouTube
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
59
- 60. Предотвращение утечек данных
Снижение риска утечки чувствительной информации
Базовый DLP
CWS
Cloud
Базовый DLP
WSA
On-Premises
Расширенный
DLP
Интеграция DLP
по ICAP
протоколу
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
WSA
+
DLP вендор
Cisco Confidential
60
- 61. Централизованное управление и отчетность
Complete solution for on-premises or cloud
Централизованное
управление
Управление
политиками
Централизованная
отчетность
Делегированное
администрирование
Просмотр угроз
Возможности расследования
Внутри
Управление
Обзор
Угрозы, данные, приложения
Общие политики между офисами и
удаленными пользователями
Разные устройства, сервисы, сетевые
уровни
Анализ, исправление и переработка политик безопасности
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
61
- 62. Cisco Web Security предлагает защиту инвестиций
Правильное развертывание
Бесшовная интеграция
Network
Team
HR
Превосходная поддержка и
сервисы
CIO/CISO
Finance
Admin
Низкий TCO
Защита мобильных пользователей
Security
Team
IT
Manager
Надежность
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
62
- 63. Гибкие опции развертывания
On and Off Premise
Облако
On-premises
Опции
развертывания
Appliance
Virtual
Next Generation
Firewall
Router
Firewall
Roaming
Cloud
Коннекторы/перен
аправление
Router
Firewall
Appliance
Implicit
Explicit
Roaming
Опции
клиента
Implicit
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Explicit
Cisco Confidential
63
- 64. Интегрированное решение для упрощения развертывания
Appliance
Internet
Firewall
Internet
Internet
Firewall
Web Proxy
Malware
Traditional Appliances
Cisco Web Security
Appliance
URL Filtering
Policy Management
Reporting
Users
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Users
Cisco Confidential
64
- 65. Cisco Web Security Virtual Appliance
Appliance
Выгоды
WSAV
+
+
Cisco UCS
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
• Выбор форм-фактора
• Гибкость развертывания
• Ценовая модель – подписка
Варианты использования
• Региональный офис
• Пики трафика
• Инициатива облака/виртуализация
Cisco Confidential
65
- 66. Защита мобильных пользователей
Cisco AnyConnect Secure Mobility Client
Web пользователи
Cisco
AnyConnect™
Client
Пользователи
с ноутбуками
Перенаправление
Web трафика
Web Security
Location
Направляет
WWW
ACWS трафик на
ближайший Web
прокси
Allow
CWS applies web
security features
Client installed on machine
VPN
WWW
Пользователи с
телефонами, лаптопами,
планшетами
VPN
Трафик
через
VPN
попадает
в HQ
Warn
WWW
Перенаправление
трафика в WSA
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Вердикт
WSA применяет
политики
Block
Cisco Confidential
66
- 67. В сегодняшнем открытом, объединенном и невероятно
мобильном мире Cisco Web Security предоставляет …
Сильную защиту
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Полное
управление
Ценность
инвестиций
Cisco Confidential
67