cisco email & web security
TRANSCRIPT
1 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Email & Web Security Обзор технологии и функционала
2 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Малый и средний бизнес, филиалы
Кампус Центр обработки данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active Directory
Беспроводная сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAv ASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Аналитический центр Talos
Удаленные устройства
Доступ
Облачный шлюз
безопасности
Облачный шлюз
безопасности
Матрица ASA, (сеть SDN)
АСУ ТП
CTD
IDS RA
МСЭ Беспроводная
сеть
Коммутатор
Маршрутизатор
Сегментация Мониторинг
Архитектура ИБ Cisco
3 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Эволюция угроз, связанных с Email: Снаружи Входящие
угрозы
?
Завтра
Низкие объемы Высокая стоимость
Сегодня
Большие объемы Низкая стоимость
Вчера
Целевые атаки
Targeted Phishing
Covert, Sponsored Targeted Attacks
Blended Threats
Advanced Persistent Threats
Фишинг Спам
Attachment-based
Slammer
Worms
Network Evasions Polymorphic Code
Code Red Image Spam
Вирусные атаки
Custom URL
Botnets Conficker
Stuxnet
???
4 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Эволюция угроз, связанных с Email: Изнутри
? Завтра
Небольшие объемы Слабое влияние
Вчера
Исходящая
Высокие объемы Сильное влияние
Сегодня
Доступ к почти из любой точки
Соответствие
Потери активов заказчика
HIPAA
State regulations
Brand Social security numbers
PCI Credit card numbers
Интеллектуальная стоимость
Product-planning documents
Data breaches
Corporate espionage
Trade secrets
Legal documents
4
К 2015, доступ с более 7 млрд мобильных устройств
Использование
Доступ к почте только из-за корпоративного МЭ
Меняющееся законодательство
European Union laws
State laws Federal laws
Province laws
5 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco – это многолетний лидер в квадранте Gartner Secure Email Gateways
Gartner’s Magic Quadrant for Secure Email Gateways Peter Firstbrook and Brian Lowans, July 2, 2013.
This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from this URL. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
Abi
lity
to E
xecu
te
Completeness of Vision
Challengers Leaders
Niche Players Visionaries
Cisco
Microsoft
Websense Mimecast
McAfee
Sophos Barracuda Networks
Trend Micro
Clearswift Sophos
Fortinet
SilverSky
Dell
Gartner MQ: Secure Email Gateway – Август 2013
Proofpoint Symantec
Trustwave
Watchguard
6 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Защита от угроз Cisco Email Security Полная защита входящих
Cisco® SIO
Репутационные фильтры SenderBase
Антиспам
Сигнатурный антивирус & AMP
Фильтры Outbreak
Анализ URL в реальном времени
cws
Доставка Карантин Перезапись URLs Сброс
Сброс
Сброс/Карантин
Сброс/Карантин
Карантин/Перезапись
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 7
§ Репутационная безопасность возвращает числовое значение уровня доверия к объекту, что позволяет устройству предпринять действие, предписанное политикой.
§ Репутация строится на трех вещах: § Наша оценка (данные SensorBase) § Оценки 3-х сторон § Сложная модель, которая возвращает значение в
реальном времени
Что такое репутационная безопасность?
8 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco SenderBase: База данных Email репутации
Complaint Reports
IP Blacklists and Whitelists
Domain Blacklist and Safelists
Compromised Host Lists
Website Composition Data
Other Data Global Volume Data
Message Composition Data
Spam Traps
+10 0 -10
IP Reputation Score
Выгоды • Полный динамический обзор угроз • Понимание уязвимостей и технологий • Просмотр наиболее опасных атак • Последние техники и тренды атак
Знание об угрозах • Более 1,6 млн устройств • Библиотека о 40 тыс угроз • 35% глобального email трафика • 13B+ web запросов • 200+ параметров отслеживается • Мультивекторный обзор
9 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Динамические обновления Автоматизированная защита
Обновления Преимущества
• Cisco устройства запрашивают обновления раз в 3-5 мин
• 8M+ правил в день
• Обновления репутации – защита в реальном времени
• Снижение времени окна «небезопасности»
• Минимизация затрат на управление
Cisco® SIO
10 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Антиспам
Whitelisted is delivered
Нормальная почта идет на антиспам фильтр Подозрительная идет на антиспам фильтр и ограничивается • > 99% Catch Rate
• < 1 на 1 ложных срабатываний
Известная плохая блокируется перед входом в сеть
Почта с разной репутацией
SBRS
Поддерживается SIO
Blacklisted email is dropped
WHAT
Cisco Anti-Spam
WHEN WHO
HOW WHERE
Политики
11 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Многократная проверка
Хорошая, плохая, неизвестная
Сброс
IronPort Anti-Spam
Engine
Anti-Spam Engine B
Anti-Spam Engine (Future)
IronPort Anti-Spam
Engine
Доставка
Intelligent Multi-Scan
Results
12 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Intelligent Multi-Scan Лучшее из двух миров – выше уровень срабатывания, ниже уровень ложных срабатываний
Greater Spam Detection…with Cisco-Leading FP Rate
+Engine A
+Engine B
MS Улучшение
IMS улучшение
.20%
.10%
Cisco 99.60% 1 in 1 Million
18 in 1 Million
21 in 1 Million
Multi-Scan 40 in 1 Million 99.90%
.30% -4000%
Intelligent Multi-Scan 1.2 in 1 Million 99.90%
- 20% .30%
False Positives Catch Rate
13 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Маркировка сообщений Обнаружение маркетинговых сообщений
§ Опции для доставки, карантина, сброса, отбивки
§ Включено в отчеты
14 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Защита от вирусов в деталях
Антивирусные механизмы
Выбор антивирусных движков
Outbreak фильтры
Защита от вирусов и фишинга 0 дня
15 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Фильтры Cisco Data Security Outbreak Защита от Malware 0 дня
Virus Filter
Динамический карантин Cisco® SIO
Выбор антивирусов
Антивирусы Фильтры Outbreak в действии
Защита от вирусов и фишинга 0 дня
Преимущества Outbreak Filters • Среднее время опережения: 13 часов • Заблокировано атак: 291 • Общее время защиты: 157 дней
16 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Защита Cisco от Zero-Hour Malware Advanced Malware Protection
Облачное обнаружение вредоносного ПО Zero-
Hour
Advanced Malware Protection Outbreak Filters
Обнаружение вредоносного ПО и вирусов Zero-Hour на
базе телеметрии
Файловая репутация
Файловая песочница
Известная репутация файла
Неизвестный файл отправляется в песочницу
Обновление репутации Интеграция
Sourcefire AMP
17 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Основные функции AMP на Cisco Email и Web Security
File Sandboxing
Анализ поведения неизвестных файлов
File Retrospection
Ретроспективный анализ после атаки
File Reputation
Блокирование вредоносных файлов
18 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
За горизонтом события ИБ
Антивирус Песочница
Начальное значение = Чисто
Точечное обнаружение
Начальное значение = Чисто
AMP
Пропущены атаки
Актуальное значение = Плохо = Поздно!!
Регулярный возврат к ретроспективе Видимость и контроль – это ключ
Не 100% Анализ остановлен
Sleep Techniques Unknown Protocols
Encryption
Polymorphism
Актуальное значение = Плохо = Блокировано
Ретроспективное обнаружение, анализ продолжается
19 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Интеграция механизмов контроля e-mail и web
Сайт чистый Клик на ссылку
Website is blocked Cisco Security
The requested web page has been blocked
http://www.threatlink.com Cisco Email and Web Security protects your organization’s network from malicious software. Malware is designed to look like a legitimate email or website which accesses your computer, hides itself in your system, and damages files.
Динамическая инспекция HTTP в реальном времени
Cisco SIO
20 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Блокирование фишинговых атак и скрытых угроз
Репутационный фильтр
Спам-фильтр
Анализ контента сообщение
Черные списки
Защита от спуфинга
Блокирование неожидаемых сообщений
Перенаправление подозрительных ссылок для анализа и выполнения в
защищенное облако Фильтрация плохих URL базируется на репутации web и категориях
21 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Email Security обеспечивает прекрасный контроль над исходящим потоком
Encrypt Sensitive Data
Compliance/ DLP
Sender
Rate Limiting Outbound
Recipient
AS/AV Checks DKIM/SPF
22 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Ограничение исходящего потока Ограничение по Mail From:
1-100 Emails 101-1000 Emails
Alert admin when limit is hit
• Для отдельных отправителей пороговое значение может быть увеличено
• Пользователь отправляет 100 писем в час
Typical User
Known High Volume Sender
• Получение предупреждений об отправителях с очень большими объемами сообщений
Admin
• Администратор устанавливает порог для отдельных пользователей
Policy !
!
Malicious Sender
23 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Сдерживание почты от инфицированных пользователей
Держитесь подальше от черных списков
• Остановите вредоносное и неправильное использование систем
• Знайте, кого надо изолировать • Объединяйте к Outbreak Filters для двусторонней защиты
Anti-Virus Anti-Spam (Intelligent Multi-Scan)
Ограничение по Mail From
Предупредить
!
24 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
DLP и соответствия Отдельное или часть общего решения DLP
RSA DLP на устройстве Интегрируется с RSA Enterprise DLP
Data Loss Prevention
Инциденты Политики
• Email Uptime • Threat Prevention • Email Scanning • Policy Enforcement
• Определение Risk Policy
• Расследование инцидентов
• Fingerprinting
Точный, простой, расширяемый
25 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Примените политики шифрования TLS на основе Mail From
• Защита чувствительных данных • Запрет на отправку данных в открытом виде
Ваша компания Cisco ESA
26 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Любой может прочитать сообщение
Нет гарантированного отзыва сообщения
Нет управления процессом отправки
TO
CC
SUBJECT
У традиционной Internet почты есть ограничения
Confidential Email
Read Receipt
Guaranteed Recall
Secure Reply and forward
TO
CC
SUBJECT
27 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Envelope Encryption Просто отправителю
• Автоматическое управление ключами • Не требуется дополнительное ПО • Прозрачная отправка на любой адре • Шифрование инициируется -- Keywords | Policies | Senders | Recipients
| etc.
Cisco Email Security Appliance
Recipient Sender Controls
Message Key
28 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Просто получателю
Подтвердите идентичность
2
Корпоративная учетная запись(opt)
Cisco Registered Envelope Service
Откройте аттач
1
Посмотрие сообщение
3
29 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• Блокирование фишинг и спуфинг атак
• Применяйте более либеральные политики к аутентифицированным внешним источникам
Your Company
DKIM и SPF Аутентификация Email
DNS Server
SIGNED
SIGNED ü Verified Trusted_Partner.com
Trusted_Partner.com
Imposter Cisco ESA
Drop/Quarantine
30 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• Не дайте подделать ваши сообщения
• Защитите свою репутацию
• Не попадайте в черные списки
Your Company ISP
Аутентификация почты DKIM и SPF
DNS Server
Public
From: Your_Company.com From: Your_Company.com
SIGNED
From: Your_Company.com
SIGNED ü Verified
Cisco ESA
31 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Email Security. Администрирование
Admin
Отчетность Message Tracking Управление
32 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Detailed Message Tracking Drill Down Reporting
Простое управление и мониторинг
33 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Обзор обработки Email Message Tracking
Что случилось с письмом, которое я отослал 2 часа назад?
Можно проследить индивидуальные сообщения
Кто еще получил похожие сообщения?
Расследования для гарантии соответствия
34 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Поддержка IPv6 Защита от увеличивающегося количества IPv6 угроз для систем Email
• Поддержка: IPv4/IPv6 адреса– single или dual stack – с Anti-Spam, Anti-Virus, Content Filters, DLP, Encryption,
• Преобразование: IPv6 вход, IPv4 выход… или наоборот
• Полная поддержка отчетности и Message Tracking
IPv6 адреса
Ваша система безопасности может правильно фильтровать контент с IPv6 адресами?
35 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• Email Volumes
• Spam Counters
• Policy Violations
• Virus Reports
• Outgoing Email Data
• Reputation Service
• System Health View
• Простой просмотр потоков почты в организации
• Отчеты в режиме реального времени как для email, так и для угроз
• Иерархическая модель очетов.
Multiple data points Consolidated and Custom Reports
Полный обзор Унифицированные бизнес-отчеты
36 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Новая версия ESA AsyncOS 8.5.x
• Фильтры по объему/времени Управление большими потоками email
• Улучшения Outbreak Filters Усовершенствованное управление и отчетность
• Интеграция Webcat и WBRS URL репутация для email URL категоризация для email
• Усовершенствование управления SL/BL
• UI улучшения Усовершенствование задач Соответствие CLI / UI
• Локализация PXE Envelope UI на 11 языках Настраиваемая опция*
• Усовершенствование телеметрии Стохастическая выборка
37 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Web категоризация и поддержка URL
• Используйте Content фильтр для поиска соответствия в категориях URL
• Используйте «белый список» URL для того, чтобы не проверять некоторые URL
38 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Web категоризация и поддержка URL
• Система Message Tracking усовершенствована и включает возможность искать по URL категориям
39 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
High Volume Mail Management (HVMM)
• Полный обзор атак HVM, Top отправителей, и совпадения с Threshold Filter
• Фильтр базируется на поле «Тема» или же на отправителе конверта
• Используется как для входящего, так и для исходящего контроля • Эффективно для блокирования больших объемов почты и спама
(UI Mockup)
• Быстрое обнаружение скомпрометированных учетных записей, которые отправляют большие объемы спама.
• Поддержка в Message Tracking
40 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ESA v9.0 – Новый функционал!
• Поддержка sandboxing для новых типов файлов
• Карантин для Malware
• Anti Snowshoe
• S/MIME подпись и шифрование
• Поддержка больших дисков
• Гибкое распределение разделов на диске
• AsyncOS API
• Поддержка Virtual SMA
• Поддержка сложных политик
• Гибкая настройка системы уведомления о спаме
• Block page white labeling
41 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Варианты исполнения Cisco Email Security
Выгоды от виртуализации • Выбор форм-фактора • Гибкость развертывания • Ценовая модель – подписка
Варианты использования • Региональный офис • Пики трафика • Инициатива облака/виртуализация
Cisco E-mail Hosted Security Cisco UCS
+
+
ESAV
42 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Зксплоиты Кражи и шпионаж Прерывание работы
Безопасность Web – ставки выше, чем когда-либо
43 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Web страницы содержат скрытые угрозы
• Flash • Java
• JPG
• Script
• .exe
• Etc.
Potential threats
44 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Facebook time: 2,110,516 minutes or 35,175 hours, 1465 days, 4.1 years!
# of Facebook likes: 3,925,407 at 1 second a like that’s almost 1100 hrs/day or 45 days just liking things!
Bytes on YouTube video playback: 11,344,463,363,245 or 10 TB
Pandora: 713,884,303,727 or .6 TB
Total browse time for the day: 2,270,690,423 or 4,320 Years.
Total bytes for the day: 70,702,617,989,737 or 64 TB over 15% from YouTube!
Потеря производительности – это тоже угроза Сколько полосы пропускания занимает ежедневно Web 2.0?
Source: Cloud Web Security Report
45 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco – это лидер в квадранте Gartner для Secure Web Gateways
Gartner’s Magic Quadrant for Secure Web Gateways Lawence Orans, Peter Firstbrook, 28 May 2013
This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from this URL. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
Abi
lity
to E
xecu
te
Completeness of Vision
Challengers Leaders
Niche Players Visionaries
Cisco Blue Coat Systems
Websense Zscaler McAfee
Symantec Barracuda Networks
Trend Micro Trustwave
Sophos Sangfor
ContentKeeper Technologies
Phantom Technologies-iboss
Security
46 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Web Security обеспечивает сильную защиту
WWW
Время запроса
Время ответа
Cisco® SIO
URL Фильтрация
Репутационный фильтра
Динамический анализ (DCA)
Сигнатурные anti-malware движки & AMP
Анализ в Sandbox real-time
Block
WWW
Block
WWW
Block
WWW
Block
WWW
Allow
WWW Warn
WWW WWW Partial Block
Block
WWW
cws
47 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
1. Скан текста
Cisco Web Usage Controls URL фильтрация и динамический анализ контента
WWW
URL Database
3. Вычисление близости к эталонным документов
4. Наиболее близкое совпадение категории
2. Определение релевантности
Finance Adult Health
Finance Adult Health
Allow
WWW Warn
WWW WWW Partial Block
Block
WWW
5. Применение политики
Если не знаем -- анализ
Block
WWW
Warn
WWW
Allow
WWW
Если знаем
48 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Анализ репутации Мощь контекста в реальном времени
Suspicious Domain Owner
Server in High Risk Location
Dynamic IP Address
Domain Registered
< 1 Min 192.1.0.68 example
.com Example.org 17.0.2.12 Beijing London San Jose Kiev HTTP SSL HTTPS Domain
Registered > 2 Year
Domain Registered < 1 Month
Web server < 1 Month
Who How Where When
0010 010 10010111001 10 100111 010 00010 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101 0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10
IP Значение репутации
49 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Механизм динамического анализа контента (DCA) Злоумышленники активно используют сайты-однодневки
Останавливает 50% спорного контента* *Source: Cisco SIO, based on data from customer production traffic
Высокая производительность
• База данных URL – более 50 млн ужлов
• Категоризация в реальном времени для неизвестных URL
• Поддержка русского языка
Настройка для обычно блокируемого контента
• Pornography and Adult • Hate • Gambling • Proxy Avoidance
Анализ контента с человеческой точки зрения
• Эвристический анализ на основе моделирования концепции контента
• Улучшенная точность
50 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Безопасный поиск и рейтинг контента Более глубокий контроль приложений
Безопасный поиск § Предотвращение обхода политики с помощью поисковиков
§ Гарантия того, что поисковые механизмы вернут результат, в котором нежелательный контент отфильтрован
§ Настройка – один клик § Поддержка: Google, Bing, Yahoo, Yandex. Дальше
-- болше
Рейтинг сайтов § Блокирование нежелательного контента на разных сайтах
§ Основано на метаданных, а не на анализе файлов
§ Поддержка: Flickr, Craigslist, YouTube
51 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Контроль полосы пропускания для потокового медиа
• Механизм AVC обнаруживает потоковое аудио и видео, которое использует HTTP как транспорт
• Ограничения по пользователям Каждому клиенту разрешается использовать N Kbit/sec для потокового медиа Ограничение перегрузки, применение правил использования, увеличение производительности пользователей
• Агрегатные ограничение Потоковое медиа может использовать не более, чем N мбит/сек полосы пропускания Гарантия полосы
• Может комбинироваться с категориями и Identlties.
52 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Сканирование Malware в реальном времени Dynamic vectoring and streaming
Сигнатурный и эвристический анализ
• Оптимизация эффективности и уровня обнаружения с интеллектуальным мульти-сканированием
• Расширенное покрытие несколькими механизмами
• Идентификация зашифрованного вредоносного трафика с помощью перехвата, расшифровки и сканирования SSL трафика
• Улучшение впечатления пользователя благодаря параллельному потоковому сканированию для более быстрого анализа
• Всегда самые свежие сигнатуры благодаря автоматическим обновлениям
Эвристическое обнаружение Необычное поведение
Anti-Malware сканирование
Параллельное, потоковое сканирование
Сигнатурная проверка Идентификация известного поведения
Несколько движков Anti-
Malware
53 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Adaptive Scanning
Адаптивное сканирование: автоматический выбор сканера
Репутация + тип контента + выбор сканера = Адаптивное сканирование
www.anysite2.com -3.5
www.anysite1.com +1.1
www.anysite3.com -5.5
WSA
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101 0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
Cisco® SIO
HTML
HTML
HTML
54 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Удаление ненужных объектов на странице Анализ каждого объекта на странице (CWS only)
Эмуляция в реальном времени
55 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Основные функции AMP на Cisco Email и Web Security
File Sandboxing
Анализ поведения неизвестных файлов
File Retrospection
Ретроспективный анализ после атаки
File Reputation
Блокирование вредоносных файлов
56 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Мониторинг угроз на сетевом уровне
Пользователи Анализ на сетевом уровне
Предотвращение трафика ботнетов (“Phone-home”)
• Сканирование всего трафика, на всех портах, по всем протоколам
• Обнаружение вредоносного ПО, обходящего порт 80
• Предотвращение трафика ботнетов
Мощные данные для борьбы с вредоносным кодом
• Автоматически обновляемые правила
• Генерация правил в реальном времени, используя “динамическую идентификацию”
Инспекция пакетов и заголовков
Интернет
57 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Application Visibility and Control (AVC)
1,000+ Apps
URL фильтрация
• База данный URL – более 50 млн сайтов
• Динамическия категоризация для неизвестных URL Application
Behavior
150,000+ Micro-Apps
• Управление приложениями Web 2.0
• Политика для работы с приложениями
• Поведение внутри приложений
• Обзор деятельности в сети
http://
+
Правила применения в сегодняшнем Web Снижение уровня «расстроенности» пользователей
58 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Предотвращение утечек данных Снижение риска утечки чувствительной информации
On-Premises
Интеграция DLP по ICAP
протоколу
CWS
WSA
Cloud
DLP вендор
WSA
+
Базовый DLP
Расширенный DLP
Базовый DLP
59 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Web Security предлагает полное управление
Data Loss Prevention (DLP)
Application Visibility and Control (AVC)
Admin
Allow
WWW
WWW Partial Block
Block
WWW
Centralized Management &
Reporting Policy
Threat Protection User
Cisco Web Usage Controls
60 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Централизованное управление и отчетность Complete solution for on-premises or cloud
Централизованная отчетность
Централизованное управление
Просмотр угроз Возможности расследования
Внутри Угрозы, данные, приложения
Управление Общие политики между офисами и
удаленными пользователями
Обзор Разные устройства, сервисы, сетевые
уровни
Управление политиками
Делегированное администрирование
Анализ, исправление и переработка политик безопасности
61 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Новая версия WSA AsyncOS 8.5 – 8.6
• Интеграция ISE с WSA Использование аутентификационной информации с ISE в WSA
• Advanced Malware Protection (AMP) Фаза 2 Поддержка новых типов файлов, а также архивированных/сжатых файлов
• Новые возможности по контролю приложений Квотирование по объему и по времени
• Высокая доступность и отказоустойчивость Поддержка VRRP (CARP)
• Усовершенствования работы
• Поддержка KVM
62 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Как было раньше: Cisco Context Directory Agent § Цель CDA – предоставить ASA / ASA NGFW / WSA / CWS информации о соответствии IP-адреса и имени пользователя для применении политики безопасности, базирующейся на имени пользователя, а не IP-адреса
§ CDA, заменяющий AD Agent, интегрируется с ISE 1.1.x и ACS 5.3/5.4 и позволяет получить информацию о пользователях, не зарегистрированных в AD
63 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Confidential Patient Records
Internal Employee Intranet
Internet Who: Guest What: iPad Where: Office
Who: Doctor What: Laptop Where: Office
Who: Doctor What: iPad Where: Office
TrustSec
ISE
WSA
► Acquires important context and identity from the network
► Monitors and provides visibility into unauthorized access
► Cisco® ISE provides differentiated access to the network; Cisco TrustSec® provides segmentation throughout the network; Cisco Web Security Appliance provides web security and policy enforcement
Cisco ISE интегрирован с WSA напрямую
64 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Варианты исполнения Cisco Web Security
Выгоды от виртуализации • Выбор форм-фактора • Гибкость развертывания • Ценовая модель – подписка
Варианты использования • Региональный офис • Пики трафика • Инициатива облака/виртуализация
Cisco Cloud Web Security Cisco UCS
+
+
WSAV
65 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ASA или WSA? Зависит от задач, можно всё вместе ASA + FirePOWER WSA
Лицензирование По пропускной способности По пользователям
Стоимость устройств Высокая Средняя или нулевая (ВМ)
Интеграция в сеть «в разрыв» WCCP или веб-прокси
Понимание приложений Полное Только HTTP/FTP/SOCKS
Расшифровка SSL В следующих релизах Уже сейчас
Интеграция с DLP Нет Есть
Кэширование Нет Есть
Сканирование файлов антивирусом
АМР Webroot, Sophos, AMP и McAfee
66 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
На самом деле у нас больше решений по контролю доступа в Интернет
67 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
А у вас есть что-нибудь на замену MS TMG?
68 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Решения Microsoft Security • Традиционно не очень хорошая репутация, но очень хорошее финансовое предложение
• Все началось в 1997 году с MS Proxy Server (потом MS Proxy Server v2.0)
• Потом появился Internet Security and Acceleration Server v.2000, 2004, 2006
• И последнее решение – Microsoft Threat Management Gateway Medium Business Edition и TMG 2010
69 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Microsoft TMG и UAG – текущий статус • Основная поддержка заканчивается
14 апреля 2015 года
• Платная «расширенная» поддержка будет длиться еще пять лет
• У Microsoft TMG практически нет замены У Microsoft нет продуктов on-premise для замены существующих TMG решений Для компаний, у которых нет плана перехода в облако возникает дилемма Заказчики начинают искать не-облачную альтернативу
• Дополнительный продукт – Microsoft UAG (Unified Access Gateway). Его поддержка тоже заканчивается 14 апреля 2015 года
• Firewall Protection Multi-Layer Firewall Application Layer Filtering Детальный контроль HTTP Защита от DoS Широкая поддержка протоколов
• Публикация приложений
• VPN
• Система управления
• Сетевые функции
70 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Сопоставление решений Microsoft и Cisco TMG Firewall Cisco ASA c FirePOWER Services Многоуровневый Application Firewall ASA с FirePOWER Services (AVC) Application Level Filtering ASA с FirePOWER Services (AVC) Детальный контроль HTTP ASA с FirePOWER Services (URL-фильтрация)
или Web Security Appliance Защита от DoS ASA (возможно с NGIPS) Широкая поддержка протоколов ASA с FirePOWER Services (3000 приложений и
протоколов) Network Intrusion Prevention (или IPS) ASA с FirePOWER Services (NGIPS) Поддержка VoIP ASA (UC Proxy)
71 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Сопоставление решений Microsoft и Cisco TMG Web Proxy Cisco WSA или ASA с FirePOWER (лицензия
URL-фильрации) HTTPS Inspection WSA – встроенный функционал
ASA с FirePOWER Services (будет в версии 6.0) Cisco FirePOWER 5.4 – встроенный функционал Опционально – внешний SSL Appliance
URL фильтрация WSA или ASA с FirePOWER Services Web anti-malware WSA – поддержка до 4-х одновременных анти-malware
механизмов ASA с FirePOWER Services (лицензия на AMP) AMP for Network Appliance
Аутентификация пользователей в AD, поддержка групповых политик
WSA или ASA с FirePOWER Services
Выбор устройства зависит от требуемого функционала и предпочтений заказчика. WSA – это HTTP прокси сервер, он обрабатывает только Web трафик, но предоставляет более удобный интерфейс управления, многоуровневый репортинг, большее количество методов аутентификации, и более высокий уровень безопасности.
72 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Сопоставление решений Microsoft и Cisco Другой функционал MS TMG Решения Cisco VPN Более удобная поддержка на ASA, более широкий
выбор клиентов и протоколов Система управления Сейчас Cisco CSM и FireSight. В будущем эти системы
управления будут объединены Публикация ресурсов Cisco Anyconnect или же SSL VPN для публикации Централизованная аутентификация и идентификация пользователей
Cisco ISE имеет намного более широкие возможности для идентификации, в том числе и не Windows AD пользователей
Email Security Cisco Email Security Appliance. Более высокая производительность, функционал border MTA и безопасность
73 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Защита мобильных пользователей Cisco AnyConnect Secure Mobility Client
Пользователи с телефонами, лаптопами, планшетами
Пользователи с ноутбуками
Client installed on machine
Web пользователи
Block
WWW
Warn
WWW
Allow
WWW
Вердикт
CWS applies web security features
WSA применяет политики
Web Security Location
Перенаправление Web трафика
Перенаправление трафика в WSA
Трафик через VPN попадает в HQ
Направляет трафик на ближайший Web прокси
Cisco AnyConnect™ Client
VPN
ACWS
VPN
74 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Full-Time ‘DATA’ Connection Protected by ScanSafe
On-Demand or Always-On ‘VPN’ Connection Protocol Agnostic: DTLS/SSL/IPSec
Cisco AnyConnect Device Agnostic End-Point Client
Cisco ASA Context-Aware Firewall
Cisco IronPort Web Security
Appliances
Authentication and Identity Services: AD/LDAP/RADIUS/SDI/Kerberos
Captive Portal Remediation Optimal Gateway Selection Trusted Network Detection Secure SSL Portal
Single-Sign-On for Authentication to Resources
MDM Solution handles provisioning, de-provisioning, wipe, backup, app-stores, device & SD card encryption, lost device tracking etc.
outside inside
AnyConnect
SSO/SSL Proxy
Trusted Corporate Resources
INTERNET
Cisco Identity Services Engine (ISE) or Active Directory Identity Agent
AnyConnect
Защищенная мобильность
75 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco AnyConnect 4.0 Расширение контроля с учетом контекста для удаленного доступа
Доступ
Безопасность Контекст Соответствие Соединение
Сервисы
Унифицированный агент для Cisco ISE
Обеспечение множества сервисов ИБ
Для множества методов доступа
76 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco AnyConnect 4.0 и Cisco ISE 1.3 Унифицированный агент для контроля состояния и защищенной VPN
Предотвращение удаленного доступа для несоответствующих устройств
77 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Корпоративная сеть
• Унифицированный агент улучшает управление полосой пропускания VPN по сравнению с использованием нескольких параллельных агентов VPN
• Усиливает эффект применения Cisco ASA и Cisco TrustSec для обеспечения сегментации прикладного трафика на всем пути
• Расширяет традиционный периметр VPN до мобильных устройств для предотвращения доступа к корпоративной сети посторонних и не нужных для работы приложений
VPN
WWW
ЛВС
Избранные туннели для приложений через VPN
Per-App VPN Support: iOS 7+, Samsung Knox 2.0+
AnyConnect 4.0 с VPN для каждого приложения
78 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential