cisco content security. Обзор технологий защиты email и web трафика
DESCRIPTION
TRANSCRIPT
1 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Content Security Обзор технологий защиты Email и Web трафика
2 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Содержание
• Эволюция и угрозы email
• Портофолио безопасности Cisco Email
• Безопасность Email и SIO
• Опции развертывания
• Широкая защита и управление
• Защита входящих
• Контроль исходящих
• Управление/отчетность
3 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Эволюция email безопасности
Эволюция ландшафта угроз
Эволюция исходящей защиты
HIGH
Volume
HIGH
$ IMPACT
LOW
Volume
LOW
$ IMPACT
HIGH
Volume
LOW
$ VALUE
LOW
Volume
HIGH
$ VALUE
CEO
CFO
SPAM MASS EMAIL ADOPTION
Custom URL Targeted Phishing
Image Spam
Botnets
Conficker Aurora
Covert, Sponsored Targeted Attacks
АКТИВЫ ПОЛЬЗОВАТЕЛЕЙ СООТВЕТСТВИЕ Identity Aware
Data Classification
TLS
Encrypt Everything
HIPAA
State Regulations
Brand
Quarantine Filter
DLP
Intellectual Property
Social Security Numbers
PCI
PHISHING
VIRUS OUTBREAKS
Attachment-based
Slammer
Worms
Network Evasions Polymorphic Code
Code Red Stuxnet
P A S T T O D A Y
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 4
Outbound
Входящие и исходящие угрозы сегодня Реальная стоимость инсайдерских угроз и утечек информации
Malware
Data & Content Spam
Home Office Coffee Shop Airport Corporate Office Mobile User
Malware
Malware
Data & Content Spam
Malware
Inbound
Email –
основной
вектор утечек
данных *Email Attacks: This Time It’s Personal, Cisco, June 2011,
www.cisco.com/en/US/prod/collateral/vpndevc/ps10128/ps10339/ps10354/targeted_attacks.pdf
Стоимость всего одной бреши для организации может быть потрясающей.
Ponemon Institute оценил диапазон от US$1 млн до US$58 млн.*
А законодательство еще увеличивает стоимость – только в США -- Data Breach
Notification Act of 2011, Personal Data Protection and Breach Accountability Act,
Personal Data Privacy and Security Act of 2011
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 5
Эволюция Email пользователя Безопасность Email для изменяющегося рабочего места
P A S T T O D A Y
Проверка email с нескольких устройств
Пользователь сегодня
Доступ к email – всегда и везде
Глобальный
Смешивает работу и личное
Для того, чтобы сделать работу, нарушит IT политики
Верит в то, что за
безопасность отвечает IT
Rich HTML email
Пользователь вчерашнего дня
Проверяет email только с
авторизованных компьютеров
Всегда находится за
корпоративным FW
Текст с вложениями
7 млрд мобильных устройств к 2015
1 из 3 использует как минимум три устройства на работе
Активно взаимодействует с соцсетями
6 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Email – универсальный шлюз контроля и безопасности электронной почты! Надежность, безопасность, снижение затрат на обслуживание
После IronPort
Groupware
Firewall
Cisco Email Security Appliance
Internet
Перед IronPort
Anti-Spam
Anti-Virus
Policy Enforcement
Mail Routing
Internet
Firewall
Groupware
Users
Encryption Platform MTA
DLP Scanner
DLP Policy Manager
Users
7 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Портофолио Cisco Email Security Лидирующая, оптимальная система безопасности Email на шлюзе
Appliance Cloud Hybrid Managed
Threat Defense
Spam and Virus Protection Targeted Threat Protection
Data Security
Data Loss Prevention Encryption
Централизованный обзор и управление
Поддержка нескольких устройств
Gartner 2013 Magic Quadrant Leader
Cisco Email Security защищает 50% компаний из списка Fortune 1000, более 20%
крупнейших компаний мира и восемь из 10 крупнейших ISP
Virtual
8 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Развертывание устройств
• Для организаций, которые требуют, чтобы их данные обрабатывались у них на площадке
• Защита от риска снижения производительности
• Выделенные, легкоуправляемые, масштатируемые от малого рынка до больших операторов
Готово к включению и установке для сетей любого размера
Models Cisco X1070 Cisco C670 Cisco C370 Cisco C170
Deployment Large Enterprise
and ISPs
Medium to Large
Enterprise
SMB – Small
Enterprise
SMB
Для правильного определения количества узлов проконсультируйтесь с Cisco SE.
9 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Виртуальное развертывание
• Быстрое развертывание
• Улучшенное планирование емкостей
• Постоянная работа
• Гибкость развертывания
Использование существующих инвестиций
Model Disk Memory Cores
C000v 200GB 4GB 1
C100v 200GB 6GB 2
C300v 500GB 8GB 4
C600v 500GB 8GB 8
ESX | ESXi Hypervisor
Cisco UCS
Consolidation | Automation | Virtualization
Other Hardware
10 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Гибкий набор опций развертывания Разные предложение – неизменная безопасность
ПЛОЩАДКА
ЗАКАЗЧИКА
Общая политика| Централизованные отчеты| Постоянная защита
Managed Email
Security
Customer Premise
Equipment (CPE)
Cloud Email Security (SaaS)
Hybrid Cloud Email
Security
Hybrid Cloud Email
Security
Cisco Security
Operations
Center
11 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Важность репутации
«По следам, которые мы оставляем, нас будут помнить вечно»
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 12
Репутационная безопасность возвращает числовое значение уровня доверия к объекту, что позволяет устройству предпринять действие, предписанное политикой.
Репутация строится на трех вещах:
Наша оценка (данные SensorBase)
Оценки 3-х сторон
Сложная модель, которая возвращает значение в реальном времени
Что такое репутационная безопасность?
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 13
Cisco Security Intelligence Operations Три линии защиты
Threat Operations Center
Dynamic Updates SensorBase
Всеобъемлюющее исследование угроз
Исследование и анализ
Обновления в реальном времени и
Best Practices
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 14
SensorBase Глубокое и широкое покрытие
Исследование угроз Выгоды
• Более 1.6M глобальных устройств
• Библиотека из более 40 тыс угроз
• В день мы видим более 35% email трафика
• 13 млрд web угроз в день
• 200+ параметров отслеживается
• Мультивекоторый обзор
• динамический обзор угроз на 360
• Понимание уязвимостей и технологий эксплоитов
• Обзор наиболее опасных угроз
• Самые последние техники и тенденции атак
Over 1,000 servers process over 500GB of threat data per day
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 15
Threat Operations Center Экспертиза безопасности
Исследования и анализ Выгоды
• 600+ инженеров, техников, исследователей
• 80+ PhDs, CCIEs, CISSPs, MSCEs
• Создание правил, требующих человеческого вмешательства, контроль качества
• Тесты вторжений, инфильтрация ботнетов, реинжениринг malware, исследования уязвимостей
• Работа в 5 центрах 24x7x365
• 95% of Internet languages covered
• Best Practices по сетевой безопасности и техники ухода от атак
• Взгляд в тенденции и будущее
• Контроль качества, снижение уровня ложных срабатываний
• Круглосуточная работа
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 16
Динамические обновления Автоматизированная безопасность
Обновления Benefits Cisco Security Intelligence Operations • Cisco устройства запрашивают
обновления раз в 3-5 мин
• 8M+ правил в день
• Обновления репутации – защита в реальном времени
• Снижение времени окна «небезопасности»
• Минимизация затрат на управление
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 17
Реаутационная безопасность возвращает числовое значение уровня доверия к объекту, что позволяет устройству предпринять действие, предписанное политикой.
Репутация строится на трех вещах:
Наша оценка (данные SensorBase)
Оценки 3-х сторон
Сложная модель, которая возвращает значение в реальном времени
Что такое репутационная безопасность?
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 18
Global Volume
Data
Over 100,000 organizations, email traffic, web traffic
Message
Composition
Data
Message size, attachment volume,
attachment types, URLs, host names
Spam Traps
SpamCop, ISPs,
customer contributions
IP Blacklists &
Whitelists
SpamCop, SpamHaus (SBL), NJABL, Bonded Sender
Compromised
Host Lists
Downloaded files, linking URLs, threat
heuristics
Web Site
Composition
Data
SORBS, OPM,
DSBL
Other Data
Fortune 1000, length of sending history, location,
where the domain is hosted, how long has it been registered, how
long has the site been up
Complaint
Reports
Spam, phishing,
virus reports
Spamvertized URLs, phishing URLs, spyware sites
Domain Blacklist
& Safelists
Что такое имитационная репутация? Корреляция и объединение миллиардов кусочков информации в одно значение
Verdict
19 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Обработка email Богатые возможности по контролю и управлению.
Cisco Email
Security Входящая безопасность Исходящий контроль
Anti-Spam:
• SIO Reputation Filtering
• Cisco Anti-Spam
Anti-Virus & Targeted Attack:
• Outbreak Filters
• McAfee Anti-Virus
• Sophos Anti-Virus
Соответствия:
• Content Filters
• Smart Identifiers
• Weighted Content Dictionaries
Защита и надежность:
• Secure Message Delivery
• Transport Layer Security
Cloud
20 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Защита от спама защита в деталях
Whitelisted is delivered
Нормальная почта
идет на антиспам
фильтр
Подозрительная идет
на антиспам фильтр и
ограничивается • > 99% Catch Rate
• < 1 на 1 ложных
срабатываний
Известная плохая
блокируется перед
входом в сеть
Почта с разной
репутацией
SBRS
Поддерживается SIO
Blacklisted
email is
dropped
WHAT
Cisco
Anti-Spam
WHEN WHO
HOW WHERE
Политики
21 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Архитектура антиспам Обнаружение маркетинговых сообщений
Privacy Policy At Buy.com, your privacy is a top priority. Please read our privacy policy details. … All information collected from you will be shared with Buy.com and its affiliate companies.
X
Securing The Web Gateway In The World Of Web 2.0 Does Web 2.0 have legitimate business applications? If so, how can business
take advantage of its unique capabilities? In this Q&A, Gene Hodges, CEO of
Websense, shares his insights on the risks, rewards, and future of Web 2.0 and
the secure Web gateway.
MORE BUSINESS FOCUS
Business Blogs, Vapid
or Vital? With 40,000 new blogs cropping up
every day, it begs the question—is there
a business benefit to blogging? And with
the blogosphere already inconceivably
immense, how can one company stand
out? Learn how enterprises such as
General Motors have made their mark,
and how you can too, in this
BusinessWeek story about social media
and business.
MORE
APPLICATION FOCUS
Web 2.0 Ready for
Prime Time? Web 2.0 makes many promises, but
managers are stumped about how to use
it to drive growth and profits. With
companies like Google, IBM, and Adobe
creating software for commercial use of
Web 2.0, businesses are poised to make
the leap. Learn more about the new
applications and how your business can
get up to speed in this ChannelWeb
review.
MORE LATEST NEWS
OLYMPIANS CONNECT WITH FANS THROUGH BLOGS
ACQUISITION HELPS READY INTERNET SECURITY SOFTWARE FIRM FOR WEB 2.0
THE 2008 SUMMER OLYMPICS: THE MOST DIGITAL OF ALL
MANAGING ACCESS TO FACEBOOK: A GOOD IDEA?
EDITOR'S CORNER
Anticipation Big changes are happening at
Websense, and as a loyal subscriber
to our newsletter,
WebsenseConnect, I want to share
the news with you first. Think you
know Websense? If you've been a
Websense (or SurfControl) customer
for years, be prepared for a big
surprise—we are way more than
Web security.
MORE QUICK LINKS
PRODUCT TIP OF THE MONTH
CUSTOMER TRAINING
EVENTS
SUPPORT
WEBSENSE NEWS
SUCCESS STORY
Furniture Seller Tables Threats Furniture retailer WS Badcock
Corporation is taking aggressive
measures against emerging Internet
threats. Aware that current attacks
are focused on secretly stealing
information rather than the highly
visible and public "bring down the
network" attacks, the company
selected Websense Email Security
because of its ability to stop spam
and viruses and prevent confidential
information from leaving the
organization through email.
Не спам – автоматическая подписка и работающая отписка
22 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Outbreak Filters
Целевые атаки нулевого дня и
защита от вирусов
Несколько антивирусов
Фильтрация,
используя один или
два механизма
Anti-Virus и целевые атаки Эшелонированная оборона
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 23
Request for Review
Paul,
I forward my thesis to you for review.
Please open it and provide comments.
www.Personal Site.com/Thesis_Draft.pdf
Hope all is well since Verizon.
Best regards,
Friend
Friend
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 24
Архитектура защиты от целевых атак Cisco Email Security блокирует репутационными, malware и outbreak фильтрами
Outbreak Filters Malware Scans Reputation Filters
? ? ?
? ? ?
?
Block 90%
of Spam
>99% Catch Rate
< 1/1M False Positives
?
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 25
Outbreak фильтры в действии
Request for Review
Paul,
I forward my thesis to you for review.
Please open it and provide comments.
www.Personal Site.com/Thesis_Draft.pdf
Hope alls well since Verizon.
Best regards,
Friend
Friend
После
http://www.threatlink.com/
Перед
http://secure-web.cisco.com/auth=X&URL=www.threatlink.com
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 26
Identified: Targeted Attack
Content: Malware Payload
Vector: Email
Action: Blocked
7 MUpdates per Day
1Tb Threat Telemetry
Cisco SIO – использование Cloud Web Security
Request for Review
Paul,
I forward my thesis to you for review.
Please open it and provide comments.
www.Personal Site.com/Thesis_Draft.pdf
Hope alls well since Verizon.
Best regards,
Friend
Friend
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 27
Malware
Загрузка заблокирована
Cisco Outbreak Filters защищают от целевых атак
http://secure-web.cisco.com…
The requested web page has been blocked
http://www.threatlink.com
Cisco Email and Web Security protects your
organization’s network from malicious software.
Malware is designed to look like a legitimate email
or website which accesses your computer, hides
itself in your system, and damages files.
Cisco Security
28 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Outbreak filters защищают от смешанных атак Интеграция email и web безопасности
Чисто Нажали на линк
Website is
blocked Cisco Security
The requested web page
has been blocked
http://www.threatlink.com
Cisco Email and Web Security protects your
organization’s network from malicious software.
Malware is designed to look like a legitimate email
or website which accesses your computer, hides
itself in your system, and damages files.
Динамическая инспекция в
реальном времени через HTTP
Cisco SIO
29 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
TLS шифрование
Outbound
Control
Ограничение потока
по Mail From DKIM/SPF
Шифрование
конверта
Предотвращение
утечек
Антиспам Антивирус
Гарантированная безопасная доставка
Исходящая email безопасность Поддержка конфиденциальности и достпности
30 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Немного технологии Политики обработки
30
SMTP
Client
Outbreak
Filters
Content
Filters
Anti-
Virus
Anti-
Spam
Message
Filters
SMTP
Receiver &
Rep.Filters
HAT
limits
• Разные получатели – разные политики.
• Сообщение разделяется (message splintering)
For Your
Reference
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 31
Фильтры содержимого. Проверка и действие
Что можно проверить - Тело или прикрепленный файл сообщения
- Тело сообщения
- Размер сообщения
- Содержание прикрепленного файла
- Информацию о прикрепленном файле
- Защищенность прикрепленного файла
- Тема письма
- Любой заголовок письма
- Отправитель письма
- Получатель письма
- Принимающий IP
- IP, отправляющий письмо
- Значение репутации
- Аутентификация DKIM
- Проверка SPF
Что можно предпринять - Отправить сообщение в карантин (или скопировать)
- Отправить скрытую копию
- Уведомить кого-либо
- Удалить прикрепленный файл в зависимости от типа
- Перенаправить сообщение
- Вставить или удалить заголовок
- Добавить подпись
- Пропустить обработку фильтром вирусных атак
И - Отправить «рикошетное» сообщение , или
- сбросить сообщение , или
- Доставить сообщение, или же
- Зашифровать и доставить
32 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Content Filters Проверка содержимого письмаВсесторо
Множество опций реагирования –
шифрование, карантин, сброс,
рикошет, BCC, удаление контента
Подозрительный контент
подсвечивается в карантине для
простоты анализа
Репортинг по политикам и по
пользователям
33 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Всеобъемлюющее Простое Точное
Глобальный
просмотр
политик и
правил
Высокий уровень обнаружения. Мало
ложных срабатываний
Простая настройка фильтра и правил
реагирования
Data Loss Prevention Всеобъемлюющее, точное и простое
34 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Точный глубокий анализ
Unique Rule Matches Are Met
Proper name detection
Rule is matched multiple
times to increase score
SSN detection
Matches are found
in close proximity
Need updated
screenshots
35 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Широкое покрытие политками 100+ политик обеспечивают очень широкое покрытие
36 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Email Security
Appliance
Cisco Email Security
Appliance
Интеграция с RSA Enterprise Manager Интеграция ESA в Enterprise DLP среду
В решении Enterprise DLP ESA заменяет:
• SMTP Interceptor
• Encryption Server
• SMTP Smart Host
Интеграция приносит:
• Новые политики
• Fingerprinting
• Управление политиками
• Правила реагирования
• Расследования и многое другое
37 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• Как отправитель:
‒ Избегайте подделки ваших сообщений
‒ Увеличьте репутацию
‒ Не попадайте в черные списки
DNS Your Company ISP
From: Your_Company.com From:Your_Company.com
Verified
Аутентификация Email DKIM и SPF (Domain Keys Identified Management и Sender Policy Framework)
38 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Технологии аутентификации E-mail
• Технология с открытым ключом, обеспечивающая целостность, аутентификацию и незоможность отказа от авторства
• Информация сохраняется в заголовке письма
• Проверочный ключ получается из DNS
Domain Keys Identified Mail (DKIM) – RFC5585 et al.
38
• Создание пары ключей
• Публикация в DNS public key
Отправитель
• Подпись исходящего сообщения
Отправитель
• Прием подписанного сообщения
• Получение ключа из DNS
Получатель
• Использование ключа и данных подписи для проверки содержимого сообщения
Получатель
39 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Технологии аутентификации E-mail
• Простая, основанная на DNS технология защиты от спуфинга
• Перечисление всех легитимных SMTP шлюзов для домена; предоставление информации, что делать с отправителями, которые находятся не в списке (“-”: hard fail; “~” soft fail)
• Не предоставляет целостности (чувствителен к MitM) или невозможность отказа
Sender Policy Framework (SPF) – RFC4408
39
• Перечисляет все легитимные SMTP шлюзы в записи DNS
Отправитель
• Просто посылает сообщение
Отправитель
• Проверяет DNS SPF запись во время SMP сессии
Получатель
• Обраратывает письмо, если с записью все в порядке
Получатель
40 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Член команды поддержки Email
Очень Большая Корпорация, заказчик Cisco Email Security.
“My opinion is that any company which does not know where their SMTP servers are has to commit seppuku in front of the building starting from CIO. DNS administrators can prove their loyalty by cutting one finger from their right hand.”
41 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Еще про управление Как защититься от внутренних угроз?
Rate Limit по
Mail From
Anti-Spam Anti-Virus Alert
Admins
Не попадайте в черные списки
Остановите вредоносный трафик
Знайте, какие машины/пользователи виновны
Объединяйте с Outbreak Filters для полной безопасности
42 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Простота управления Централизованное управление/кластеризация
• ESA переводятся в режим «кластера»
• В «кластере» все устройства равнозначны
• Подключение к любому устройству в кластере и
внесение изменений будет мнгновенно
отображено на других устройствах кластера
ESA устройства
SMA
Reporting
Message Tracking
Quarantines
Backup SMA
43 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• Email Volumes
• Spam Counters
• Policy Violations
• Virus Reports
• Outgoing Email Data
• Reputation Service
• System Health View
• Простой просмотр потоков почты в организации
• Отчеты в режиме реального времени как для email, так и для угроз
• Иерархическая модель очетов.
Multiple data points Consolidated and Custom Reports
Полный обзор Унифицированные бизнес-отчеты
44 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Просмотр деталей обработки Message Tracking
Что случилось с письмом, которое я два
часа назад отправил?
Отслеживание индивидуальных
сообщений
Кто еще получал подобные сообщения?
Исследования для гарантии
соответствия
45 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Magic Quadrant for Secure Email Gateways
August 15, 2012. Peter Firstbrook, Eric Ouellet.
This Magic Quadrant graphic was published by Gartner, Inc. as part of a
larger research note and should be evaluated in the context of the entire
report. The Gartner report is available upon request from Cisco.
The Magic Quadrant is copyrighted 2012 by Gartner, Inc. and is reused
with permission. The Magic Quadrant is a graphical representation of a
marketplace at and for a specific time period. It depicts Gartner's analysis of
how certain vendors measure against criteria for that marketplace, as
defined by Gartner. Gartner does not endorse any vendor, product or
service depicted in the Magic Quadrant, and does not advise technology
users to select only those vendors placed in the "Leaders" quadrant. The
Magic Quadrant is intended solely as a research tool, and is not meant to
be a specific guide to action. Gartner disclaims all warranties, express or
implied, with respect to this research, including any warranties of
merchantability or fitness for a particular purpose.
Leadership with Choice
• High efficacy, solid scalability/reliability
• Consolidated malware research
• Substantial product improvements
• Email and web security synergies
• Investment in cloud offerings and infrastructure
Cisco – это абсолютный лидер в Gartner, Inc.’s Secure Email Gateways Magic Quadrant
46 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Павел Родионов
Cisco Systems, Системный инженер, EMEAR Security
Cisco Web Security Deep Dive
July 2013
47 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Зксплоиты Кражи и
шпионаж Прерывание
работы
Безопасность Web – ставки выше, чем когда-либо
48 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Web страницы содержат скрытые угрозы
• Flash
• Java
• JPG
• Script
• .exe
• Etc.
Potential
threats
49 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Facebook time:
2,110,516 minutes or
35,175 hours, 1465
days, 4.1 years!
# of Facebook likes:
3,925,407 at 1 second a
like that’s almost 1100
hrs/day or 45 days just
liking things!
Bytes on YouTube
video playback:
11,344,463,363,245
or 10 TB
Pandora:
713,884,303,727
or .6 TB
Total browse time for
the day:
2,270,690,423 or
4,320 Years.
Total bytes for the day:
70,702,617,989,737
or 64 TB over 15% from
YouTube!
Потеря производительности – это тоже угроза Сколько полосы пропускания занимает ежедневно Web 2.0?
Source: Cloud Web Security Report
50 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Мы можем помочь. Cisco Web безопасность обеспечивает…
Сильную защиту Защита каждого устройства, везде, в любое время
Полное управление Управление Web трафиком для всех устройств
Защита инвестиций Предоставление больше за ваши инвестиции
51 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Web безопасность обеспечивает сильную защиту
WWW
Время
запроса
Время
ответа
Cisco® SIO
URL Фильтрация
Репутационный фильтра
Динамический анализ (DCA)
Сигнатурные anti-malware движки
Анализ в Sandbox real-time
Block
WWW
Block
WWW
Block
WWW
Block
WWW
Allow
WWW Warn
WWW WWW Partial
Block
Block
WWW
cws
52 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Control
Cisco
AnyConnect®
Cisco
IPS
Cisco CWS
WWW
Cisco WSA Cisco ASA Cisco ESA
Visibility
WWW
Web
Endpoints
Devices
Networks
IPS
Cisco Security Intelligence Operations (SIO) Выдающийся глобальный облачный механизм безопасности
1.6 million global sensors
100 TB of data received per day
150 million+ deployed endpoints
35% worldwide email traffic
13 billion web requests
24x7x365 operations
40+ languages
600+ engineers, technicians, and researchers
80+ PH.D., CCIE, CISSP, AND MSCE users
More than US$100 million spent on dynamic research and development
3- to 5- minute updates
5,500+ IPS signatures produced
8 million+ rules per day
200+ parameters tracked
70+ publications produced
Инф
орм
ац
ия
об
новл
ени
я
Cisco® SIO
53 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
1. Скан текста
Cisco Web Usage Controls URL фильтрация и динамический анализ контента
WWW
URL Database
3. Вычисление близости к эталонным документов
4. Наиболее близкое совпадение категории
2. Определение релевантности
Finance
Adult
Health
Finance Adult Health
Allow
WWW Warn
WWW WWW Partial
Block
Block
WWW
5. Применение политики
Если не знаем --
анализ
Block
WWW
Warn
WWW
Allow
WWW
Если знаем
54 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Анализ репутации Мощь контекста в реальном времени
Suspicious
Domain Owner
Server in High
Risk Location
Dynamic IP
Address
Domain
Registered
< 1 Min
192.1.0.68 example
.com Example.org 17.0.2.12 Beijing London San Jose Kiev HTTP SSL HTTPS
Domain
Registered
> 2 Year
Domain
Registered
< 1 Month
Web server
< 1 Month
Who How Where When
0010 010 10010111001 10 100111 010 00010 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10
IP Значение репутации
55 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Сканирование Malware в реальном времени Dynamic vectoring and streaming
Сигнатурный и эвристический анализ
• Оптимизация эффективности и уровня обнаружения с интеллектуальным мульти-сканированием
• Расширенное покрытие несколькими механизмами
• Идентификация зашифрованного вредоносного трафика с помощью перехвата, расшифровки и сканирования SSL трафика
• Улучшение впечатления пользователя благодаря параллельному потоковому сканированию для более быстрого анализа
• Всегда самые свежие сигнатуры благодаря автоматическим обновлениям
Эвристическое обнаружение Необычное поведение
Anti-Malware сканирование
Параллельное, потоковое сканирование
Сигнатурная проверка Идентификация известного поведения
Несколько движков Anti-
Malware
56 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Анализ в Sandbox в реальном времени для определения атак нулевого дня Анализ каждого объекта на странице (CWS only)
Эмуляция в реальном времени
57 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Web Security предлагает полное управление
Data Loss Prevention (DLP)
Application Visibility and Control (AVC)
Admin
Allow
WWW
WWW Partial
Block
Block
WWW
Centralized
Management &
Reporting
Policy
Threat Protection User
Cisco Web Usage Controls
58 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Application Visibility and Control (AVC)
1,000+ Apps
URL фильтрация
• База данный URL – более 50 млн сайтов
• Динамическия категоризация для неизвестных URL Application
Behavior
150,000+
Micro-Apps
• Управление приложениями Web 2.0
• Политика для работы с приложениями
• Поведение внутри приложений
• Обзор деятельности в сети
http://
+
Правила применения в сегодняшнем Web Снижение уровня «расстроенности» пользователей
59 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Безопасный поиск и рейтинг контента Более глубокий контроль приложений
Безопасный поиск
Предотвращение обхода политики с помощью поисковиков
Гарантия того, что поисковые механизмы вернут результат, в котором нежелательный контент отфильтрован
Настройка – один клик
Поддержка: Google, Bing, Yahoo, Yandex. Дальше -- болше
Рейтинг сайтов
Блокирование нежелательного контента на разных сайтах
Основано на метаданных, а не на анализе файлов
Поддержка: Flickr, Craigslist, YouTube
60 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Предотвращение утечек данных Снижение риска утечки чувствительной информации
On-Premises
Интеграция DLP
по ICAP
протоколу
CWS
WSA
Cloud
DLP вендор
WSA
+
Базовый DLP
Расширенный
DLP
Базовый DLP
61 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Централизованное управление и отчетность Complete solution for on-premises or cloud
Централизованная отчетность
Централизованное управление
Просмотр угроз
Возможности расследования
Внутри
Угрозы, данные, приложения
Управление
Общие политики между офисами и удаленными пользователями
Обзор
Разные устройства, сервисы, сетевые уровни
Управление политиками
Делегированное администрирование
Анализ, исправление и переработка политик безопасности
62 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Web Security предлагает защиту инвестиций
Бесшовная интеграция
Превосходная поддержка и
сервисы
Правильное развертывание
Низкий TCO Admin
HR
Finance
Network
Team
CIO/CISO
Security
Team
IT
Manager
Защита мобильных пользователей
Надежность
63 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Гибкие опции развертывания On and Off Premise
Опции
развертывания
Коннекторы/перен
аправление
On-premises Облако
Cloud
Firewall Router Roaming
Virtual Next Generation
Firewall
Roaming
Appliance
Appliance
Опции
клиента
Implicit Explicit
Firewall Router
Implicit Explicit
64 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Firewall
Users
Web Proxy
Malware
URL Filtering
Policy Management
Reporting
Internet
Cisco Web Security Appliance
Интегрированное решение для упрощения развертывания
Traditional Appliances
Internet
Users
Internet
Firewall
Appliance
65 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Web Security Virtual Appliance
Выгоды
• Выбор форм-фактора
• Гибкость развертывания
• Ценовая модель – подписка
Варианты использования
• Региональный офис
• Пики трафика
• Инициатива облака/виртуализация
Cisco UCS
Appliance
+
+
WSAV
66 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Защита мобильных пользователей Cisco AnyConnect Secure Mobility Client
Пользователи с
телефонами, лаптопами,
планшетами
Пользователи
с ноутбуками
Client installed on machine
Web пользователи
Block
WWW
Warn
WWW
Allow
WWW
Вердикт
CWS applies web
security features
WSA применяет
политики
Web Security
Location
Перенаправление
Web трафика
Перенаправление
трафика в WSA
Трафик
через
VPN
попадает
в HQ
Направляет
трафик на
ближайший Web
прокси
Cisco
AnyConnect™
Client
VPN
ACWS
VPN
67 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
В сегодняшнем открытом, объединенном и невероятно мобильном мире Cisco Web Security предоставляет …
Сильную защиту Полное
управление
Ценность
инвестиций
68 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential