cisco ironport solutions de sécurité e-mail et web · cisco public 8 email sécurité web...

Cisco IronPort Solutions de SécuritéE-Mail et Web

© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 1

E-Mail et Web

Alexandre Vandevelde

Exclusive Networks

Agenda

� Présentation Ironport

� Sécurité E-Mail : IronPort Série C


� Sécurité Web : IronPort Série S

� Management Centralisé : Ironport Série M

Ironport

� IronPort créé en 2000, acquise par Cisco en 2007

� CA 2008 : 350 M$

� Plus de 20 000 clients dans le monde

� 400 millions de boîtes aux lettres protégées


� 400 millions de boîtes aux lettres protégées

� 40% des sociétés Fortune 100

� 50% du CAC40

� 8 des 10 plus gros ISPs

� Taux de renouvellement des clients : 99%

MarchéTechnologie

Plus de 20 millions d’appliances de sécurité et 100 millions de clients déployés

#1 en CA sur la sécurité

Plus de 2 milliards de dollars

#1 en PDM sur la sécurité de contenu

(25%)

Technologies leader, innovation permanente

#1 dans la performance anti-spam et anti-malware

Chiffrement, DLP, Gestion des identités et des politiques avancés

Les solutions de sécurité CiscoUn leadership sur le marché


LEADERSHIPConnaissance des

MenacesSolutions

La plus large couverture

Niveau Réseau et Applicatif

Le plus grand réseau de sondes

(se compte en millions)

La plus grande équipe de recherche sur les menaces

500 Analystes, 5 lieux dans le monde

Déploiements multiples

Appliances, Modules de sécurité, sécurité “in-the-cloud”

Solutions validées par le marché

PCI, DLP, Data Center, UC

Solutions Complètes

Une large gamme de produits

Un leadership incontestable…


La vision IronPort

Internet

Boîtier de Sécurité Boîtier de

IronPortSenderBase


Sécurité EMAIL

Boîtier de Sécurité

WEB

Boîtier de MANAGEMENT

SenderBase ® / Threat Operations Center

SenderBase créée en 2003 TOC

• Equipe de 500 experts en sécurité

• 100 brevets

• 24h/24, 7j/7

• 32 langues


• 32 langues parlées

• Volume de données

• Composition du message

• Plaintes

• Blacklists, whitelists

• Données hors-ligne

Score de réputation

+ de 90paramètres

Score de réputation

• blacklists et whitelists d’URL

• Contenu HTML

• Infos sur le domaine

• URL à problèmes “connues”

• Histoire du site Web…

+de 45paramètres

E-Mail Reputation Filters

Web Reputation Filters


IronPort Série C

Sécurisation de la messagerie

Architecture de sécurité E-MailCisco IronPort Série C

Man

agem

entDéfense

Anti-VirusDéfense

Anti-Spam


Man

agem

ent

CISCO IRONPORT ASYNCOS™ POUR EMAIL

Protectiondes données

Messageriesécurisée

RELAIS DEMESSAGERIE

HTML Sanitization

Elimine les URL usurpées

Chiffrement TLS

Chiffrement passerelleà passerelle

Cisco IronPort AsyncOSRelais de messagerie robuste — Outils de sécurité intégrés

FonctionnalitésLDAP

Performances

10 000 connexionssimultannées

Files d’attentes par domaines de destination

Réémission intelligente

Virtual Gateway

Protection de la réputation client


Bounce Verification

Elimine les faux messages d’erreur

DKIM Signing & Verification

Vérification de l’émetteur

Vérification SPF

Vérification de la conformité de la

provenance de l’e-mail

Validation Destinataires

Elimine les messages envoyésaux adresses e-mail invalides

Protection contre le vol d’annuaire

Listes utilisateur

Contrôles utilisateur

Listes utilisateur“Allow” et “Block” / Quarantaine de

spam

Contrôles utilisateur

LDAP

LDAP referrals, annuaires LDAP

multiples, assistant d’installation

Réémission intelligente

Utilisation complète des possibilités matérielles

Sécurité Multi-couchesPréventive + Réactive = “Defense in Depth”

Préventive : RéputationRéaction immédiate aux menacesTrès haute performance1ère ligne de défenseBloque ou limite le débit

Man

agem

entDéfense

Anti-VirusDéfense

Anti-Spam


Réactive : Moteur d’analyseS’adapte avec le tempsCPU intensiveCouche plus fineDétruit ou Quarantaine

Man

agem

ent




Objectif : Taux de capture important

ETLe moins de faux positifs

IronPort Reputation Filters80% des messages indésirables éliminés…

• Bonne note : les mails sont délivrés

• Note intermédiaire : limiter le débit puis MoteurFiltrage par

… avant qu’ils n’arrivent !


limiter le débit puis filtrer par anti-spam

• Très mauvais: rejetés à la connexion

• IronPort utilise l’identité et la réputation de l’émetteur pour appliquer une politique

• Réponse efficace aux pics indésirables de trafic

MoteurAnti-Spam

Mail entrantsBons, mauvais, et

inconnus / suspicieux

Filtrage parréputation

Senderbase

IronPort Anti-Spam (IPAS)4 questions pour une protection > à 97%

IronPortAnti-Spam

SolutionsConcurrentes

Quoi? Contenu du Message

Comment? Structure du message


Comment? Structure du message

Qui? Réputation Email

Où? Réputation Web

• Taux de Capture à 97% pour un taux de faux positifs < à 1/ 1 millionSource : Test Labs Octobre 2006, une étude de Messa ging Media

• Pas de charge administrative• Technologie MPR (Multi Pattern Recognition) contre le spam image

Défense multi-couches contre les virus

Préventive :

Virus Outbreak Filters

stoppe les attaques virales

Man

agem

entDéfense

Anti-VirusDéfense

Anti-Spam


avant la réception des

signatures anti-virus

Réactive :

Sophos Anti-Virus,

McAfee Anti-Virus

Man

agem

ent




Comment les Virus Outbreak Filters fonctionnent Quarantaine Dynamique en Action

MessagesScanned &

Deleted


T = 0–zip (exe) files

T = 5 mins-zip (exe) files

-taille 50 à 55 KB.

T = 10 mins–zip (exe) files

–taille 50 à 55KB–“Prix” dans le nom

du fichier

T = 8 heures–Libérer les messages

si la signature a été mise à jour

Deleted

Temps moyen de protection additionnelle …………… + de 13 he uresSur un total d’attaques bloquées de ………………….. 248 alertesProtection totale incrémentale ………………………… + de 134 jours

Anti-Virus traditionnels (signatures): Sophos - McAfee

� Moteurs intégrés– Haute performance

� Facile à déployer et à administrer


� Facile à déployer et à administrer– Interface d’administration intuitive

– Vue unifiée via Mail Flow Monitor

– Mises à jour automatiques

– Coût total réduit grâce à la consolidation des fonctions

Protection des données

Man

agem

entDéfense

Anti-VirusDéfense

Anti-Spam


Man

agem

ent





HautePerformance

Flexible

Granularité

Multi-critères

IronPort Content Scanning Engine

ChiffrementArchivageBCC Notiffication légale (disclaimer) Suppression pièces jointesNotification émetteur

Actions


Multi-critères Bounce EmailSuppression EmailQuarantaine

Interrogations

LDAP Filtres spécifiques au client

Conformité législation (HIPAA, SOX…)

Fuite d’information

Pièces jointes non autorisées

Contenu illicite

Mails entrants/sortants

Défense Anti-Phishing

Le filtre de Réputation Web contenu dans IronPort Anti-Spam offre une première protection aux utilisateurs contre le phishing.

DomainKeys (DKIM) permet ensuite d’authentifier les e -

Man

agem

ent

DéfenseAnti-Virus

CISCO IRONPORT ASYNCOS™

DéfenseAnti-Spam


ensuite d’authentifier les e -mails en provenance de l’extérieur, comme de signer les e-mails sortants.

SPF valide les domaines ayant émis les messages.

Chiffrement de messages pour une confidentialité totale.

Man

agem

ent




Outils d’administration Pour une réduction du coût total de possession

Message Tracking –

recherche de message

E-Mail Security Manager –

tableau de bord de politiques de

Man

agem

ent

DéfenseAnti-Virus

DéfenseAnti-Spam


tableau de bord de politiques de

sécurité par groupe d’utilisateurs

E-Mail Security Monitor –

nouveau système de rapports en

temps réel par boîtier

Série M – statistiques, reporting,

et tracking centralisés

Man

agem

ent




Tracking des messagesPour plus de visibilité

Qu’est-il arrivé au mail que j’ai

envoyé il y a 2 heures ?

� Trace les messages


messages individuels

Qui d’autre a reçu des messages

similaires ?

� Statistiques pour vérifier la

conformité

IronPort Email Security Manager ™

Définir ses politiques de sécurité par groupes

• Autoriser les fichiers audio

• Mettre en quarantaine les .exe

Catégories: par domaine, utilisateur, ou groupe LDAP

IT


• Marquer et distribuer le spam

• Effacer les exécutables

• Archiver les messages

• Virus Outbreak Filters désacrivé pour les .doc

IT

SALES

LEGAL

• Volumes e -mail

� Une seule vue pour toute

l’organisation

Don

nées

mul

tiple

s

Rapports consolidés

Cisco IronPort E -Mail Security MonitorUn système de reporting avancé


• Volumes e -mailCompteurs spam

Violations de politiquesRapports viraux

Données sur les e-mailssortants

Rapports sur l’état dusystème

� Analyse en temps réel du trafic e-mail et

des menaces de sécurité

� Plusieurs niveaux de

détail possibles

Don

nées

mul

tiple

s


IronPort Série S

Sécurisation Web

Cisco IronPort Série SRésoudre les challenges liés au Web

SecuriserSecuriserContre le Malware


Challenges

ContrôleContrôleTraffic Web

et Applications

PreventionPreventionFuites de données

Cisco IronPort S-Series

Les limites des solutions traditionnelles

� Performances insuffisantes

� Sécurité pauvre car solutions basées sur la catégorisation d’URL


� Niveau de protection contre les malwares de nouvelles générations insuffisants

� Latence élevée

Problème Client


Le Web Categorisé20% couvert par les listes d’URL


– Contenu dynamique

– Sites protégés par mot de passe

– Contenu généré par l’utilisateur

– Sites à courte durée

Le Web inconnu80% des sites sont non-catégorisés,

très dynamique ou injoingnable




Architecture Sécurité WebCisco IronPort Série S

Management et Reporting


AsyncOS pour le Web

Politique d’usage

acceptable

DéfenseAnti-Malware

Anti-Virus


AsyncOS pour le Web Purpose-Built Performance

Politique d’usage

DéfenseAnti-Malware Protection des

données



� Proxy cache haute performance� Scanning Multi-processeurs� Modes de déploiements multiples

AsyncOS pour le Web

d’usage acceptable

Anti-MalwareAnti-Virus données


Politique d’usage


données

Architecture Sécurité WebPolitique d’usage acceptable de l’Internet


AsyncOS pour le Web



� Filtrage URL par catégorie

� Contrôle des applications et des objets Web

URL Keyword Analysis

Introduction à Cisco IronPort Web Usage ControlsLumière sur le Web

� Industry-leading URL database efficacy• 65 catégories• Mises à jour toutes les 5 minutes• Développé par Cisco SIO

URL Lookup in Database

www.sportsbook.com/Gambling

URL Database

Uncategorized


URL Keyword Analysis

www.casinoonthe.net/Gambling

• Développé par Cisco SIO

� Le moteur d’analyse de contenu dynamique temps réel identifie plus de 90% comme des catégories bloquées

Uncategorized

Dynamic Content Analysis Engine

GamblingAnalyze Site Content

RealReal--time Dynamic time Dynamic Content AnalysisContent Analysis

Moteur Dynamic Content Analysis (DCA)Identifie 90% du contenu non catégorisé répréhensible


Haute performance

• Processus de verdict optimisé

• Moins de 10 millisecondespour obtenir un verdict de catégorisation

• Transparent pour l’utilisateur

Tuné pour du contenu

fréquemment bloqué• Pornographie et Adulte• Haine• Jeu• Proxy Anonyme

Analyse du contenuen termes humains

• Analyse heuristique avancée basée sur la modélisation du concept de contenus

• Amélioration de la précision par rapport à l'approche simpliste mot-clé

Arrête plus de 50% de contenu répréhensible*

*Source: Cisco SIO, based on data from customer production traffic

Cisco IronPort Web Usage ControlsLeading Efficacy, Rich Controls, Comprehensive Visibility


Contrôle• Politiques par user,

par groupe• Multiple actions:

block, warn, monitor• Time-based policies• Unlimited custom

categories• Notifications

personnalisables

Visibilité• Rapports faciles à

comprendre• Logs détaillés• Alertes

compréhensives

Efficacité• 200+ pays• 50+ langues• 65 categories• Moins de 1 pour 1

million de faux positifs

Contrôle des applications Web

� Contrôle natif pour les applications HTTP, HTTP(s), FTP

� Déchiffrement sélectif du trafic SSL pour la sécurité et l’application des politiques d’usage de l’Internet

� Application des politiques pour les applications encapsulées dans HTTP — FTP, messagerie instantanée, vidéo


Softwareas a Service

instantanée, vidéo

� Filtrage des objets Web (selon la nature ou la taille)

ApplicationsencapsuléesCollaboration

ftp://ftp.funet.fi/pub/


Politique d’usage


données

Architecture Sécurité WebDéfense Anti-Malware


AsyncOS pour le Web



� Moniteur de trafic� Filtres de réputation Web� Scan à base de signatures (DVS Engine)

La défense anti-malware Cisco IronPortUne protection multi-niveaux

Layer 4 Traffic Monitor


Dynamic Vectoring and Streaming

Engine


Monitor Filters Engine

� Détecte le trafic malicieux en scannant tous les ports

� Bloque 70% du malware au niveau de la connexion

� Bloque le malware en analysant

DVS EngineSensorBase

Web Reputation Filtering

Web Reputation Filtering

Les “bons” sites ne sont pas scannés

Déchiffrement SSL


Score suspect

URLsdemandées

Les sites “mauvais” sont bloqués

Déchiffrement SSL

Scan Anti-Malware & Anti-Virus

Les Web Reputation FiltersUtilisent les données de SenderBase

• Blacklists URL

• Whitelists URL

• Catégorie URL

• Contenu HTML

• Comportement de l’URL

Paramètres (45)

PREVENTION DES MENACES EN TEMPS REEL


• Volume de données

• Informations sur le domaine

• Adresses IP dynamiques

• Listes de serveurs “compromis”

• Données de robots Web

• Propriétaires des réseaux

• URL à menaces connues

• Data hors-ligne (F500, G2000…)

• Historique du site Web

SenderBase Analyse TOC Scores de réputation Web-10 à +10

Cisco IronPort DVS Engine3 avantages majeurs

� Déchiffre et scanne le trafic SSL

– De façon sélective, basée sur la catégorie et/ou la réputation


� Multiples moteurs intégrés

– McAfee et Webroot

� Scanning à base de signatures accéléré

– Scans parallèles

– Stream scanning

Scan en mode streaming


« En raison de la nature en temps réel des protocoles HTTP (…) et HTTPS et de leur flux de données, des fonctionnalités de scanning en temps réel (= en streaming) plus sophistiquées sont nécessaires pour s’assurer que le trafic Web reste sécurisé et à l’abri des attaques. »

IDC

Scan HTTPS sélectifBasé sur la réputation

Utilisateurs

ServeurWeb

Déchiffrer • Inspecter • Re-chiffrer

Proxy

Internet


Utilisateurs ProxyAppliance de Sécurité Web

• Le filtrage HTTPS sélectif :– Respecte la confidentialité des véritables sessions HTTPS

légitimes (par exemple un utilisateur consultant son compte bancaire en ligne)

– Empêche le téléchargement de malware en toute impunité via des sites HTTPS frauduleux

Politiques de déchiffrement HTTPS� Politiques par groupes sont définies par un ou plus ieurs des critères

suivants: –Sous réseau

–Ports proxy

–Utilisateurs authentifiés*

–Groupes autorisés*

–Catégories d’URL (hostname et/ou IP)

–Catégories d’URL personnalisées (hostname et/ou IP)


–Catégories d’URL personnalisées (hostname et/ou IP)

� L’action de déchiffrement peut se décoder sur:–Catégories d’URL

–Catégories d’URL personnalisées

–Note de réputation

–Action par défaut

–Erreurs de certificats serveurs

* Seulement pour les demandes en mode Explicite et authentification transparente sur l’IP –seulement si l’information est disponible depuis une précédente transaction HTTP.


Politique d’usage


données

Architecture Sécurité WebProtection des données


AsyncOS pour le Web



� 1er niveau de protection des données on-box

� Sécurité plus avancée à l’aide de produits tiers

Data SecuritySécurité simple en mode on-box

� Inspection des métadonnées

–Incluant le type de fichier, sa taille, son nom.

� Allow, block, log

–Règles basées sur les métadonnées combinées au userID, à la categorie et à la réputation de la destination


categorie et à la réputation de la destination

� Multi-protocole

–HTTP(s), FTP, HTTP tunneled

Internet

www.mypartner.com

www.malwarrior.com

Allow, Block, Log

Users

Politiques de sécuritéUne approche simple fondée sur le bon sens

Who? John Smith, Finance

FiscalPlan.xls

John Smith, Finance

FiscalPlan.xls

Jane Doe,Commercial

CustomerList.docWhat?


Webmail.com

HTTPS

(Chiffré)

Taxfirm.com

HTTPS

(Chiffré)

Personal-site.com,score de réputation -9

FTP

Where?

How?

Verdict

Protection des donnéesSécurité avancée

� Intégration transparente

� Inspection de contenu poussée

� Optimisation de la performance

– Travaille de concert avec les politiques de sécurité on-box


– Travaille de concert avec les politiques de sécurité on-box

InternetAllow, Block, Log

Utilisateurs

Contenu Verdict

Produit tiers

Les pertes de donnéesNon provoquées par les utilisateurs

Gozi Trojan� S’installe via un fichier PDF joint� Se chiffre pour échapper aux contrôles� Vole des données sur les flux SSL Sinowal Trojan

� Plus de 500 000 comptes en banque touchés

Trojan.PWS.ChromeInject.B� S’installe via un plug-in Firefox� Vole les données bancaires


Bloque les pertes de données liées aux communications de codes

malicieux vers l’extérieur

Empêche de nouveaux malware de pénétrer sur le réseau

Layer 4 Traffic Monitor


Dynamic Vectoring and

Streaming Engine

� Liens présumés avec le Russian Business Network

IronPort S -Series Etude de Cas

Compagnie d’assurance, 25 000 utilisateurs

11 Million de transactions HTTP / jour

+20 000 de transactions malware / jour“We see ~ 2.5 - 3M transactions per hour with a sign ificant volume of malware,”


Santé, 35 000 utilisateurs

1 Million de transactions malware / jour

15 Millions bloqués en moins d’un mois“We are extremely happy with the L4 Traffic Monitor & amazed at the amount of malware traffic within our network. The S-Series provides a layer of defense that was n on-existent in our network.”


Politique d’usage


données

Architecture Sécurité WebOutils de gestion et de reporting


AsyncOS pour le Web



� Configuration des politiques

� Administration et délégation fondées sur les rôles

� Rapports sur la sécurité et l’usage d’Internet

� Gestion centralisée avec la Série M

� Bloque les exécutables

� Bloque les sites de sport entre

Marketing

Cisco IronPort Web Security ManagerDéfinir ses politiques de sécurité par groupes

� Bloque les uploads FTP

� Autorise les fichiers média

� Route les requêtes vers un sitepartenaire


� Bloque les sites de sport entre9h et 18h, lun. au ven.

� Déchiffre les connexions SSL

� Autorise toutes les catégories d’URL

� Dispense les mises à jour Adobe d’authentification

� Bloque tout le malware

IT

Sales

Configurer des politiques granulaires reposant sur de multiples facteurs

Administration Déléguée (Série M)Flexibilité au service des organisations

ITPas de Media

Pas de FTP

L’administrateur global définit les rôles et les permissions d’accès


SALES

LEGAL

Pas de FTP

Pas de Webmail

� Assigne des administrateurs par groupes d’utilisateurs, d’appliances, de sous-réseaux ou de destinations

� Granularité, contrôle d’accès basé sur les rôles

Un responsable des politiques définit des règles pour les utilisateurs qu’il gère

Policies are applied by group membership

Rapports sur la sécurité

� Visibilité détaillée sur les menaces- Vue du trafic Web

- Moniteur de trafic

- Détails sur les catégories de menaces

- Risque malware pour les postes

- Détails sur l’activité des postes

OverviewOverviewOverview

L4TML4TML4TM


- Web Reputation Filters

� Des rapports off-box encore plus poussés avec Sawmill- Analyse de données plus poussée

- Rapports sur les tendances de malware

- Client, Source, nom et catégorie

Reputation FiltersReputation FiltersReputation Filters

for IronPort

Rapports sur l’usage d’Internet

� Vues en temps réel

- Utilisation du Web et tendances

- Contrôle des politiques d’usage acceptable de l’Internet

- Identifie les comportements


for IronPort

- Identifie les comportements d’utilisateurs “à risque”

� Statistiques complètes

- Identifie les violations de politiques

- Détails pour des analyses complètes

- Satisfait les besoins de conformité

Alert Center

Contrôle du systèmeIntégration simple avec des processus existants


� Abonnements aux alertes par administrateur� Zones distinctes de gestion

SNMP

� IronPort MIB� S’intègre avec tout outil

compatible SNMP� SNMP v1, v2, v3

Log Subscriptions

� Squid, Apache, W3C, format de logs personnalisés

� Distribution via SCP, syslog, FTP


IronPort Série M

Management Centralisé de la Sécurité

M-Series / C-Series


Politiques et configuration centraliséesM-Series / S -Series

Cisco IronPort Série S


Management Centralisé et contrôledes politiques web



Cisco IronPort Série M

� Configuration Centralisée : déploiement facilité pour les Cisco IronPort Série S

� Contrôle et sauvegarde centralisés des politiques

� Délégation de politiques pour des adaptations locales

� Reporting centralisé avec Sawmill for IronPort

Délégation d’AdministrationFlexibilité

ITNo Media

No FTP

L’administrateur définit les rôles et droits d’accès.


Le responsible met en place les rêgles pour sesutilisateurs

SALES

LEGALLes politiquessont appliquéespar groupesd’utilisateurs

No FTP

No Webmail

� Assignation des administrateurs par groupes d’utilisateurs, boîtiers, réseaux ou destinations

� Contrôle d’accès granulaire par rôle

cisco ironport solutions de sécurité e-mail et web · cisco public 8 email sécurité web...

Documents