seguridad de email cisco · lista de usuarios accediendo urls reescritas añadir urls malignas a...
TRANSCRIPT
Visión Tecnológica General para Responsables Técnicos
Seguridad de Email Cisco
Susana Martínez - Systems Engineer
Junio 2016
Oriol Madriles - Virtual Systems Engineer
Agenda
Introducción a la Seguridad de Cisco y Evolución en el
Ámbito del Correo Electrónico
Protección de Entrada
Control de Salida
Reportes y Gestión
Flexibilidad de Implementación
Mejor Visibilidad
en la Seguridad
Proteger la
Empresa Móvil
Endurecer y
Segmentar la Red
Mejora de Resultados
con los Servicios de
Seguridad
Protección contra
Malware Avanzado
Seguridad como
Impulsora de la Red
Lo que Cisco Proporciona a sus Clientes
Nuestro objetivo es hacer la seguridad menos complejaproporcionando el mejor portafolio, que está profundamente integradoy proporciona soluciones que son excelentes a nivel individual, peroinfinitamente más poderosascuando se usan de maneraconjunta.
La Seguridad Efectiva Se Proporciona Cuando Las Piezas Se IntegranPerfectamente
Las Empresas Consideran el Correo Electrónicocomo Uno de sus Sistemas Más Importantes
89,0101,0
114,3128,6
143,8
0
20
40
60
80
100
120
140
160
2012 2013 2014 2015 2016
Em
ails
de
Ne
go
cio
sp
or
Día
(Mile
s d
e M
illo
ne
s)
Fuente: The Radicati Group, Inc., Email Statistics Report, 2012-2016
La Forma en que Usamos el Correo Electrónico EstáCambiando
Móvil Cafetería Oficina Casa Aeropuerto
Y las Amenazas Están Cambiando TambiénDando Lugar a Usuarios y Organizaciones Cada Vez Más Expuestasy Haciendo Más Difícil la Protección de la Red
Malware
Infections Acceptable
Use ViolationsData Loss
IPv6 Spam
Blended Threats
Targeted AttacksAPTs
Advanced Malware
Rootkits
Worms
Trojan Horse
Email is the #1 Threat Vector
Cómo luchar contra las Amenazas Más Avanzadascon las Soluciones de Seguridad de Correo de Cisco
Soluciones
Fortalezas
Defensa Centrada en las
AmenazasSeguridad de Datos
Foco en la Amenazas Alto Rendimiento Innovación Continua
Defensa de la Amenaza con SeguridadEmail de CiscoProtección Completa de Entrada
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
Remediate
Cisco® TalosFiltrado por Reputación de Remitente
Antispam
Filtros “Outbreak”
Análisis de URLs en Tiempo Real
Descarte
Descarte/Cuarentena
Antivirus Descarte/Cuarentena
Advanced Malware Protection (AMP) Descarte/Cuarentena
Cuarentena/Reescribir
Entrega CuarentenaReescribir
URLsDescarte
Detección de “Graymail” Reescribir
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateDKIM y SPFAutenticación de Correo Electrónico
Bloqueo de ataques “spoofing” y “phishing”
Aplicación de más políticas liberales a fuentes externas autenticadas
Trusted_Partner.com
Trusted_Partner.com
Impostor
Su Compañía
Servidor
DNSFirmado
Cisco® ESA
Descarte/Cuarentena
Firmado
Verificado
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateDMARCEstandarizando la Autenticación del Correo Electrónico
Trusted_Partner.com
Trusted_Partner.com
Impostor
Su Compañía
Firmado
Cisco® ESA
Descarte/Cuarentena
Firmado
Verificado
Reduce la exposición de sus usuarios al phishing
Ata DKIM y SPF conjuntamente y solventa sus limitaciones
Identifica las acciones a seguir si la autenticación del mensaje falla para el dominio del remitente
Permite enviar reportes agregados de vuelta al dominio del remitente para informar de la disposición del mensaje
Servidor
DNSDMARC p=reject
Reporte
Base de Datos de Reputación de Emailde Cisco
Inteligencia de Amenazas
Más de 1.6 millones dispositivos globales
Biblioteca histórica con 40,000 amenazas
35% del tráfico de email a nivel global revisado
cada día
Más de 13,000 millones de peticiones web a nivel
mundial supervisadas cada día
Más de 200 parámetros rastreados
Multivector visibilityBeneficios
Visibilidad dinámica de amenazas de 360
grados
Conocimiento de tecnologías de explotación y
vulnerabilidades
Visibilidad en los portadores de mayor nivel de
amenaza
Últimas técnicas y tendencias de ataque0-10
Puntuación de la Reputación IP
+10
Trampas de
Spam
Reportes de
Quejas
Listas Blancas
y Negras de IPs
Datos de la
Composición
del Mensaje
Listas de Hosts
Comprometidos
Datos de la
Composición
del sitio Web
Datos de
Volumen Global
Listas Negras
de Dominio y
Listas Seguras
Otros Datos
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
Remediate
10I000 0II0 00 0III000 II1010011 101 1100001 110
110000III000III0 I00I II0I III0011 0110011 101000 0110 00
I00I III0I III00II 0II00II I0I000 0110 00
101000 0II0 00 0III000 III0I00II II II0000I II0
1100001110001III0 I00I II0I III00II 0II00II 101000 0110 00
100I II0I III00II 0II00II I0I000 0II0 00
Integración de la Seguridad de Email de Cisco con Inteligencia de AmenazaConstruido en base a Analíticas Espectaculares de Seguridad Colectiva
Cisco® SIO Cisco Sourcefire® VRT(Vulnerability Research Team)
Más de 180,000 Muestras
de Ficheros por Día
Comunidad Cisco® AMP
Divulgaciones Avanzadas de
Microsoft y la Industria
Snort y Comunidades de
Código Abierto ClamAV
Honeypots
Programa Sourcefire
AEGIS™
Actualizaciones de Amenaza
Privadas y Públicas
Análisis Dinámico
Email Endpoints Web Networks IPS Devices
WWW
1.6 millonessensores globales
100 TBdatos recibidos al día
150 million+ dispositivos instalados
600+ingenieros, técnicos,
e investigadores
35% tráfico de correo a nivel
mundial
13,000 millonespeticiones web
24x7x365operaciones
40+idiomas
Cisco ESA
Advanced Malware Protection
AMP
Cisco Talos
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateProcesamiento de AntispamDefensa en Profundidad
Correo entrante:
Bueno, malo, y
desconocido
SBRS
Powered byCisco® SIO
Qué
Cisco
Anti-Spam
CuándoQuién
CómoDónde El correo normal es
sometido al filtrado de
spam
Se limita la tasa de
entrada en el caso de
los correos
sospechosos y se les
somete al filtrado de
spam
Email reconocido
como malo es
bloqueado antes de
entrar a la red
Reputación URL y contexto
usados en la puntuación
> 99% tasa de captura
< 1 en 1 millón de falsos positivos
PolíticasCorreo
Las listas blancas se
someten al filtrado de spam
Cisco
Anti-
spam
Engine
Cisco
Anti-
spam
Engine
Anti-
spam
Engine B
Anti-
spam
Engine
(Future)
Multiescaneo Inteligente (IMS)
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
Remediate
Defensa Antivirus en Profundidad
Cisco
Anti-Spam
Sophos
McAfee
O ambos Sophos y McAfee
Elección de Motores Antivirus
Motores AntivirusMotores Antispam
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateProtección Cisco contra Amenazas de Día CeroProtección frente a Malware Avanzado (Advanced Malware Protection – AMP)
Filtros OutbreakAdvanced Malware Protection
Reputación
De Fichero
Reputación de fichero conocida
Sandboxing
Para Fichero
Archivos desconocidos son subidos para sandboxing(archivado, Windows PE, PDF, MS Office)
Integración
Cisco® AMP
Actualización de Reputación
Sandboxing con AMP en localArquitectura de la Solución de AMP con ThreatGrid
Escaneadores AV
Locales
ESASolicitud
Reputación
Fichero
Archivo
Cualificado, Subir
para Sandboxing
“Heartbeat”
Retrospectivo
Conector Sandbox
Conector
AMP
Cliente AMP
Pre-Clasificación
Petición de
Disposición
Petición ParalelaVeredicto
AMP es
priorizado –
Limpio
Maligno
Desconocido –
¿Subido en la
Instalaciones?
JPG
HTML PDF
SWF
Nube Cisco
Talos, AMP
Cache Local
Cisco Sandboxing en
las Instalaciones
Cuarentena de Análisis de Fichero en Cisco AMP
Cuarentena para almacenar “malware” potencial bajo investigación en “sandbox”
Cuarentena del Sistema con funciones estándar
- Soltar, Eliminar, Enviar Copia, y Retrasar la salida programada
Soltar de manera automática y reescanear el mensaje cuando el análisis del fichero se haya
completado
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateProtección Cisco contra Amenazas de Día CeroAlertas en retrospectiva con Cisco AMP
Retrospección = Protección Continua contra Amenazas Avanzadas
Inteligencia de SeguridadColectiva
Historial de eventos
Informes y alertas en
retrospectiva Proporcionan actualizaciones
sobre ficheros que han
cruzado ya el sistema
Alertan a los administradores
sobre archivos que han
cambiado de disposición
Informan de ficheros con
cargas retrasadas u otras
técnicas diseñadas para
saltarse el “sandboxing”
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateProtección Cisco contra Amenazas de Día CeroFiltros Outbreak
Advanced Malware Protection
Detección de Amenazas de Día Cero
a través de la Nube
Detección de Amenazas y Virus de Día Cero
Tiempo medio de ventaja*: Más de 13 horas
Outbreaks bloqueados*: 291 outbreaks
Protección incremental total*: Más de 157 días
Ventaja de los Filtros Outbreak
Filtros Outbreak
Cisco®
Talos
Filtro de
Virus
Cuarentena
Dinámica
Detección de “Graymail”
Se ha añadido un nuevo motor para la identificación de “Graymail”. Este motor
también extraerá los enlaces de cancelación de suscripción del mensaje y pasará
un veredicto a IPAS para mejorar la eficacia del filtro de spam.
El administrador ve lo siguiente:
Sin embargo, el escaneo de “Graymail” se produce antes en el flujo:
SBRS > GM > AS > AV > AMP > CF > VOF
Las acciones sobre el “Graymail” ocurren después de AMP ya que CASE/IPAS
tiene la respuesta final sobre si un mensaje es “Graymail”:
SBRS > AS > AV > AMP > GM > CF > VOF
SenderBaseReputation
Filters
Anti-Spam Scanning
Anti-Virus Scanning
Advanced Malware
Protection
Graymail Detection
Content Filters
Virus Outbreak
Filters
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateFiltros OutbreakDefensa contra Ataques Combinados
El Enlace es Pulsado
Cisco® Talos
Inspección en tiempo real,
dinámica vía HTTP
La Web está limpia
La Web está bloqueada
Cisco Security
The requested web page
has been blocked
http://www.threatlink.com
Cisco Email and Web Security protects your
organization’s network from malicious software.
Malware is designed to look like a legitimate email
or website which accesses your computer, hides
itself in your system, and damages files.
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateDefensa de URLsSeguridad Web y Email Integradas
Email Contiene URL
Cisco® Talos
Reputación y Categorización de URLs
Reemplazar
Defang/Bloquear
Reescribir
Enviar a la Nube
BLOCKEDwww.playb
oy.comBLOCKED
BLOCKEDwww.prox
y.orgBLOCKED
“Esta URL está
bloqueada por política”
Las principales
URLs malignas
Usuarios que las
seleccionaron
Fecha/hora,
razón para
reescribir, acción
de la URL
Seguimiento de Interacciones WebHabilitar Rastreo de URLs Reescritas mediante Política
Before
Discover
Enforce
Harden
During
Detect
Block
Defend
After
Scope
Contain
Remediate
URL Reescrita
Usuarios seleccionan
la URL Reescrita
Basado en
Email ID
Basado en
grupo LDAP
Basado en
Dirección IP
Parada de Día
Cero
Inteligencia
Dinámica
Educación de
usuarios
Informe sobre
URLs
Reescritas
Lista de
usuarios
accediendo
URLs
reescritas
Añadir URLs
malignas a
lista negra
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateSeguridad de Email de CiscoProporciona un fuerte control sobre el correo saliente (outbound)
Limitación
de la tasa
de correos
salientes
Comproba
ción AS/AV
Cumplimie
nto/Preven
ción de
pérdida de
datos
(DLP)
Encriptació
n de datos
sensibles
DKIM/SPF
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateLimitación de la Tasa de CorreosSalientes
Recepción de alertas identificando un volumen
alto correos procedente de remitentes
posiblemente infectados
El límite de la tasa puede ser superior para
usuarios de departamentos tales como Marketing
o Atención a clientes
Los usuarios pueden enviar hasta 100 correos por
hora
El administrador puede establecer límites para
usuarios individuales
Política
Admin
1-100 Emails 101-1000 Emails
Alertar al
administrador
cuando se
alcance el límite
!
!
Usuario típico
Usuario con volumen
alto permitido
Usuario malicioso
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
Remediate
Email Uptime
Threat Prevention
Email Scanning
Policy Enforcement
Risk-Policy Definition
Advanced Incident
Workflow
Fingerprinting
DLP y CumplimientoIndependiente o parte de una solución DLP más amplia
Motor RSA DLP
internoIntegración con RSA
Enterprise DLPData-Loss Prevention
Incidentes Políticas
Preciso, Fácil, y Extensible
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateEstablecimiento de Políticas de EncriptaciónConfiguración de TLS basada en el origen del correo
Cumplimiento de obligaciones contractuales
Prevención contra el envío en claro de datos sensibles
Impedir que socios de negocio con una mala configuración nos envíen datos sensibles en claro
Nuestra Compañía
Cisco Envelope EncryptionFácil para el Remitente
Gestión de claves automatizada
No se requiere software de escritorio
Envío transparente a cualquier dirección de correo
Encriptación activada por + palabras clave | políticas | remitentes | destinatarios | etc.
Controles del remitente Destinatario
Cisco® Email Security Appliance
Clave del
mensaje
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
Remediate
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
Remediate
Y Fácil para el Destinatario
Credenciales Corporativas (opc.)
Abrir documento anexado
1
Confirmar identidad
2
Ver el mensaje
3
Cisco® Registered
Envelope Service
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateAutenticación de Correo SalienteDKIM y SPF
Evita la falsificación de tus mensajes
Mejora tu reputación
Evita ser incluido en listas negras
Tu Compañía ISP
Servidor
DNSPública
Cisco® ESA
De: Tu_Compañia.com De: Tu_Compañia.com
Firmado
De: Tu_Compañia.com
Firmado
Verificado
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateAutenticación de Correo SalienteDMARC
Protege tu identidad del “phishing”
Mejora la reputación del remitente y la posibilidad de entrega
Visibilidad y control del correo enviado y de quién está enviando en tu nombre
Tu Compañía ISP
Servidor
DNSPública
Cisco® ESA
De: Tu_Compañia.com De: Tu_Compañia.com
Firmado
De: Tu_Compañia.com
Firmado
Verificado
Informe
Encriptación S/MIME
Dos nuevos campos han sido añadidos al resumen de correo entrante S/MIME Verification/Decryption Failed
S/MIME Verification/Decryption Successful
Análisis de Spam No Detectado (Missed-Spam)
Categorías de Spam no detectado(Envíos de cliente desde Enero/14)
Offer
Phish
Scam
Job
LotteryDrug
Loan DatingInsurance
Porn
Seminar
Diplomas Mkt SvcsCasinoLinkMalware
LuxuryStocks
El administrador puede establecer una tasa límite para
remitentes individuales
La mayoría del “Offer spam” utiliza técnicas “Snowshoe”
“Snowshoe spam” – Técnica empleada por los“spammers” para cubrir sus huellas, no ser detectados. Su objetivo es saltarse las técnicas tradicionales de Anti-Spam.Campañas cortas – rápida transformación – cambio
constante
Fina línea para mantener el equilibrio entre la tasa de
detección y los falsos positivos
No son técnicas nuevas, sin embargo, su uso se ha
incrementado
Anti-Reputación del remitente Anti-Análisis de contenido
Nunca usan la misma IP para mandar más de unacantidad x de spam enmás de un período de tiempo y.
Nunca envían el mismospam desde la misma IP.
Nunca usan las mismasseries de palabras
Nunca reusan las mismasimágenes
Nunca usan la misma URL
Anti-SnowshoePasos a seguir para combatir el Spam
“Maintain leadership in antispam efficacy through ever-changing threat landscape to protect our
customers and keep ahead of the competition”
Expansión del alcance del sensor para una
detección temprana de las campañas “snowshoe”
Incremento de la automatización y la
autoclasificación de correos para una respuesta
más rápida
Mejor defensa contra el spam tipo “snowshoe” por
medio de un análisis contextual mejorado
Cisco Email Security Mejora la Visibilidad a NivelAdministrativo
Administrador
GestiónMonitorización de
mensajesInformes
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateFácil Monitorización y Generación de Informes
Informes con navegación jerárquica Monitorización de mensajes detallada
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateVisibilidad sobre los Mensajes de CorreoMonitorización de mensajes
Qué ha ocurrido con el correo que
envié hace 2 horas? Seguimiento de mensajes de correo
individuales
Quién más ha recibido correos
similares? Reportes forenses para ayudar a
asegurar el cumplimiento
BeforeDiscover
Enforce
Harden
DuringDetect
Block
Defend
AfterScope
Contain
RemediateAmplia VisiónInformes unificados a nivel de negocio
Vista única para toda la
organización
Visibilidad en tiempo real del
tráfico de correo y de las
amenazas de seguridad
Reportes procesables que
permiten la navegación jerárquica Informes Consolidados y
A Medida
Volumen de Email
Contadores de Spam
Violaciones de Políticas
Informes de Virus
Datos de Correos Salientes
Servicio de Reputación
Vista de la Salud del Sistema
Múltiple Puntos de Datos
Opciones de Despliegue FlexiblesLa mejor protección de correo en el Gateway
Opciones de
Despliegue
In Situ
VirtualDispositivo
Hardware
Soporte
Multidisposi-
tivo
CloudEscritorio TabletaPortátilMóvil
Híbrido
Nube
Nube GestionadoHíbrido
Cisco Continúa siendo un Leader en el Mercado de los Gateways de Correo Seguro
Este gráfico fue publicado por Gartner, Inc. comoparte de un estudio de investigación mayor y deberíaser evaluado dentro del contexto del documentocompleto. El documento de Gartner está disponiblebajo petición en Cisco.
Gartner no promociona a ningún vendedor, producto o servicio de los que aparecen en sus publicaciones de investigación, y no aconseja a los usuarios de tecnologíaescoger sólo a aquellos vendedores con las valoracionesmás altas. Las publicaciones de investigación de Gartner consisten en las opiniones de la organización de investigación de Gartner y no deberían ser interpretadascomo declaraciones de hecho. Gartner niega cualquiergarantía, expresada o implicada, con respecto a este estudio, including any warranties of merchantability or fitness for a particular purpose.
Gartner’s Magic Quadrant for Secure Email GatewaysPeter Firstbrook, Neil Wynne June 29, 2015
• Consiga una versión de prueba gratuita de “Cisco Email Security Appliance”/“Cisco Cloud Email Security” (45 días, formato “try and buy”) http://www.cisco.com/web/offers/sc07/virtual-trial-offer/index.html?KeyCode=000813860
• Ir a: dcloud.cisco.com (requiere Cisco.com user ID – se puede solicitaren http://tools.cisco.com/RPF/register/register.do?referer=http://www.cisco.com/)
• Llame gratuitamente al 900 997 154 (Número alternativo: +34 91 201 2800)
Cómo Probar la Seguridad de Email de Cisco
