December 14, 2022 | Author: Anonymous | Category: N/A
Cisco Email Security Appliance Sergio Oshiro
[email protected]
Agenda • Introducción Introducción a la Seguridad en el Correo • Solución de Seguridad del Correo Correo de Cisco • Cisco Email Security Appliance (IronPort
Antispam)
Ar Arquitectura quitectura del Email
Tér érminos minos y Flujo del Corr Correo eo T
Conersación S!TP • S!TP es un protocolo simple con un
conjunto de comandos "ien de#nidos$ • %tili&ando 'Telnet es una orma *cil de
pro"ar la conectiidad S!TP y entregar un correo +acia una cuenta receptora$
Conersación S!TP • Comandos que escribimos están en azul. • as respuestas del sistema en negro. • !atos que se ingresan están en naran"a.
Conersación S!TP
Introducción a la Seguridad en el Correo
Eolución de la Seguridad del Email
Eolución del %suario
Amenazas de Entrada y Salida en la Actualidad Actualidad
• El costo de solo una "rec+a de seguridad en la
empresa puede ser sorprendente$ 'Ponemon Institute estima de pérdidas desde %S,- millón +asta rangos %S,./ millones$ • 0as normas de diulgación de inormación1
+acen que sean m*s costosas las pol2ticas de correo que no son ejecutadas$
34ué es el Spam5 • !ensajer2a electrónica electrónica no deseada$ • Correos electrónicos1 mensajer2a
instant*nea (I!)1 6e" spam1 entre otros$
• 7eneralmente es de la orma pu"licitaria1
pero tam"ién e8isten actualmente el spam con #nes criminales como ro"o de identidad (p+is+ing) o raudes$
• 0os 9spammers: utili&an
programas que recor recorren ren la lista eniando el mismo mensaje a todas las direcciones$ • Esto supone un costo
m2nimo para ellos1 pero perjudica al receptor (pérdidas económicas y de tiempo) y en general en Internet1 por consumirse gran parte del anc+o de "anda en mensajes "asura$
Obtención de direcciones de correo propios
• 0os
sitios 6e"1 que con recuencia contienen la dirección de su creador1 o de sus isitantes (en oros1 "logs1 etc$)$
• 0os
grupos de noticias de 9usenet:1 cuyos mensajes suelen incluir la dirección del remitente$
• 0istas de correo; les "asta con apuntarse e ir
anotando las direcciones de sus usuarios$ • Correos electrónicos con c+istes1 cadenas1 etc$
que los usuarios de internet suelen reeniar sin ocultar las direcciones1 y que pueden llegar a acumular docenas de el un cuerpo del mensaje1 pudiendo serdirecciones capturadasen por troyano
o1 m*s raramente1 por un usuario malicioso$
Obtención de direcciones de correo
• P*ginas en las que se solicita tu dirección de
correo (o la de 6i=ipedia$org1 ia$org1
El Spam en números • @epresentan entre el .BDB de todos
los correos electrónicos1 segn diersas empresas de inestigación$ • El anc+o de "anda utili&ado por spammers se incremento de GH. T" en el G-- a . T" al G-$
Países que generan más Spam - 20!
Publicidad • El tipo de Spam m*s comn es el
relacionado a la Pu"licidad1 el cual representa un JDB$ • El
segundo
m*s
comn
es
el
relacionado al contenido Adulto1 el cual es un JGB$ K el Spam relacionado a los asuntos Financieros representa un GHB$
P"is"ing • El Spam relacionado al raude
comprende un JB de los correos y lo relacionado al P+is+ing representa un HB$
El #ol del Email • Lurante el ltimo aMo1 los modelos de
ci"ercr2menes +an tenido un cam"io$ A+ora1 la cantidad de ataques masios +an disminuido y se eidencia en una reducción reducc ión del /B de olumen de spam$ • 0os ci"ercriminales se est*n enocando
en esuer&os de mayor alor1 los cuales incluyen; raudes1 ataques maliciosos1 ataques de p+is+ing y destinados
espec2#camente a una empresaNlugar$
#educción de $taques %asi&os • Cisco
estima que el "ene#cio del ci"ercr2men en los ataques masios tradicionales +a disminiudo en m*s de .BO desde %S,-$- "illones en unio G- a ,. millones en unio G--$
• Este
cam"io reQeja la reducción del olmen de spam desde J "illones a "illones de mensajes spam diariamente desde unio G- +acia unio
G--$
$dquisición de IronPort
%odelos de $ppliance
Cisco Securit' Intelligence Operations - SIO
()u* es+ • Es un sericio "asado en la nu"e que conecta la
inormación
con
respecto
a
las
amena&as
glo"ales1 sericios para "asados en reputación y un an*lisis so#sticado los dispositios de Cisco para proteger las redes de comunicaciones$ • Contiene
el contenido relacionado con la pu"licaciones de aisos y otros contenido de seguridad$ (+ttp;NN (+ttp;NN tools$cisco$comNsecurityNcenterN+ome$8)) tools$cisco$comNsecurityNcenterN+ome$8
Portal de SIO en Cisco • Incluye respuestas de eentos en la
industria1 alertas Intellis+ield y los aisos de seguridad de productos de Cisco$ • El portal de SI est* destinado a ser el
primer lugar que isite en la "squeda de inormación inormaci ón de seguridad en Cisco$ Cisco$
Ob,eti&o • Anali&ar las amena&as y mitigarlas lo
m*s pronto posi"le$ • Proeer an*lisis de las ulnera"ilidades1
corrigiéndolas y retroalimentación empresariales$
"rindando este a los usuarios
IronPort Senderase /etor1 .
a primera ' más grande ase de Cali3cación %undial !onitoreo de tr*#co de correo a niel mundial 666$sender"ase$org
Cisco Email Securit' $ppliance 4ES$5
$rquitectura de la Plata6orma Sin ESA
Con ESA
Sistema de 7e6ensa %ulti-ni&el $nti- Spam
Seguridad en distintos ni&eles Preventivo + Reactivo = Defensa Completa
#eputation 8ilters detiene 9:; de las "ostilidades
7e6ensa %ultini&el ante ataques de e?t #esources • Plantillas de te8to que pueden ser
eniadas como mensajes o adjuntas a estos$ !essage
Lisclaimers
Woti#cation
templates Antiirus Woti#cation templates Xounce
and Encryption Failure Failure Woti#cation template
Encryption Woti#cation templates • Yte8tcon#g
>e?t #esources @ 7isclaimer • Puede ser aMadida arri"a o de"ajo del
mensaje (+eading o ooter) para algunos o todos los mensajes reci"idos reci"idos por un listener$ Ylistenercon#g
>e?t #esources @ /oti3cation • %sados con los accionadores de #ltros
notif#$% y notif#&cop#$% $ • Pueden contener te8to noascii$ no ascii$
>e?t #esources @ $< /oti3cation • Anti Antiirus irus noti#cation no ti#cation template Cuando el mensaje original no se adjunta a la noti#cación de irus$
• Anti Antiirus irus container template Cuando el mensaje original es eniado como adjunto a la noti#cación de irus$
>e?t #esources @ ounce and Encr'ption 8ailure /oti3cation
>e?t #esources @ Encr'ption /oti3cation • %sado en caso se tenga con#gurado un
método de cirado para corr correos eos salientes$ • Se noti#ca al usuario que +a reci"ido un mensaje seguro y le proee instrucciones para leerlo$
CISCO E%$I E/C#AP>IO/
>S
C#ES
• Wo requiere interención del usuario$
0os usuarios no sa"r*n que sus correos est*n siendo transmitidos por un canal seguro$ • @equiere con#guración en e8tremos$ • T0S es direccional$ Se puede +a"ilitar
para uno o arios dominios internos1 o por el contrario para el dominio al cual se eniar*n mensajes$ • Ironport
e8tensiones
AsyncS STA@TT0S
soporta +acia
protocolo seguro S!TP descrito en @FCJGCH$ • Para con#gurar con#g urar ST STA@ A@TT0S; TT0S;
"tener certi#cado$
Instalar certi#cado$
• @equiere que los usuarios se
registren (+ttps;NNres$cisco$comN6e"saeN actiate) • Es un sericio en la nu"e1 por lo que el control de llaes priadas la tiene Cisco$ • A
traés de consola de administración se puede customi&ar la plantilla de p*gina 6e" ( +ttps;NNres$cisco$comNadminNN) +ttps;NNres$cisco$comNadmin
Za"ilitar T0S para eniarNreci"ir$