Cisco IronPort Solutions de Sécurité E-Mail et Web

Ironport IronPort créé en 2000, acquise par Cisco en 2007 CA 2008 : 350 M$ Plus de 20 000 clients dans le monde 400 millions de boîtes aux lettres protégées 40% des sociétés Fortune 100 50% du CAC40 8 des 10 plus gros ISPs Taux de renouvellement des clients : 99% 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 3

Les solutions de sécurité Cisco Un leadership sur le marché Technologies leader, innovation permanente #1 dans la performance anti-spam et anti-malware Chiffrement, DLP, Gestion des identités et des politiques avancés Technologie Plus de 20 millions d appliances de sécurité et 100 millions de clients déployés Marché #1 en CA sur la sécurité Plus de 2 milliards de dollars #1 en PDM sur la sécurité de contenu (25%) LEADERSHIP Solutions Complètes Une large gamme de produits Solutions validées par le marché PCI, DLP, Data Center, UC Déploiements multiples Appliances, Modules de sécurité, sécurité in-the-cloud Solutions Connaissance des Menaces La plus grande équipe de recherche sur les menaces 500 Analystes, 5 lieux dans le monde Le plus grand réseau de sondes (se compte en millions) La plus large couverture Niveau Réseau et Applicatif 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 4

SenderBase / Threat Operations Center SenderBase créée en 2003 TOC Equipe de 500 experts en sécurité 100 brevets 24h/24, 7j/7 32 langues parlées + de 90 paramètres Volume de données Composition du message Plaintes Blacklists, whitelists Données hors-ligne E-Mail Reputation Filters Score de réputation +de 45 paramètres blacklists et whitelists d URL Contenu HTML Infos sur le domaine URL à problèmes connues Histoire du site Web Web Reputation Filters Score de réputation 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 9

Architecture de sécurité E-Mail Cisco IronPort Série C RELAIS DE MESSAGERIE Défense Anti-Spam Défense Anti-Virus CISCO IRONPORT ASYNCOS POUR EMAIL Protection des données Messagerie sécurisée Management 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 11

Cisco IronPort AsyncOS Relais de messagerie robuste Outils de sécurité intégrés Performances 10 000 connexions simultannées Files d attentes par domaines de destination Réémission intelligente Utilisation complète des possibilités matérielles Vérification SPF Vérification de la conformité de la provenance de l e-mail DKIM Signing & Verification Vérification de l émetteur Chiffrement TLS Chiffrement passerelle à passerelle Listes utilisateur Allow et Block / Quarantaine de spam Contrôles utilisateur HTML Sanitization Elimine les URL usurpées Validation Destinataires Elimine les messages envoyés aux adresses e-mail invalides Protection contre le vol d annuaire Virtual Gateway Protection de la réputation client Fonctionnalités LDAP LDAP referrals, annuaires LDAP multiples, assistant d installation Bounce Verification Elimine les faux messages d erreur 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 12

Sécurité Multi-couches Préventive + Réactive = Defense in Depth Préventive : Réputation Réaction immédiate aux menaces Très haute performance 1 ère ligne de défense Bloque ou limite le débit Réactive : Moteur d analyse S adapte avec le temps CPU intensive Couche plus fine Détruit ou Quarantaine Objectif : Taux de capture important ET Le moins de faux positifs Défense Anti-Spam Défense Anti-Virus CISCO IRONPORT ASYNCOS POUR EMAIL Protection des données Messagerie sécurisée Management 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 13

IronPort Reputation Filters 80% des messages indésirables éliminés avant qu ils n arrivent! Bonne note : les mails sont délivrés Mail entrants Bons, mauvais, et inconnus / suspicieux Filtrage par réputation Moteur Anti-Spam Note intermédiaire : limiter le débit puis filtrer par anti-spam Très mauvais: rejetés à la connexion Senderbase IronPort utilise l identité et la réputation de l émetteur pour appliquer une politique Réponse efficace aux pics indésirables de trafic 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 14

IronPort Anti-Spam (IPAS) 4 questions pour une protection > à 97% IronPort Anti-Spam Solutions Concurrentes Quoi? Contenu du Message Comment? Structure du message Qui? Réputation Email Où? Réputation Web Taux de Capture à 97% pour un taux de faux positifs < à 1/ 1 million Source : Test Labs Octobre 2006, une étude de Messaging Media Pas de charge administrative Technologie MPR (Multi Pattern Recognition) contre le spam image 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 15

Défense multi-couches contre les virus Préventive : Virus Outbreak Filters stoppe les attaques virales avant la réception des signatures anti-virus Réactive : Sophos Anti-Virus, McAfee Anti-Virus Défense Anti-Spam Défense Anti-Virus CISCO IRONPORT ASYNCOS POUR EMAIL Protection des données Messagerie sécurisée Management 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 16

Comment les Virus Outbreak Filters fonctionnent Quarantaine Dynamique en Action Messages Scanned & Deleted T = 0 T = 5 mins T = 10 mins T = 8 heures zip (exe) files -zip (exe) files -taille 50 à 55 KB. zip (exe) files taille 50 à 55KB Prix dans le nom du fichier Libérer les messages si la signature a été mise à jour Temps moyen de protection additionnelle + de 13 heures Sur un total d attaques bloquées de.. 248 alertes Protection totale incrémentale + de 134 jours 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 17

Anti-Virus traditionnels (signatures): Sophos - McAfee Moteurs intégrés Haute performance Facile à déployer et à administrer Interface d administration intuitive Vue unifiée via Mail Flow Monitor Mises à jour automatiques Coût total réduit grâce à la consolidation des fonctions 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 18

Protection des données Défense Anti-Spam Défense Anti-Virus CISCO IRONPORT ASYNCOS POUR EMAIL Protection des données Messagerie sécurisée Management 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 19

Protection des données Mails entrants/sortants IronPort Content Scanning Engine Haute Performance Flexible Granularité Multi-critères Actions Chiffrement Archivage BCC Notiffication légale (disclaimer) Suppression pièces jointes Notification émetteur Bounce Email Suppression Email Quarantaine Interrogations LDAP Filtres spécifiques au client Conformité législation (HIPAA, SOX ) Fuite d information Pièces jointes non autorisées Contenu illicite 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 20

Défense Anti-Phishing Le filtre de Réputation Web contenu dans IronPort Anti- Spam offre une première protection aux utilisateurs contre le phishing. DomainKeys (DKIM) permet ensuite d authentifier les e- mails en provenance de l extérieur, comme de signer les e-mails sortants. SPF valide les domaines ayant émis les messages. Chiffrement de messages pour une confidentialité totale. Défense Anti-Spam Défense Anti-Virus CISCO IRONPORT ASYNCOS POUR EMAIL Protection des données Messagerie sécurisée Management 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 21

Outils d administration Pour une réduction du coût total de possession Message Tracking recherche de message E-Mail Security Manager tableau de bord de politiques de sécurité par groupe d utilisateurs E-Mail Security Monitor nouveau système de rapports en temps réel par boîtier Série M statistiques, reporting, et tracking centralisés Défense Anti-Spam Défense Anti-Virus CISCO IRONPORT ASYNCOS POUR EMAIL Protection des données Messagerie sécurisée Management 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 22

Tracking des messages Pour plus de visibilité Qu est-il arrivé au mail que j ai envoyé il y a 2 heures? Trace les messages individuels Qui d autre a reçu des messages similaires? Statistiques pour vérifier la conformité 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 23

IronPort Email Security Manager Définir ses politiques de sécurité par groupes Catégories: par domaine, utilisateur, ou groupe LDAP Autoriser les fichiers audio Mettre en quarantaine les.exe IT Marquer et distribuer le spam Effacer les exécutables SALES Archiver les messages Virus Outbreak Filters désacrivé pour les.doc LEGAL 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 24

Cisco IronPort E-Mail Security Monitor Un système de reporting avancé Rapports consolidés Une seule vue pour toute l organisation Analyse en temps réel du trafic e-mail et des menaces de sécurité Données multiples Volumes e-mail Compteurs spam Violations de politiques Rapports viraux Données sur les e-mails sortants Rapports sur l état du système Plusieurs niveaux de détail possibles 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 25

Cisco IronPort Série S Résoudre les challenges liés au Web Securiser Contre le Malware Cisco IronPort S-Series Challenges Prevention Fuites de données Contrôle Traffic Web et Applications 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 27

Les limites des solutions traditionnelles Performances insuffisantes Sécurité pauvre car solutions basées sur la catégorisation d URL Niveau de protection contre les malwares de nouvelles générations insuffisants Latence élevée 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 28

Le Web inconnu 80% des sites sont non-catégorisés, très dynamique ou injoingnable Contenu dynamique Sites protégés par mot de passe Contenu généré par l utilisateur Sites à courte durée Le Web Categorisé 20% couvert par les listes d URL 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 30

Architecture Sécurité Web Cisco IronPort Série S Management et Reporting Politique d usage acceptable Défense Anti-Malware Anti-Virus Protection des données AsyncOS pour le Web 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 31

AsyncOS pour le Web Purpose-Built Performance Management et Reporting Politique d usage acceptable Défense Anti-Malware Anti-Virus Protection des données AsyncOS pour le Web Proxy cache haute performance Scanning Multi-processeurs Modes de déploiements multiples 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 32

Architecture Sécurité Web Politique d usage acceptable de l Internet Management et Reporting Politique d usage acceptable Défense Anti-Malware Anti-Virus Protection des données AsyncOS pour le Web Filtrage URL par catégorie Contrôle des applications et des objets Web 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 33

Introduction à Cisco IronPort Web Usage Controls Lumière sur le Web URL Lookup in Database www.sportsbook.com/ URL Database Uncategorized URL Keyword Analysis Gambling Industry-leading URL database efficacy 65 catégories Mises à jour toutes les 5 minutes Développé par Cisco SIO Real-time Dynamic Content Analysis Gambling www.casinoonthe.net/ Uncategorized Dynamic Content Analysis Engine Analyze Site Content Gambling Le moteur d analyse de contenu dynamique temps réel identifie plus de 90% comme des catégories bloquées 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 34

Moteur Dynamic Content Analysis (DCA) Identifie 90% du contenu non catégorisé répréhensible Haute performance Processus de verdict optimisé Moins de 10 millisecondes pour obtenir un verdict de catégorisation Transparent pour l utilisateur Tuné pour du contenu fréquemment bloqué Pornographie et Adulte Haine Jeu Proxy Anonyme Analyse du contenu en termes humains Analyse heuristique avancée basée sur la modélisation du concept de contenus Amélioration de la précision par rapport à l'approche simpliste mot-clé Arrête plus de 50% de contenu répréhensible* *Source: Cisco SIO, based on data from customer production traffic 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 35

Cisco IronPort Web Usage Controls Leading Efficacy, Rich Controls, Comprehensive Visibility Contrôle Politiques par user, par groupe Multiple actions: block, warn, monitor Time-based policies Unlimited custom categories Notifications personnalisables Visibilité Rapports faciles à comprendre Logs détaillés Alertes compréhensives Efficacité 200+ pays 50+ langues 65 categories Moins de 1 pour 1 million de faux positifs 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 36

Contrôle des applications Web Contrôle natif pour les applications HTTP, HTTP(s), FTP Déchiffrement sélectif du trafic SSL pour la sécurité et l application des politiques d usage de l Internet Application des politiques pour les applications encapsulées dans HTTP FTP, messagerie instantanée, vidéo Filtrage des objets Web (selon la nature ou la taille) Collaboration Software as a Service Applications encapsulées ftp://ftp.funet.fi/pub/ 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 37

Architecture Sécurité Web Défense Anti-Malware Management et Reporting Politique d usage acceptable Défense Anti-Malware Anti-Virus Protection des données AsyncOS pour le Web Moniteur de trafic Filtres de réputation Web Scan à base de signatures (DVS Engine) 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 38

La défense anti-malware Cisco IronPort Une protection multi-niveaux Layer 4 Traffic Monitor Web Reputation Filters Dynamic Vectoring and Streaming Engine Détecte le trafic malicieux en scannant tous les ports Bloque 70% du malware au niveau de la connexion Bloque le malware en analysant 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 39

Web Reputation Filtering Les bons sites ne sont pas scannés URLs demandées SensorBase Web Reputation Filtering Score suspect DVS Engine Déchiffrement SSL Scan Anti-Malware & Anti-Virus Les sites mauvais sont bloqués 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 40

Les Web Reputation Filters Utilisent les données de SenderBase Paramètres (45) Blacklists URL Whitelists URL Catégorie URL Contenu HTML Comportement de l URL Volume de données Informations sur le domaine Adresses IP dynamiques Listes de serveurs compromis Données de robots Web Propriétaires des réseaux URL à menaces connues Data hors-ligne (F500, G2000 ) Historique du site Web PREVENTION DES MENACES EN TEMPS REEL SenderBase Analyse TOC Scores de réputation Web -10 à +10 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 41

Cisco IronPort DVS Engine 3 avantages majeurs Déchiffre et scanne le trafic SSL De façon sélective, basée sur la catégorie et/ou la réputation Multiples moteurs intégrés McAfee et Webroot Scanning à base de signatures accéléré Scans parallèles Stream scanning 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 42

Scan en mode streaming «En raison de la nature en temps réel des protocoles HTTP ( ) et HTTPS et de leur flux de données, des fonctionnalités de scanning en temps réel (= en streaming) plus sophistiquées sont nécessaires pour s assurer que le trafic Web reste sécurisé et à l abri des attaques.» IDC 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 43

Scan HTTPS sélectif Basé sur la réputation Utilisateurs

Politiques de déchiffrement HTTPS Politiques par groupes sont définies par un ou plusieurs des critères suivants: Sous réseau Ports proxy Utilisateurs authentifiés* Groupes autorisés* Catégories d URL (hostname et/ou IP) Catégories d URL personnalisées (hostname et/ou IP) L action de déchiffrement peut se décoder sur: Catégories d URL Catégories d URL personnalisées Note de réputation Action par défaut Erreurs de certificats serveurs * Seulement pour les demandes en mode Explicite et authentification transparente sur l IP seulement si l information est disponible depuis une précédente transaction HTTP. 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 45

Architecture Sécurité Web Protection des données Management et Reporting Politique d usage acceptable Défense Anti-Malware Anti-Virus Protection des données AsyncOS pour le Web 1 er niveau de protection des données on-box Sécurité plus avancée à l aide de produits tiers 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 46

Data Security Sécurité simple en mode on-box Inspection des métadonnées Incluant le type de fichier, sa taille, son nom. Allow, block, log Règles basées sur les métadonnées combinées au userid, à la categorie et à la réputation de la destination Multi-protocole HTTP(s), FTP, HTTP tunneled www.mypartner.com Users Allow, Block, Log Internet www.malwarrior.com 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 47

Politiques de sécurité Une approche simple fondée sur le bon sens Who? John Smith, Finance John Smith, Finance Jane Doe, Commercial What? FiscalPlan.xls FiscalPlan.xls CustomerList.doc Where? Webmail.com Taxfirm.com Personal-site.com, score de réputation -9 How? HTTPS (Chiffré) HTTPS (Chiffré) FTP Verdict 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 48

Protection des données Sécurité avancée Intégration transparente Inspection de contenu poussée Optimisation de la performance Travaille de concert avec les politiques de sécurité on-box Utilisateurs Allow, Block, Log Internet Contenu Verdict Produit tiers 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 49

Les pertes de données Non provoquées par les utilisateurs Gozi Trojan S installe via un fichier PDF joint Se chiffre pour échapper aux contrôles Vole des données sur les flux SSL Trojan.PWS.ChromeInject.B S installe via un plug-in Firefox Vole les données bancaires Sinowal Trojan Plus de 500 000 comptes en banque touchés Liens présumés avec le Russian Business Network Layer 4 Traffic Monitor Web Reputation Filters Dynamic Vectoring and Streaming Engine Bloque les pertes de données liées aux communications de codes malicieux vers l extérieur Empêche de nouveaux malware de pénétrer sur le réseau 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 50

IronPort S-Series Etude de Cas Compagnie d assurance, 25 000 utilisateurs 11 Million de transactions HTTP / jour +20 000 de transactions malware / jour We see ~ 2.5-3M transactions per hour with a significant volume of malware, Santé, 35 000 utilisateurs 1 Million de transactions malware / jour 15 Millions bloqués en moins d un mois We are extremely happy with the L4 Traffic Monitor & amazed at the amount of malware traffic within our network. The S-Series provides a layer of defense that was nonexistent in our network. 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 51

Architecture Sécurité Web Outils de gestion et de reporting Management et Reporting Politique d usage acceptable Défense Anti-Malware Anti-Virus Protection des données AsyncOS pour le Web Configuration des politiques Administration et délégation fondées sur les rôles Rapports sur la sécurité et l usage d Internet Gestion centralisée avec la Série M 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 52

Cisco IronPort Web Security Manager Définir ses politiques de sécurité par groupes Marketing Sales IT Bloque les uploads FTP Autorise les fichiers média Route les requêtes vers un site partenaire Bloque les exécutables Bloque les sites de sport entre 9h et 18h, lun. au ven. Déchiffre les connexions SSL Autorise toutes les catégories d URL Dispense les mises à jour Adobe d authentification Bloque tout le malware Configurer des politiques granulaires reposant sur de multiples facteurs 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 53

Administration Déléguée (Série M) Flexibilité au service des organisations L administrateur global définit les rôles et les permissions d accès Pas de Media Pas de FTP IT SALES Un responsable des politiques définit des règles pour les utilisateurs qu il gère Pas de Webmail Policies are applied by group membership LEGAL Assigne des administrateurs par groupes d utilisateurs, d appliances, de sous-réseaux ou de destinations Granularité, contrôle d accès basé sur les rôles 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 54

Rapports sur la sécurité Overview L4TM Reputation Filters Visibilité détaillée sur les menaces - Vue du trafic Web - Moniteur de trafic - Détails sur les catégories de menaces - Risque malware pour les postes - Détails sur l activité des postes - Web Reputation Filters Des rapports off-box encore plus poussés avec Sawmill - Analyse de données plus poussée - Rapports sur les tendances de malware - Client, Source, nom et catégorie for IronPort 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 55

Rapports sur l usage d Internet Vues en temps réel - Utilisation du Web et tendances - Contrôle des politiques d usage acceptable de l Internet - Identifie les comportements d utilisateurs à risque Statistiques complètes - Identifie les violations de politiques - Détails pour des analyses complètes - Satisfait les besoins de conformité for IronPort 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 56

Contrôle du système Intégration simple avec des processus existants Alert Center Abonnements aux alertes par administrateur Zones distinctes de gestion Log Subscriptions SNMP IronPort MIB S intègre avec tout outil compatible SNMP SNMP v1, v2, v3 Squid, Apache, W3C, format de logs personnalisés Distribution via SCP, syslog, FTP 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 57

Politiques et configuration centralisées M-Series / S-Series Cisco IronPort Série S Cisco IronPort Série S Management Centralisé et contrôle des politiques web Cisco IronPort Série M Cisco IronPort Série S Configuration Centralisée : déploiement facilité pour les Cisco IronPort Série S Contrôle et sauvegarde centralisés des politiques Délégation de politiques pour des adaptations locales Reporting centralisé avec Sawmill for IronPort 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 60

Délégation d Administration Flexibilité L administrateur définit les rôles et droits d accès. No Media IT No FTP SALES Le responsible met en place les rêgles pour ses utilisateurs No Webmail Les politiques sont appliquées par groupes d utilisateurs LEGAL Assignation des administrateurs par groupes d utilisateurs, boîtiers, réseaux ou destinations Contrôle d accès granulaire par rôle 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 61