Cisco Email Security

Appliance
Sergio Oshiro
soshiro@securesoft.com.pe

Agenda
Introduccin a la Seguridad en el Correo
Solucin de Seguridad del Correo de Cisco
Cisco Email Security Appliance (IronPort
Antispam)

Arquitectura del Email

Trminos y Flujo del Correo

Conversacin SMTP
SMTP es un protocolo simple con un
conjunto de comandos bien definidos.
Utilizando Telnet es una forma fcil de
probar la conectividad SMTP y entregar
un correo hacia una cuenta receptora.

Conversacin SMTP
Comandos que
escribimos estn
en azul.
Las respuestas
del sistema en
negro.
Datos que se
ingresan estn en
naranja.

Conversacin SMTP

Introduccin a la
Seguridad en el
Correo

Evolucin de la Seguridad del

Email

Evolucin del Usuario

Amenazas de Entrada y Salida

en la Actualidad
El costo de solo una brecha de seguridad en la
empresa puede ser sorprendente. Ponemon
Institute estima rangos de prdidas desde
US$1 milln hasta US$58 millones.
Las normas de divulgacin de informacin,
hacen que sean ms costosas las polticas de
correo que no son ejecutadas.

Qu es el Spam?
Mensajera electrnica no deseada.
Correos electrnicos, mensajera
instantnea (IM), web spam, entre otros.
Generalmente es de la forma publicitaria,
pero tambin existen actualmente el
spam con fines criminales como robo de
identidad (phishing) o fraudes.

 Los spammers utilizan

programas que recorren la
lista enviando el mismo
mensaje a todas las
direcciones.
Esto supone un costo
mnimo para ellos, pero
perjudica al receptor
(prdidas econmicas y de
tiempo) y en general en
Internet, por consumirse
gran parte del ancho de
banda en mensajes basura.

Obtencin de direcciones de
correo

Los propios sitios web, que con frecuencia

contienen la direccin de su creador, o de sus
visitantes (en foros, blogs, etc.).
Los grupos de noticias de usenet, cuyos
mensajes suelen incluir la direccin del remitente.
Listas de correo: les basta con apuntarse e ir
anotando las direcciones de sus usuarios.
Correos electrnicos con chistes, cadenas, etc.
que los usuarios de internet suelen reenviar sin
ocultar las direcciones, y que pueden llegar a
acumular docenas de direcciones en el cuerpo del
mensaje, pudiendo ser capturadas por un troyano
o, ms raramente, por un usuario malicioso.

Obtencin de direcciones de
correo
Pginas en las que se solicita tu direccin de
correo (o la de "tus amigos" para enviarles la
pgina en un correo) para acceder a un
determinado servicio o descarga.
Entrada ilegal en servidores.
Por ensayo y error: se generan aleatoriamente
direcciones, y se comprueba luego si han llegado
los mensajes. Un mtodo habitual es hacer una
lista de dominios, y agregarles "prefijos"
habituales. Por ejemplo, para el dominio
wikipedia.org,
probar
info@wikipedia.org,webmaster@wikipedia.org,

El Spam en nmeros
Representan entre el 45%-60% de todos
los correos electrnicos, segn diversas
empresas de investigacin.
El ancho de banda utilizado por
spammers se incremento de 275 Tb en
el 2011 a 950 Tb al 2014.

Pases que generan ms

Spam - 2013

Publicidad
El tipo de Spam ms comn es el
relacionado a la Publicidad, el cual
representa un 36%.
El segundo ms comn es el
relacionado al contenido Adulto, el cual
es un 32%. Y el Spam relacionado a los
asuntos Financieros representa un 27%.

Phishing
El Spam relacionado al fraude
comprende un 3% de los correos y lo
relacionado al Phishing representa un
70%.

El Rol del Email

Durante el ltimo ao, los modelos de
cibercrmenes han tenido un cambio.
Ahora, la cantidad de ataques masivos
han disminuido y se evidencia en una
reduccin del 80% de volumen de spam.
Los cibercriminales se estn enfocando
en esfuerzos de mayor valor, los cuales
incluyen: fraudes, ataques maliciosos,
ataques de phishing y destinados
especficamente a una empresa/lugar.

Reduccin de Ataques
Masivos
Cisco estima que el beneficio del
cibercrmen en los ataques masivos
tradicionales ha disminiudo en ms de
50%; desde US$1.1 billones en Junio
2010 a $500 millones en Junio 2011.
Este cambio refleja la reduccin del
volmen de spam desde 300 billones a
40
billones
de
mensajes
spam
diariamente desde Junio 2010 hacia Junio
2011.

Adquisicin de IronPort

Modelos de Appliance

Cisco Security
Intelligence
Operations - SIO

Qu es?
Es un servicio basado en la nube que conecta la
informacin con respecto a las amenazas
globales, servicios basados en reputacin y un
anlisis sofisticado para los dispositivos de Cisco
para proteger las redes de comunicaciones.
Contiene el contenido relacionado con la
publicaciones de avisos y otros contenido de
seguridad.
(http://
tools.cisco.com/security/center/home.x)

Portal de SIO en Cisco

Incluye respuestas de eventos en la
industria, alertas Intellishield y losavisos
de seguridad de productos de Cisco.
El portal de SIO est destinado a ser el
primer lugar que visite en la bsqueda de
informacin de seguridad en Cisco.

Objetivo
Analizar las amenazas y mitigarlas lo
ms pronto posible.
Proveer anlisis de las vulnerabilidades,
corrigindolas
y
brindando
este
retroalimentacin
a
los
usuarios
empresariales.

IronPort SenderBase
Network

La primera y ms grande Base de Calificacin

Mundial
Monitoreo de trfico de correo a nivel
mundial www.senderbase.org

Cisco Email
Security
Appliance (ESA)

Arquitectura de la
Plataforma
Sin ESA

Con ESA

Sistema de Defensa
Multi-nivel
Anti- Spam

Seguridad en distintos niveles

Preventivo + Reactivo = Defensa Completa

Reputation Filters detiene

75% de las hostilidades

Defensa Multinivel ante

ataques de Virus

Message Filters
Permite crear reglas especiales, las cuales
describen cmo sern manejados los
mensajes al ser recibidos.
1. Message filter rule define y determina
los mensajes que sern aplicados por un
filtro.
2. Message filter action toma accin
sobre el mensaje seleccionado (final
action drop, non-final actions inserting
a header)

Mail Policies
ESA provee polticas para mensajes a
enviar/recibir que especifican cmo ser
tratada informacin que se requiere que
no ingrese o salga de la red. Este tipo de
contenido puede ser:
SPAM, VIRUSES, Phishing
Informacin confidencial, Informacin
personal.

Content Filters
Algunos mensajes tienen un tratamiento
especial ya sea porque necesitan ser
evaluados antes de ser recibidos por el
usuario (al enviarlo a cuarentena), o
porque algunos de estos requieren ser
cifrados antes de ser enviados, etc.
Trabajan de manera similar a los
message filters, a diferencia que este
tipo de procesamiento se realiza despus
de ser escaneados a nivel de antispam y
antivirus.

Cmo escanear
mensaje?

http://www.cisco.com/c/dam/en/us/td/docs/security/esa/esa8-0/user_guide/ESA_8-01_User_Guide.pdf

Outbreak Filters
Proveen una primera capa de defensa crtica al
enviar a cuarentena de manera inteligente los
correos sospechosos durante la etapa ms
temprana del brote de los virus.
Permite realizar la evaluacin de amenazas para
los mensajes de entrada, en la cual se indica a
travs de un puntaje, qu mensajes son enviados
a cuarentena y re-escaneados a travs de las
soluciones antivirus tradicionales una vez que las
actualizaciones de las firmas se hayan establecido.

Outbreak Filters

Primera Lnea de Defensa

Outbreak Filters
Ventaja de los Filtros

Nivel de amenaza

Text Resources
Plantillas de texto que pueden ser
enviadas como mensajes o adjuntas a
estos.
Message Disclaimers
Notification templates
Anti-virus Notification templates
Bounce and Encryption Failure Notification template
Encryption Notification templates
>textconfig

Text Resources
Disclaimer
Puede ser aadida arriba o debajo del
mensaje (heading o footer) para algunos
o todos los mensajes recibidos por un
listener.
>listenerconfig

Text Resources
Notification
Usados con los accionadores de filtros
notify() y notify-copy().
Pueden contener texto no-ascii.

Text Resources AV
Notification
Anti-virus notification template
Cuando el mensaje original no se adjunta a la notificacin
de virus.

Anti-virus container template

Cuando el mensaje original es enviado como adjunto a la
notificacin de virus.

Text Resources
Bounce and Encryption
Failure Notification

Text Resources
Encryption Notification
Usado en caso se tenga configurado un
mtodo de cifrado para correos salientes.
Se notifica al usuario que ha recibido un
mensaje seguro y le provee instrucciones
para leerlo.

CISCO EMAIL
ENCRYPTION

TLS
No requiere intervencin del usuario.
Los usuarios no sabrn que sus
correos estn siendo transmitidos
por un canal seguro.
Requiere configuracin en extremos.
TLS es direccional. Se puede habilitar
para uno o varios dominios internos,
o por el contrario para el dominio al
cual se enviarn mensajes.
Ironport
AsyncOS
soporta
extensiones
STARTTLS
hacia
protocolo seguro SMTP descrito en
RFC32C7.
Para configurar STARTTLS:
Obtener certificado.
Instalar certificado.
Habilitar TLS para enviar/recibir.

CRES
Requiere que los usuarios se
registren
(https://res.cisco.com/websafe/
activate)
Es un servicio en la nube, por lo
que el control de llaves
privadas la tiene Cisco.
A travs de consola de
administracin
se
puede
customizar la plantilla de
pgina
web
(
https://res.cisco.com/admin/)