IronPort Gateway Security
Download
Report
Transcript IronPort Gateway Security
Продукты безопасности
электронной почты IronPort
ЗАЩИЩАЕМ БОЛЕЕ 350 МИЛЛИОНОВ ПОЧТОВЫХ ЯЩИКОВ
ВО ВСЕМ МИРЕ
Mirko Schneider, Channel Manager
Eastern Europe & Russia, IronPort Systems
„Мне надо сказать, что оборудование IronPort-а является лучшим решением из
тех, которые я тестировал с 2003-го года для нашего журнала! Придется мне
найти нормальные, объективные слова, иначе фактам никто не поверит.“
(немецкий журналист по ИБ в феврале 2006-го года)
Кто такой IronPort?
•
•
•
•
Основан пионерами электронной
почты (Hotmail, ListBot,Yahoo) в 2000
идея: построить самый быстрый и
мощный почтовый шлюз
главофис: Калифорния, Silicon Valley
Инвесторы:
– General Motors, Chevron-Texaco, NTT,
Menlo Ventures, Allegis Capital
– больше 90 млн долларов
•
•
•
500+ сотрудников всего, 45 в Европе
денежный оборот 2005: ~ 70млн
USD, 2006: ~125млн USD
в Украине с начала 2006 года
Горячая новость:
CISCO купила IronPort
The Principles of Industry Leadership
• Экономический лидер
– 12 из 15 самых крупных провайдеров
– 38 из 100 самых крупных компаний
(Fortune 100)
– 600+ партнеров в 25 стран, устройства
работают в 75 стран мира
• Технологический лидер
– Первый специализированный и высокопроизводительный MTA (Mail Transfer
Agent)
– Первый на рынке с Репутационными
Фильтрами
– Первый на рынке с Virus Outbreak Filters
(Филтры для обнаружения вспышки
новых
вирусов)
Аналитики: Лидер по технологии
Магические Квадранты по
Бесопасности Почтовых
Систем (2006)
Источник: Gartner RAS Core Research
Если Вы желаете получить
этот обзор, пишите по
адресу:
[email protected]
IronPort еще сильнее!
After PostX acquisition Nov 06:
• “Regard this acquisition as a positive
enhancement that improves IronPort's competitive
position...”
• “However, consider switching to IronPort at the
next technology "refresh" to reduce administration
overhead and costs...”
After CISCO announcement Jan 07:
• “Place Cisco/IronPort at the top of your
shortlists...”
IronPort Gateway Security Products
Internet
IronPort
SenderBase
Security
MANAGEMENT
Appliance
EMAIL
WEB
Security
Appliance
Security
Appliance
Устройство безопасности
электронной почты IronPort
• Высокопроизводительные устройства
безопасности электронной почты,
защищающие от спама, вирусов и
позволяющие создавать политики для почты
IronPort X1000
IronPort C10/100
IronPort C300/C600
IronPort объединяет все
связанное с электронной почтой
До IronPort
После IronPort
Internet
Брандмауэр
Internet
Брандмауэр
MTA
Антиспам
Антивирус
Управление
политикой
Устройство безопасности
электронной почты IronPort
Маршрутизация
почты
Групповое ПО
Пользователи
Групповое ПО
Пользователи
Архитектура IronPort
для многоуровневой безопасности электронной
почты
ИНСТРУМЕНТЫ УПРАВЛЕНИЯ
ЗАЩИТА ОТ
СПАМА
ЗАЩИТА ОТ
ВИРУСОВ
СКАНИРОВАНИЕ
КОНТЕНТА
МТА-ПЛАТФОРМА ASYNCOS™
АУТЕНТИФИКАЦИЯ
IronPort AsyncOS™
Unmatched Scalability and Security
ИНСТРУМЕНТЫ УПРАВЛЕНИЯ
ЗАЩИТА ОТ
СПАМА
ЗАЩИТА ОТ
ВИРУСОВ
СКАНИРОВАНИЕ
КОНТЕНТА
МТА-ПЛАТФОРМА ASYNCOS™
• AsyncOS scalable and secure OS optimized for messaging
• Advanced Email Controls protect reputation and downstream systems
• Standards-based Integration replaces legacy systems with ease
АУТЕНТИФИКАЦИЯ
AsyncOS™
Революционная платформа MTA
Традиционные шлюзы электронной
почты и другие устройства
200
Входящих/
Исходящих
подключений
Одна очередь
Для всех
адресатов
Низкая
производительность/
подверженность DoS
Дублирование
очереди
задерживает
ВСЮ почту
Устройство безопасности
электронной почты IronPort
10,000
Входящих/
исходящих
подключений
Очереди по
адресатам
Высокая
производительность/
гарантированная
доставка
Отказоустойчивость
и
настраиваемый
контроль
Advanced Email Controls
только от IronPort
технология Virtual Gateway™
Destination Controls
?
163.24.127.3
Internet
163.24.127.3
новое отделение
Bounces
•
•
•
Защита за ваши групвер-серверы
ограничивать изходящую почту
соответсвенно места назначения (per
destination)
шифрирование TLS соответсвенно
места назначения (per destination)
•
•
•
Internet
163.24.127.4
163.24.127.5
Защита вашей репутации
разные виды электронной почты
через разные IP-адреса
патентованная технология от IronPort
Multi-layer Spam Defense
Best of Breed
ИНСТРУМЕНТЫ УПРАВЛЕНИЯ
ЗАЩИТА ОТ
СПАМА
ЗАЩИТА ОТ
ВИРУСОВ
СКАНИРОВАНИЕ
КОНТЕНТА
АУТЕНТИФИКАЦИЯ
МТА-ПЛАТФОРМА ASYNCOS™
IronPort’s Reputation Filters – внешний слой защиты
IronPort Anti-Spam – защищает от широкого спектра угроз – спам, phishing, fraud
Общий объем спама растет
70
Average Daily Spam Volume (billions msgs)
60
+110%
50
40
30
20
10
0
Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt
05 05 05 06 06 06 06 06 06 06 06 06 06
Image Spam Explodes
30
% Spam with an Embedded Image
25
%
20
+421%
15
10
5
0
Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt
05 05 05 06 06 06 06 06 06 06 06 06 06
Spam Gets Sneakier – Image Spam!
1. “Polka dots”
2. “Slice & Dice”
Интересно?
Пишите мне по адресу:
[email protected]
Многоуровневая безопасность
Превентивная + реактивная = тщательная
защита
Превентивный
слой
Блокируе
т до 80%
спама
прямо на
шлюзе!
+
Реактивный
слой
Немедленная реакция
на угрозы
Адаптируется
со временем
Высокая
производительность
С большим объемом
вычислений
Жесткий внешний слой
Мелкозернистый внутренний слой
Блокировка или
ограничение скорости
Удаляйте или отправляйте
в карантин
Сеть IronPort SenderBase
®
Первая и самая большая система
репутаций
Глобальный мониторинг почтового и
веб трафика
…результаты работы
спам пойманый фильтром
репутации
80%
IronPort
CipherTrust
50%
BorderWare 40%
Контролирумые сети
IronPort
CipherTrust
BorderWare
120 000+ сетей
5 000 000 000+ запросов в день
150 параметров
25%+ трафика
Source: www.ciphertrust.com and www.borderware.com, August 6, 2006
120,000
4,000
8,000
лидерство по защите от
новых вирусов
IronPort
13 hours*
McAfee, Symantec, Sophos, CA, F-Secure, ...
* 6/2005 – 6/2006. 175 outbreaks identified. Calculated as publicly published signatures from the listed
vendors.
SenderBase
®
Данные имеют значение
Параметры
• отчеты о жалобах
• Ловушки для спама
• Данные о структуре
сообщения
• Глобальные данные
Предотвращение угроз в
реальном времени
широкий спектр данных для высокой
аккуратности
• Списки URL
• Списки
скомпрометированных
хостов
• Web-”пауки”
• Черные и белые
списки IP
• Дополнительные
данные
Данные
SenderBase
Анализ данных/
моделирование
безопасности
Репутация
SenderBase
от -10 до +10
IronPort Reputation Filters
останавливают 80% нежелательной
почты до ее прихода…
• Известное
хорошее
доставляется
Фильтрация
по репутации
Система
антиспама
• Подозрительное
ограничивается в
скорости и проверяется
антиспамом
Входящая почта
Хорошая, плохая, и “серая”
или неизвестная почта
• Известное
плохое
удаляется/маркируется
• IronPort использует репутацию для применения
политики
• Изощренный ответ изощренным угрозам
Объем и скорость соответственно
репутации отправителя
•
•
•
гораздо больше чем только черные и белые списки
в режиме реального времени
преустановленные политики применяются автоматический
IronPort Reputation Filters
Учебный пример Dell
• Задача Dell:
– Dell получает 26 миллионов сообщений в день
– Только 1,5 миллиона – легитимные сообщения
– 68 существующих шлюзов, на которых
запущен Spam Assassin не обладают точностью
• Решение IronPort:
– Фильтры репутации блокируют более 19
миллионов сообщений в день
– 5,5 миллиона сообщений в день сканируются
– 8 IronPort C60 заменили 68 серверов
• Точность фильтрации спама увеличилась в
10 раз
• Серверов объединены на 70%
• Эксплуатационные расходы уменьшились
на 75%
“IronPort has
increased the
quality and
reliability of
our network
operations,
while
reducing our
costs.”
-- Tim Helmsetetter
Manager, Global
Collaborative Systems
Engineering and
Service Management,
DELL CORPORATION
Многоуровневая безопасность
Превентивная + реактивная = тщательная
защита
Превентивный
слой
+
Реактивный
слой
Немедленная реакция
на угрозы
Адаптируется
со временем
Высокая
производительность
С большим объемом
вычислений
Жесткий внешний слой
Мелкозернистый внутренний слой
Блокировка или
ограничение скорости
Удаляйте или отправляйте
в карантин
нет плохого
контента
нет
аттачмента
URL
IronPort AntiSpam
разширяем реактивную защиту
Effectiveness
TODAY
Что? Содержание письма
Что содержит в себе письмо?
Как? Структура письма
Как составлено сообщение?
Кто? Репутация почты
Кто посылает Вам это письмо?
Куда? Репутация Web
Time
Куда Вы попадете, перейдя по
ссылке?
•
Лишь контентные фильтры недостаточны
•
Репутационная система улучает защиту
•
Борьба с новыми угрозами требует веб репутацию
Сеть IronPort SenderBase
®
Первая и самая большая система репутаций
Глобальный мониторинг web- и email-трафика
Более 100 000 сетей
Более 45 параметров для веб трафика
Web Reputation
Data Makes the Difference
Parameters
• URL Blacklists
THREAT PREVENTION IN REALTIME
• URL Whitelists
• URL Categorization Data
• HTML Content Data
• URL Behavior
• Global Volume Data
• Domain Registrar Information
• Dynamic IP Addresses
• Compromised Host Lists
• Web Crawler Data
• Network Owners
• Known Threats URLs
• Offline data (F500, G2000…)
• Web Site History
SenderBase
Data
Data Analysis/
Security Modeling
Web Reputation
Scores (WBRS)
-10 to +10
IronPort Anti-Spam
Press Reviews
2007 Technology of the Year:
Best Anti-Spam
Jan 2007
Competitors tested:
Symantec, Microsoft, Mirapoint, ProofPoint
“easy setup”
“excellent spam filtering”
Anti-Spam Bake-Off Winner
Dec 2006
Competitors tested:
CipherTrust, Borderware, Sophos, SonicWall
“The superiority of IronPort . . .
seems abundantly clear”
“no tuning necessary”
“We did not have to rescue a
single legitimate message”
“the fewest false positives of
any solution tested”
“(IronPort) is the absolute must
from this test”
Ведущая, многоуровневая
Защита от вирусов
ИНСТРУМЕНТЫ УПРАВЛЕНИЯ
ЗАЩИТА ОТ
СПАМА
ЗАЩИТА ОТ
ВИРУСОВ
СКАНИРОВАНИЕ
КОНТЕНТА
АУТЕНТИФИКАЦИЯ
МТА-ПЛАТФОРМА ASYNCOS™
IronPort’s Virus Outbreak Filters – остановите вирус за 14 часов до появления сигнатур
Sophos AntiVirus – основанное на сигнатурах решение с превосходной точностью
IronPort Outbreak Filters
Закройте интервал времени реакции
IronPort SenderBase Network
®
First, Biggest, Best Reputation System
Global Email and Web Traffic Monitoring
Что происходит
ПРЯМО СЕЙЧАС?
Over 100,000 contributing networks
Over 20M IP addresses tracked globally
View into over 25% of email traffic
Over 110 parameters tracked
Как работает Virus Outbreak Filters
Динамический карантин в действии
Сообщения
сканируются
и удаляются
T=0
– zip (exe)
T = 5 минут T = 10 минут
-zip (exe)
- от 50 до 55 КБайт
–zip (exe)
– от 50 до 55 KБайт
– в названии “Price”
превентивная защита (VOF)
T = 8 часов
– Отпустить
сообщения,
если произошло
обновление сигнатур
реактивная защита
(Sophos)
Превосходство
IronPort Outbreak Filters
Обнаружено Более 100 вторжений вирусов, в среднем 13 часов раньше
Virus Name
Date
Virus Description
Lead Time
(hh:mm)
Kukudro-A
6/27/06
Virus that spreads via zipped word document.
3:38
Feebs.AG
6/21/06
Arrives as an email attachment claiming to be sent via
"Protected E-Mail service“.
17:46
Troj/Stinx-W
6/15/06
IRC backdoor Trojan.
11:12
Yabe.G
5/16/06
Trojan that attempts to download further malicious code.
13:09
Bagle-GT
4/21/06
Installs backdoor and communicates via HTTP, thus
bypassing firewall filters.
18:28
Mytob-HJ
4/19/06
Turns off anti-virus applications of infected PC to avoid
detection.
32:57
Nyxem-D (Kama Sutra)
1/16/06
Deletes most documents on third day of every month.
1:27
Looksky.G
1/6/06
Installs keystroke loggers onto infected PCs.
35:40
Average lead time*…………………………over 13 hours
Outbreaks blocked * ………………………175 outbreaks
Total incremental protection*…………….over 94 days
*June 2005 – July 2006. Calculated as publicly published signatures from the following vendors: Sophos, Trend Micro,
Computer Associates, F-Secure, Symantec and McAfee. If signature time is not available, first publicly published alert time is used.
IronPort Outbreak Filters Protect
G2000 Company From MyDoom.BB
MyDoom Variant—MyDoom.BB (February 15, 2005)
G2000 Company Protected By IronPort’s Virus Outbreak Filters
IronPort Threat Level
Raised to 3 And Protection
Starts
18:08 GMT
First Anti-virus
Signature Published
22:54 GMT (Next Day)
28 hours 46 minutes
February 15, 2005
24:00
23:00
22:00
21:00
20:00
14:00
13:00
12:00
11:00
10:00
9:00
8:00
7:00
6:00
5:00
4:00
3:00
2:00
1:00
24:00
23:00
22:00
21:00
20:00
19:00
18:00
17:00
6503 files quarantined
February 16, 2005
Note: All times shown are in GMT
$65K saved @ $200/desktop, 5% infected
IronPort Content Scanning
Фильтрация входящих/исходящих сообщений для
соответствия требованиям
ИНСТРУМЕНТЫ УПРАВЛЕНИЯ
ЗАЩИТА ОТ
СПАМА
ЗАЩИТА ОТ
ВИРУСОВ
СКАНИРОВАНИЕ
КОНТЕНТА
АУТЕНТИФИКАЦИЯ
МТА-ПЛАТФОРМА ASYNCOS™
• Flexible Policy Engine from Blocking Attachments to Enforcing Regulatory Compliance
• Compliance Solutions and Encryption keep communications private and secure
Соответствие содержания требованиям
Многоуровненная фильтрация всей исходящей и
входящей почты
• Graphical Representation of
Per-Recipient Policies
• LDAP Integration Reduces
Need for Repetitive
Modifications
• Customizable Notification
Templates
• Robust Conditions and Actions
Email Authentication
Superior Security and Identity Protection
ИНСТРУМЕНТЫ УПРАВЛЕНИЯ
ЗАЩИТА ОТ
СПАМА
ЗАЩИТА ОТ
ВИРУСОВ
СКАНИРОВАНИЕ
КОНТЕНТА
АУТЕНТИФИКАЦИЯ
МТА-ПЛАТФОРМА ASYNCOS™
• DomainKey Signing - establishes and protects your identity on the Internet
• IronPort Bounce Verification – protects from misdirected bounce attacks
• Directory Harvest Attack Prevention –blocks attempts to steal email directory information
Hot news: Teaming Up To Fix Email
IronPort Acquires PostX
Global Reach And Innovative Technology
The Dominant Force in Global
Email and Web Security…
…Combined with the leader in
Email Encryption
•
•
•
•
8/10 of the world’s largest ISPs
42/100 of the world’s largest corporations
25% of the World’s Email Traffic
450 employees
•
•
•
•
#1 World’s Largest Bank
#1 F500 Largest Insurance Company
#1 World’s Largest Credit Card Company
60 employees
Encryption References
IronPort Bounce Verification™
сегодня уже 9% сообщений - с ложным
обратным адресом
Incoming
Gateway
“Zombies”
Recipients: [email protected],
[email protected]
Sender: [email protected]
RETURN TO
SENDER
yourcompany.com
Outgoing
Gateway
Millions of Misdirected Bounces
More than 55% of F500s have experienced disruption of service or
a total denial of service due to misdirected bounces
*Source: IronPort Threat Operations Center,
INTERNET EMAIL TRAFFIC EMERGENCY: SPAM “BOUNCE” MESSAGES ARE COMPROMISING NETWORKS, April 2006.
IronPort Bounce Verification™
Protects Against Misdirected Bounce Attacks
BV
Internet
BV
+
•
All Outgoing Mail Stamped Allowing Legitimate Bounces to
be Identified on Return
•
Transparent to End Users, No Industry Adoption Required
•
Eliminates Help Desk Calls and End User Confusion
•
Another IronPort Technical “First"
Управление для крупнейших
компаний
ИНСТРУМЕНТЫ УПРАВЛЕНИЯ
ЗАЩИТА ОТ
СПАМА
ЗАЩИТА ОТ
ВИРУСОВ
СКАНИРОВАНИЕ
КОНТЕНТА
МТА-ПЛАТФОРМА ASYNCOS™
Email Security Manager - для унифицированного управления политиками
Централизованное управление - управляйте отделами по всему миру
Mail Flow Monitor - отчетность в режиме реального времени
Mail Flow Central - централизованная отчетность и отслеживание почты
АУТЕНТИФИКАЦИЯ
IronPort Email Security Manager
Общий взгляд на политики для всей
организации
Категории: по домену,
имени пользователя, или
LDAP
• Разрешайте все
медиа-файлы
• Заносите в карантин
исполняемые файлы
• Помечайте
и доставляйте спам
• Удаляйте
исполняемые файлы
• Архивируйте всю
почту
• Отключите Virus
Outbreak Filters для
файлов .doc
“Email Security Manager serves as a single,
versatile dashboard to manage all the
services on the appliance.” -- PC Magazine 2/22/05
IT
SALES
LEGAL
Централизованное управление
IronPort
•
•
•
•
Подключайтесь где угодно, контролируйте везде
Интерфейс обеспечивает согласованность конфигурации
Применяйте изменения для машин, групп или кластеров
Тестируйте на одной системе, затем переходите на
кластер
SJ1 Machine
SJ2 Machine
SJ3 Machine
Группа Киев
D2 Machine
D1 Machine
D3 Machine
Группа Москва
КЛАСТЕР IRONPORT
T1 Machine
T2 Machine
T3 Machine
Группа Минск
IronPort Email Security Monitor™
Мощная отчетность в реальном времени
Integrated Real-Time
Graphical Reports
CSV Export
Scheduled Delivery
Search by Domain
Email Security Monitor™
System Monitoring
Легкость интеграции в существующие
решения
Alert Center
• Alert Subscriptions per Admin
• Distinct Areas of Management
Log Subscriptions
SNMP
• Exclusive IronPort MIB
• Integrates with any
SNMP-compatible tools
• 20+ Log Types Supported
• Transfer via FTP, SCP, Syslog
Политика Тестирования
• Бесплатное тестирование в течение 30 дней
– начинается с активации ключей
– продление возможно если желается
• для каждого размера и вид теста
– каждый получает то устройство, которое
рекомендуется/желается для организации
– разные виды тестирования (life/ stealth, parallel, offline)
– польная поддержка и польный объем софтвера
Контакт
Артамонов Юрий – менеджер проектов
ООО “Фрейм Инжиниринг”
+38(048) 799-33-99
+38(068) 34-56-216
+38 (048) 728-68-32
[email protected]
IronPort Systems
Mirko Schneider
Email: [email protected]