capacitacion cisco esa

8/18/2019 Capacitacion Cisco ESA

1/111

Cisco Email Security

ApplianceSergio Oshiro

[email protected]

mailto:[email protected]:[email protected]


2/111

Agenda

• Introducción a la Seguridad en el Correo

• Solución de Seguridad del Correo de Cisco

• Cisco Email Security Appliance (IronPortAntispam)


3/111

Arquitectura del Email


4/111

Términos y Flujo del Correo


5/111

Conersación S!TP

• S!TP es un protocolo simple con unconjunto de comandos "ien de#nidos$

• %tili&ando 'Telnet es una orma *cil depro"ar la conectiidad S!TP y entregarun correo +acia una cuenta receptora$


6/111

Conersación S!TP

• Comandos queescribimos están

en azul.• as respuestas

del sistema ennegro.

• !atos que seingresan están ennaran"a.


7/111

Conersación S!TP


8/111

Introducción a laSeguridad en el

Correo


9/111

Eolución de la Seguridad delEmail


10/111

Eolución del %suario


11/111

Amenazas de Entrada y Salida

en la Actualidad• El costo de solo una "rec+a de seguridad en laempresa puede ser sorprendente$ 'PonemonInstitute estima rangos de pérdidas desde

%S,- millón +asta %S,./ millones$• 0as normas de diulgación de inormación1

+acen que sean m*s costosas las pol2ticas decorreo que no son ejecutadas$


12/111

34ué es el Spam5

• !ensajer2a electrónica no deseada$

• Correos electrónicos1 mensajer2ainstant*nea (I!)1 6e" spam1 entre otros$

• 7eneralmente es de la orma pu"licitaria1

pero tam"ién e8isten actualmente elspam con #nes criminales como ro"o deidentidad (p+is+ing) o raudes$


13/111

• 0os 9spammers: utili&an

programas que recorren la

lista eniando el mismo

mensaje a todas las

direcciones$

• Esto supone un costom2nimo para ellos1 pero

perjudica al receptor

(pérdidas económicas y de

tiempo) y en general enInternet1 por consumirse

gran parte del anc+o de

"anda en mensajes "asura$


14/111

Obtención de direcciones decorreo

• 0os propios sitios 6e"1 que con recuenciacontienen la dirección de su creador1 o de susisitantes (en oros1 "logs1 etc$)$

• 0os grupos de noticias de 9usenet:1 cuyosmensajes suelen incluir la dirección del remitente$

• 0istas de correo; les "asta con apuntarse e iranotando las direcciones de sus usuarios$

• Correos electrónicos con c+istes1 cadenas1 etc$que los usuarios de internet suelen reeniar sinocultar las direcciones1 y que pueden llegar aacumular docenas de direcciones en el cuerpo delmensaje1 pudiendo ser capturadas por un troyanoo1 m*s raramente1 por un usuario malicioso$


15/111

• P*ginas en las que se solicita tu dirección decorreo (o la de


16/111

El Spam en números

• @epresentan entre el .BDB de todoslos correos electrónicos1 segn diersas

empresas de inestigación$• El anc+o de "anda utili&ado por

spammers se incremento de GH. T" enel G-- a . T" al G-$


17/111


18/111

Países que generan másSpam - 20!


19/111


20/111


21/111

Publicidad

• El tipo de Spam m*s comn es elrelacionado a la Pu"licidad1 el cualrepresenta un JDB$

• El segundo m*s comn es elrelacionado al contenido Adulto1 el cual

es un JGB$ K el Spam relacionado a losasuntos Financieros representa un GHB$


22/111


23/111

P"is"ing

• El Spam relacionado al raudecomprende un JB de los correos y lorelacionado al P+is+ing representa un

HB$


24/111


25/111

El #ol del Email

• Lurante el ltimo aMo1 los modelos deci"ercr2menes +an tenido un cam"io$A+ora1 la cantidad de ataques masios

+an disminuido y se eidencia en unareducción del /B de olumen de spam$

• 0os ci"ercriminales se est*n enocandoen esuer&os de mayor alor1 los cualesincluyen; raudes1 ataques maliciosos1ataques de p+is+ing y destinadosespec2#camente a una empresaNlugar$


26/111

#educción de $taques

%asi&os• Cisco estima que el "ene#cio delci"ercr2men en los ataques masiostradicionales +a disminiudo en m*s de

.BO desde %S,-$- "illones en unioG- a ,. millones en unio G--$

• Este cam"io reQeja la reducción delolmen de spam desde J "illones a "illones de mensajes spamdiariamente desde unio G- +acia unioG--$


27/111


28/111

$dquisición de IronPort


29/111


30/111


31/111


32/111


33/111


34/111


35/111


36/111


37/111


38/111


39/111


40/111


41/111


42/111


43/111


44/111


45/111


46/111


47/111


48/111


49/111


50/111


51/111


52/111


53/111

%odelos de $ppliance


54/111

Cisco Securit'Intelligence

Operations - SIO


55/111

()u* es+

• Es un sericio "asado en la nu"e que conecta lainormación con respecto a las amena&asglo"ales1 sericios "asados en reputación y un

an*lisis so#sticado para los dispositios de Ciscopara proteger las redes de comunicaciones$

• Contiene el contenido relacionado con la

pu"licaciones de aisos y otros contenido deseguridad$ (+ttp;NNtools$cisco$comNsecurityNcenterN+ome$8)

http://tools.cisco.com/security/center/home.xhttp://tools.cisco.com/security/center/home.xhttp://tools.cisco.com/security/center/home.xhttp://tools.cisco.com/security/center/home.x


56/111


57/111

Portal de SIO en Cisco

• Incluye respuestas de eentos en laindustria1 alertas Intellis+ield y los aisosde seguridad de productos de Cisco$

• El portal de SI est* destinado a ser elprimer lugar que isite en la "squeda de

inormación de seguridad en Cisco$


58/111

Ob,eti&o

• Anali&ar las amena&as y mitigarlas lom*s pronto posi"le$

• Proeer an*lisis de las ulnera"ilidades1corrigiéndolas y "rindando esteretroalimentación a los usuarios

empresariales$


59/111


60/111


61/111


62/111


63/111


64/111


65/111

IronPort Senderase.


66/111

IronPort Senderase /etor1 a primera ' más grande ase de Cali3cación

%undial!onitoreo de tr*#co de correo a niel

mundial 666$sender"ase$org


67/111


68/111


69/111


70/111


71/111


72/111


73/111


74/111


75/111


76/111

Cisco EmailSecurit'

$ppliance 4ES$5


77/111


78/111


79/111


80/111


81/111


82/111


83/111


84/111


85/111


86/111

Sistema de 7e6ensa


87/111

%ulti-ni&el

$nti- Spam

S id d di ti t i l


88/111

Seguridad en distintos ni&eles Preventivo + Reactivo = Defensa Completa

#eputation 8ilters detiene


89/111

#eputation 8ilters detiene9:; de las "ostilidades

7e6ensa %ultini&el ante


90/111

7e6ensa %ultini&el anteataques de


91/111

%essage 8ilters

• Permite crear reglas especiales1 las cualesdescri"en cómo ser*n manejados losmensajes al ser reci"idos$

1. Message lter rule de#ne y determinalos mensajes que ser*n aplicados por un#ltro$

2. Message lter action toma acciónso"re el mensaje seleccionado (#nalaction drop1 non#nal actions insertinga +eader)


92/111


93/111


94/111

%ail Policies

• ESA proee pol2ticas para mensajes aeniarNreci"ir que especi#can cómo ser*tratada inormación que se requiere que

no ingrese o salga de la red$ Este tipo decontenido puede ser;

SPA!1 UI@%SES1 P+is+ing Inormación con#dencial1 Inormación

personal$


95/111


96/111

(Cómo escanear


97/111

(Cómo escanearmensa,e+

+ttp;NN666$cisco$comNcNdamNenNusNtdNdocsNsecurityNesaNesa/NuserVguideNESAV/-V%serV7uide$pd

b 1 il


98/111

Outbrea1 8ilters

• Proeen una primera capa de deensa cr2tica aleniar a cuarentena de manera inteligente loscorreos sospec+osos durante la etapa m*stemprana del "rote de los irus$

• Permite reali&ar la ealuación de amena&as paralos mensajes de entrada1 en la cual se indica atraés de un puntaje1 qué mensajes son eniados

a cuarentena y reescaneados a traés de lassoluciones antiirus tradicionales una e& que lasactuali&aciones de las #rmas se +ayan esta"lecido$

Outbrea1 8ilters


99/111

Outbrea1 8iltersPrimera Línea de Defensa

Outbrea1 8ilters


100/111

Outbrea1 8iltersenta!a de los "iltros

/i l d


101/111

/i&el de amena=a

> t #


102/111

>e?t #esources

• Plantillas de te8to que pueden sereniadas como mensajes o adjuntas aestos$

!essage Lisclaimers

Woti#cation templates

Antiirus Woti#cation templates

Xounce and Encryption Failure Woti#cation template

Encryption Woti#cation templates

• Yte8tcon#g


103/111

>e?t #esources @


104/111

>e?t #esources 7isclaimer• Puede ser aMadida arri"a o de"ajo del

mensaje (+eading o ooter) para algunoso todos los mensajes reci"idos por un

listener$Ylistenercon#g

>e?t #esources @


105/111

>e?t #esources /oti3cation• %sados con los accionadores de #ltros

notif#$% y notif#&cop#$%$

• Pueden contener te8to noascii$

>e?t #esources @ $


106/111

>e?t #esources $</oti3cation• Antiirus noti#cation template

Cuando el mensaje original no se adjunta a la noti#caciónde irus$

• Antiirus container templateCuando el mensaje original es eniado como adjunto a lanoti#cación de irus$

>e?t #esources @ d E ti


107/111

ounce and Encr'ption

8ailure /oti3cation

>e?t #esources @


108/111

>e?t #esources Encr'ption /oti3cation• %sado en caso se tenga con#gurado un

método de cirado para correos salientes$

• Se noti#ca al usuario que +a reci"ido un

mensaje seguro y le proee instruccionespara leerlo$


109/111

CISCO E%$IE/C#AP>IO/

>S C#ES


110/111

>S• Wo requiere interención del usuario$

0os usuarios no sa"r*n que suscorreos est*n siendo transmitidospor un canal seguro$

• @equiere con#guración en e8tremos$

• T0S es direccional$ Se puede +a"ilitarpara uno o arios dominios internos1

o por el contrario para el dominio alcual se eniar*n mensajes$

• Ironport AsyncS soportae8tensiones STA@TT0S +aciaprotocolo seguro S!TP descrito en@FCJGCH$

• Para con#gurar STA@TT0S;

"tener certi#cado$

Instalar certi#cado$

Za"ilitar T0S para eniarNreci"ir$

C#ES

• @equiere que los usuarios seregistren(+ttps;NNres$cisco$comN6e"saeNactiate)

• Es un sericio en la nu"e1 por lo

que el control de llaespriadas la tiene Cisco$

• A traés de consola deadministración se puedecustomi&ar la plantilla de

p*gina 6e" (+ttps;NNres$cisco$comNadminN)

https://res.cisco.com/admin/https://res.cisco.com/admin/https://res.cisco.com/admin/https://res.cisco.com/admin/


111/111

capacitacion cisco esa

Documents