Upload
antonio-ierano
View
1.592
Download
0
Embed Size (px)
DESCRIPTION
webex event slides
Citation preview
Web ed Email security: proteggere i canali di comunicazione
Agenda:
• perché proteggere la navigazione web e la
mail : gli asset da proteggere ed i rischi che si corrono
• come si protegge un canale di comunicazione: processi, tecnologie ed interazioni
Dove sono i dati aziendali\personali\sensibili?
Internal Servers:• Mail Server• Database Server• File Server• …..
Desktop Computer:• File System• PST File• …
Online Services:• CRM (ex: salesforce)• Web Server• Motori di ricerca• Online Banking• ….
ALTRO• Archivi Cartacei• …
Quali sono i canali di trasmissione delle informazioni aziendali?
Informazioni
Posta Elettronica
Web
Telefono
Carta\Fax
Comunicazione personale diretta
Altro ….
La proprietà intellettuale dove sta?
• Documenti• Contatti• Progetti• Appuntamenti• ……
e-Mail70%
DB12%
Cartaceo10%
Altro8%
Intellectual Property
Dove cerco le informazioni?
1) Scambio di E-mail
2) WebMotori di ricercaSiti di informazioniBlogWeb Aziendali…
Mail e Web Browsing
Sono due asset aziendali fondamentali perché:• Sono i principali veicoli di trasmissione delle
informazioni• Sono i principali veicoli di reperimento delle
informazioni
E le informazioni sono vitali per le aziende, qualsiasi cosa facciano!
Da cosa proteggersi?Spam
Phishing
DdosVirus
Malware
Directory Harvest
Furto Dati Sensibili
Uso Improprio delle risorse
Bounce Attack
Source: 106,000 Bots on 3,200 Networks in 119 Countries
Rank Network Owner CountryCount%1 Telefonica de Espana Spain 6.7%2 France Telecom France 4.3%3 Proxad France 3.4%4 Telecom Italia Italy 2.6%5 Deutsche Telekom AG Germany 2.2%6 Cableuropa - ONO Spain 2.2%7 Telemar Norte Leste S.A. Brazil 1.8%8 Wanadoo France France 1.7%9 Telefonica de Espana SAU Spain 1.7%
10 TELECOMUNICACOES DE SAO PAULO S.A.Brazil 1.7%
Rank Network Owner CountryCount%1 Telefonica de Espana Spain 6.7%2 France Telecom France 4.3%3 Proxad France 3.4%4 Telecom Italia Italy 2.6%5 Deutsche Telekom AG Germany 2.2%6 Cableuropa - ONO Spain 2.2%7 Telemar Norte Leste S.A. Brazil 1.8%8 Wanadoo France France 1.7%9 Telefonica de Espana SAU Spain 1.7%
10 TELECOMUNICACOES DE SAO PAULO S.A.Brazil 1.7%
Zombie Population by Country
Zombie Populationby Network
Top 10: 28% of spamTop 25: 50% of spam
Non bastano Firewalls, IPS, Anti-Virus e URL Filtering?!
• Firewalls don’t stop port 25, 80 or user requests for protocol-compliant HTTP(S) 443
• IPS does not stop social engineering
• New vulnerabilities continually
• Anti-virus is shockingly ineffective due to mutating viruses– 390 LdPinch security signatures since original in 2003
– More than 30,000 Bagel variants
• URL filtering can’t categorize an infinite number of sources
• URL filtering can’t protect from legitimate sites being hacked
• End-users roam
• End-users choose to install, override security
• Once infected, malware hides
Come Proteggersi le basi• Considerare il problema nel suo insieme
– Non concentrarsi su un solo aspetto– …
• No silver bullet, ma tecnologie che collaborano tra loro analizzando i diversi aspetti del problema
– Suddividere il problema in layer ed affrontare ogni layer con una tecnologia adatta– …
• Monitorare non solo il contenuto e chi riceve, ma anche chi invia– Puoi fidarti del postino?– …
• Sopravvivere al carico di lavoro necessario a securizzare i canali– Basso impatto amministrativo– Scalabilità– Omogeneità architetturale– Aggiornamento della soluzione semplice– ….
Proteggere un canale di comunicazione• Analizzare il tipo di dati trasportato
– Chi è il mittente\i?– Chi è il destinatario\i?– Come è fatto il messaggio\contenuto?– Ci sono dati\contenuti sensibili\privati?– Ci sono dati\contenuti impropri?– …..
• Analizzare il tipo di protocollo utilizzato– È stateless o stateful?– In chiaro o criptato?– Autenticato o non autenticato?– Reliable o unreliable?– ……
• Analizzare i rischi connessi– Mi possono rubare\leggere\modificare i dati?– Possono utilizzare il canale di comunicazione in maniera impropria?– Posso ricevere contenuti\dati pericolosi?– Posso violare\ Devo rispettare qualche legislazione\regolamento– ….
Web ed E-mail: mondi diversi ma con gli stessi problemi….
1. Hanno specificità legate al tipo di trasmissione, protocollo etc etc….2. Condividono diversi aspetti:
• HTML come formato comune• Spesso l’accesso alla mail passa da interfacce web (Outlook Web Access,
Google Mail, Yahoo Mail, Libero…..)• Molti attacchi utilizzano entrambi i canali: Botnet, Zombie, Rootkit usano il
web come strumento di infezione e la mail (spam phishing) come effetto• ….
3. Richiedono un notevole effort amminstrativo in termini di sicurezza e compliance alle regole aziendali
4. ….
Il problema del Web
Cose da considerare per ottenere un accettabile livello di protezione
• Considerare il flusso dati “ utente Web ” come una relazione uno a molti
• Considerare che una “pagina” e’ composta da un numero arbitrario di link e riferimenti, alcuni anche potenzialmente non leciti, non considerare un URL di un sito come una entita’ monolitica ma come un inizio di una serie di transazioni
• Considerare che esistono sia download che transazioni sia server-side che client-side
• Considerare che HTTPS vuol dire “criptato” e non “sicuro”• Dare una accettabile livello di servizio in termini di performance• …
Cosa fare:• Security:
1. Verificare le sorgenti2. Verificare le transazioni3. Verificare i contenuti scaricati4. Imporre la security anche su canali HTTPS5. Mantenere una User Experience Ottimale
• Compliancy:1. Monitorare Download-Upload oggetti2. Verificare se la navigazione è aziendalmente “accettabile”3. Imporre il controllo, ove richiesto, anche sui canali HTTPS
• Amministrazione:1. Policy granulari2. Monitoring, reporting ed auditing3. Rispetto normativa sulla privacy4. Basso effort amministrativo
Il problema della Mail
Cose da considerare per ottenere un accettabile livello di protezione
• Il protocollo SMTP è in chiaro• Il protocollo SMTP Non garantisce la consegna• Il protocollo SMTP demanda ai layer successivi i
retry in caso di errore• Per mandare una mail basta un fare un “Telnet”
sulla porta 25 di qualsiasi mail server• …
Cosa fare:• Security:
1. Proxare (MTA) il traffico per non esporre direttamente i mail server2. Verificare le sorgenti3. Verificare i contenuti scaricati per Unsolicited Bulk Email (Spam, phishing …)4. Verificare la presenza di virus e\o malware5. Mantenere una User Experience Ottimale (bassi falsi positivi)
• Compliancy:1. Monitorare contenuti ricevuti o inviati2. Forzare la remediation in caso di non rispetto delle regole (DLP)3. Mantenere una User Experience Ottimale
• Amministrazione:1. Policy granulari2. Monitoring, reporting ed auditing3. Rispetto normativa sulla privacy4. Basso effort amministrativo
EMAILSecurity Gateway
Cisco IronPort ApproachApplication-Specific Security Gateways
MANAGEMENT Controller
Internet
WEBSecurity Gateway
SenderBase(The Common Security Database)
APPLICATION-SPECIFIC SECURITY GATEWAYS
LAN/WAN
BLOCK Incoming Threats: Spam, Phishing/Fraud Viruses, Trojans, Worms Spyware, Adware Unauthorized Access
ENFORCE Policy: Acceptable Use Regulatory Compliance Intellectual Property Encryption
CENTRALIZE Admin: Per-user policy Per-user reporting Quarantine Archiving
Cisco IronPort Security AppliancesIntegrated Security Appliances For The Network Perimeter
IronPort S-SeriesäWEB SECURITY APPLIANCE
IronPort C-Series EMAIL SECURITY APPLIANCE
IronPort M-SeriesäSECURITY MANAGEMENT APPLIANCE
• Integrated DLP Scanning and Remediation For Email• Encryption Without any Additional Hardware Required• Industry-leading Anti-Spam and Anti-Virus Scanning
• Acceptable Use Policy (AUP) Management• Industry-leading Malware and Spyware Filtering• Layer 4 Traffic Monitor Inspects all Traffic
• Centralized Reporting• Centralized Tracking• Centralized Policy Management• Centralized Archiving
Dove trovare informazioni
• www.ironport.com (sito istituzionale)• www.senderbase.org (Senderbase sul web)• www.ironport.com/toc (Virus Outbreack Filter)• www.ironportnation.com (Forum tecnico ufficiale
IronPort)• http://www.ironport.com/support/ (supporto e
documentazione)• http://Portadiferro.blogspot.com (Il mio blog tecnico)• http://portadiferro2.blogspot.com (Il mio blog news)