Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Чи можна захиститися від 90% кібератак одним рішенням

2019-07-26
Автор: Телесфера

 

Шлюзи безпеки електронної пошти стали must have практично в будь-якій організації. Подібні рішення залишаються популярними на протязі двох десятиліть. Причина цього криється в тому, що вони до сих пір виграють конкуренцію у альтернативних технологій.

Буквально два місяці тому Gartner зробили досить примітну заяву - відтепер агентство не формуватиме свій Magic Quadrant для шлюзів безпеки електронної пошти (Secure Email Gateways). У числі причин такого рішення аналітики вказують таку ступінь зрілості ринку, яка зробила складання такого звіту просто не потрібним. Замість цього аналітики планують випускати так званий Market Guide, в якому будуть розповідати про нові технології, основних гравців і тенденції розвитку ринку, не фокусуючись на функціональних відмінностях конкретних рішень.

Висновок з цього можна зробити простий - в корпоративному ІБ-ландшафті будь-якої організації місце шлюзів безпеки електронної пошти, на думку аналітиків Gartner, пустувати не може за визначенням. Спробуємо розібратися, чому цей сегмент в загальному і рішення Cisco Email Security зокрема, не дивлячись на свою уявну консервативність, змогли пережити всі потрясіння на глобальному ринку за останні 20 років, стати де-факто стандартом в архітектурі інформаційної безпеки практично будь-якої компанії і скласти впевнену конкуренцію аналогічному функціоналу в просунутих NGFW (Next Generation Firewall) платформах.

Ренесанс засобів захисту електронної пошти

Для початку зробимо невеликий екскурс в історію. Рішенням Cisco з безпеки електронної пошти вже майже 20 років. Компанія IronPort була заснована в 2000 р. і фокусувалася на двох продуктах - Email Security Appliance і Web Security Appliance. Після покупки компанією Cisco Systems в 2007 р. вони були інтегровані в екосистему Cisco Security як Cisco ESA і Cisco WSA. З тих пір ці рішення займають лідируючі позиції в своїх сегментах за версією аналітичних агентств Gartner і Forrester.

Така стабільна популярність засобів захисту електронної пошти пов'язана з тим, що вона залишається основним каналом корпоративних комунікацій. Саме тому вона виступає основним вектором атак: як на корпоративну інфраструктуру, так і на кінцевих користувачів. Завдяки безперервному розвитку, Cisco забезпечує ESA важливими інструментами для боротьби з сучасними загрозами.

Спочатку, на зорі розвитку Cisco ESA, крім класичного функціоналу боротьби зі спамом і небажаною поштою, до таких інструментів відносились антивірусні движки, вбудовані в саме рішення, перевіряючі всі поштові вкладення, які проходять. Також рішення включало власну репутаційну базу SenderBase. Вона містила списки відправників і серверів електронної пошти з відповідними рівнями ризику для кожного. Також була реалізована власна технологія Outbreak Filters, яка дозволяє блокувати шкідливий код після його визначення, але до моменту потрапляння в сигнатурну базу антивірусного движка. Сильною стороною рішень Cisco ESA завжди був і залишається власний движок Cisco Context Adaptive Scanning Engine (CASE). На базі багаторівневого аналізу (контент-орієнтованих і контент-незалежних технік) і в зв'язці з механізмами фільтрації на базі геолокації відправника, він дає більш ніж 99-відсотковий показник виявлення спам-повідомлень і фішингових листів.

Нинішній ландшафт загроз інформаційній безпеці передбачає більш великий інструментарій для ефективної боротьби з сучасними атаками. Саме тому у всіх рішеннях Cisco ESA є можливість підключення функціоналу статичного і динамічного аналізу (пісочниці) для боротьби з ще невідомими погрозами і функціоналу безперервного ретроспективного аналізу загроз, навіть через час після їх проходження через ESA. Cisco ESA, як і багатьом рішенням з портфеля Cisco Security, «з коробки» доступний весь інструментарій великої Threat Intelligence платформ Cisco Talos (в яку, в тому числі, інтегрована колишня база SenderBase) і Cisco AMP, що забезпечує захист від просунутих і невідомих погроз. Крім цього, Cisco ESA підтримує тісну інтеграцію з Threat Hunting-платформою Cisco Threat Response, що дозволяє забезпечити розслідування інцидентів та пошук загроз, об'єднуючи дані про події безпеки, одержувані, в тому числі, з кінцевих пристроїв, захищених Cisco AMP for Endpoints, і інших пристроїв Cisco ESA по всьому світу. Все це дозволяє Cisco ESA задовольняти високим вимогам до оперативного визначення, проактивного блокування і ефективному розслідуванню сучасних спрямованих атак, які неможливо запобігти класичними сигнатурними методами.

Олексій Лукацький, бізнес-консультант з безпеки, Cisco Systems: “Не згадуючи імен, мені хотілося б розповісти про одну історію впровадження Cisco ESA у одній з великих фінансових організацій, яка зіткнулася з досить витонченою цілеспрямованою атакою на свої інформаційні активи. Ми якраз тестували наше рішення у замовника, коли на адресу одного з його керівників надійшло електронне повідомлення нібито від служби технічної підтримки Google, в якому говорилося, що по відношенню до облікового запису даного користувача були помічені підозрілі дії і користувачеві рекомендувалося замінити пароль і включити механізм двофакторної аутентифікації. У листі від Google містилося посилання, по якому треба було пройти для зміни пароля, а також PDF-файл з пам'яткою про безпечне використання електронної пошти. Cisco ESA відразу «взяв стійку» на це повідомлення, яке не викликало підозр ні у керівника фінансової організації, ні у засобів захисту, які захищали цю компанію до пілотування Cisco E-mail Security Appliance. В процесі розслідування виявилося, що повідомлення було надіслано з домену, схожого з написання на Google (така ж техніка використовувалася в атаці на главу передвиборчого штабу Хіларі Клінтон, яка, на думку ряду експертів, вплинула на результати американських виборів і, в кінцевому рахунку, на світову історію), а вкладення містило шкідливий код, недектируємий традиційним антивірусом. Тільки за рахунок антифішингового механізму в Cisco ESA, а також модуля Advance Malware Protection і інтеграції з пісочницею Cisco Threat Grid, вдалося оперативно виявити дану атаку, заблокувати перехід по посиланню і вирізати шкідливе вкладення з повідомлення. Керівництво компанії було задоволене такими результатами на першому ж тижні пілота і схвалило покупку Cisco E-mail Security Appliance.”

Крім боротьби з зовнішніми зловмисниками, Cisco ESA володіє функціоналом захисту від інсайдерських погроз. Зокрема, в рамках будь-якого рішення Cisco ESA існує можливість включення функціоналу запобігання витоків даних (Data Loss Prevention), розробленого спільно з компанією Digital Guardian, лідером світового ринку DLP, а також функціоналу примусового шифрування листів, що відправляються за периметр організації, з подальшим наданням доступу до них лише конкретних одержувачів (т.зв. Cisco Registered Envelope Service, CRES).

Конкуренція з захистом електронної пошти через NGFW

Під час обговорення функціональних можливостей систем класу Email Security виникає бажання порівняти його з аналогічним функціоналом в системах Next Generation Firewall, які, по суті, є комбайном «все-в-одному» для захисту мережі, і які також можуть включати функціонал захисту від фішингу, вірусів і спрямованих атак всередині поштових повідомлень.

Необхідно розуміти, що в більшості випадків функціонал захисту електронної пошти в рамках класичних NGFW обмежується базовими елементами (антивірус, анти-спам, іноді «пісочниця») і часом не відповідає всім вимогам, що пред'являються до системи захисту пошти. У багатьох NGFW-рішеннях не існує можливості використання найпростіших функцій роботи з електронною поштою, таких, як, наприклад, карантин листів або чорні/білі списки відправників і одержувачів, а також маршрутизація електронної пошти та контроль доставки поштових повідомлень до адресата. Тому при реалізації функціоналу захисту електронної пошти лише засобами NGFW, необхідно бути готовим до перенесення частини необхідних базових функцій на поштові сервера або додаткові проміжні системи, що може призвести до збільшення як капітальних, так і операційних витрат.

Олексій Лукацький, бізнес-консультант з безпеки, Cisco Systems:
“Багато зі служб ІБ активно вивчають ринок сучасних та інноваційних засобів захисту, інвестуючи в такі напрямки, як SOAR, Incident Response Platform, Threat Hunting, Breach & Attack Simulation і інші, забуваючи, що до 85-95% всіх атак починається з банального фішингу або шкідливого вкладення, відправлених за допомогою електронної пошти. Всі ці інновації могли б і не знадобитися, якщо б компанія приділила трохи більше уваги захисту основного каналу комунікацій, і впровадила б не просто антиспам або традиційний антивірус на поштовому сервері, а щось більш просунуте, що дозволяє контролювати широкий спектр відомих і невідомих погроз, які розповсюджуються через e-mail”

Також важливо відзначити, що експлуатація сучасних NGFW, які є комплексними пристроями для захисту мережі, пред'являє високі вимоги до наявності виділених компетенцій з інформаційної безпеки в команді ІТ/ІБ-департаменту. Завдяки консервативному підходу, адміністрування Cisco ESA не представляє великих проблем для поточного ІТ-персоналу і не пред'являє високих вимог до наявності в команді адміністраторів високих компетенцій в області інформаційної безпеки. Cisco ESA оперує загальновідомими і очевидними будь-якому адміністратору серверів електронної пошти поняттями, що дозволяє не збільшувати штат фахівців з інформаційної безпеки або інформаційних технологій. Саме тому впровадження Cisco ESA не призводить до відчутного зростання операційних витрат і дозволяє точно спрогнозувати сукупну вартість володіння рішенням на роки вперед.

Ще одним важливим фактором є схема ліцензування сучасних NGFW, більшість з яких, як правило, спираються на метрику ширини смуги пропускання захищається каналу. Це правильна і очевидна метрика для пристроїв мережевого захисту, але не дуже зручна і прогнозована для систем захисту електронної пошти. Очевидно, що в сучасних вимогах до експлуатаційних витрат на те чи інше рішення все більше превалюють передбачуваність і окупність витрат, що позначається на моделі ліцензування Cisco ESA. Наприклад, в разі апаратної реалізації ліцензування Cisco ESA проводиться виходячи з числа поштових скриньок, які захищуються, і не має на увазі окремих витрат на покупку самих пристроїв - продуктивність і модель визначається виходячи з обсягу ліцензії і поставляється умовно-безкоштовно, що дозволяє гнучко управляти бюджетом на захист корпоративної пошти.

Універсальна архітектура для більш гнучкою захисту

Ще одним трендом в області інформаційної безпеки останніх років є масовий перехід корпоративних сервісів на хмарні платформи, що висуває додаткові вимоги до захисту корпоративних ресурсів. Крім цього, один з найважливіших доменів інформаційної безпеки, а саме - кінцевий користувач, також мігрує на мобільні платформи, через що відбувається додаткове розмивання периметра захисту.

На сьогоднішній день Cisco ESA може ефективно інтегруватися в будь-яку корпоративну інфраструктуру - починаючи від on-premise апаратних пристроїв і віртуальних машин для приватних і публічних хмар, і закінчуючи повністю хмарною моделлю і гібридними інсталяціями.

Апаратні платформи Cisco ESA представлені у всіх сегментах - починаючи від невеликих організацій (до 2 тис. активних користувачів) і закінчуючи великим бізнесом і операторами зв'язку (більше 20 тис. активних користувачів). Безумовно, всі апаратні платформи мають на увазі можливість розгортання в режимі відмов кластеру. Крім апаратних платформ, Cisco ESA також може бути встановлена як віртуальний сервер, за своїми характеристиками і функціоналом нічим не відрізняється від апаратного рішення.

Для захисту корпоративної пошти на мобільних платформах і повністю хмарних сервісів електронної пошти (наприклад, Office 365) Cisco ESA пропонує повністю хмарну модель впровадження і нативну інтеграцію як з мобільними пристроями, так і з хмарним сервісом пошти Office 365.

Висновок

На сьогоднішній день електронна пошта є і основним каналом корпоративної комунікації, і основним вектором атак на організації. Саме тому не ставиться питання, чи захищати цей канал, а ставитися питання - як саме це робити. При виборі універсальних засобів захисту (таких, наприклад, як NGFW) завжди необхідно бути готовим до компромісів, пов'язаних, в першу чергу, з універсальністю рішення. При виборі рішень з портфеля Cisco Email Security можна дозволити собі не йти на компроміси і реалізувати всі функції захисту електронної пошти в рамках одного рішення від лідера сегмента, незалежно від необхідної архітектури впровадження і масштабу організації.

При цьому рішення Cisco Email Security дозволяють мати завжди передбачувані витрати, як на ліцензування, так і на його експлуатацію, надаючи при цьому максимально широкий функціонал по захисту корпоративної електронної пошти.

Джерело: http://www.cnews.ru/special_project/2019/cisco/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Серія Catalyst IE3400 Heavy Duty: Cisco Catalyst, створений для самих складних умов

Серія Catalyst IE3400 Heavy Duty: Cisco Catalyst, створений для самих складних умов
Cisco,Cisco Network,cisco,Налаштування,Налаштування Cisco,новини

Ви хочете розширити можливості підключення за межі офісу? У такі місця, як фабрики, шахти, стадіони або ферми? У місцях з наявністю пилу, води або екстремальних температур?

Цей небезпечний IoT: загрози бізнесу і способи вирішення проблеми

Цей небезпечний IoT: загрози бізнесу і способи вирішення проблеми
IoT,Блог Телесфера,Налаштування

Мережеві технології зробили світ зовсім маленьким, в тому сенсі, що вони дозволили людям, які знаходяться один від одного в тисячах кілометрів спілкуватися в режимі реального часу. Але мережеві технології і пристрої можуть бути і небезпечними, якщо говорити про кібершпіонаж. Особливу небезпеку становлять ботнети, які вражають погано захищені мережні девайси.

Новий захист IoT від бездротових атак використовує теорію ігор

Новий захист IoT від бездротових атак використовує теорію ігор
IoT,новини,Налаштування,Продуктивність

З кожним днем все більше пристроїв підключаються в мережу для збору, відправки та отримання даних. Приклади по-справжньому масштабних реалізацій Інтернету Речей (IoT) поки ще рідкісні, проте незабаром вони можуть набути широкого поширення. Це створить значні ризики для підприємств і державних служб, оскільки зловмисники зможуть атакувати не тільки комп'ютери і смартфони, але і безліч інших пристроїв, таких як планшети, розумні годинники, системи розумного будинку, транспортні системи і так далі.