8/18/2019 Capacitacion Cisco ESA
1/111
Cisco Email Security
ApplianceSergio Oshiro
8/18/2019 Capacitacion Cisco ESA
2/111
Agenda
• Introducción a la Seguridad en el Correo
• Solución de Seguridad del Correo de Cisco
• Cisco Email Security Appliance (IronPortAntispam)
8/18/2019 Capacitacion Cisco ESA
3/111
Arquitectura del Email
8/18/2019 Capacitacion Cisco ESA
4/111
Términos y Flujo del Correo
8/18/2019 Capacitacion Cisco ESA
5/111
Conersación S!TP
• S!TP es un protocolo simple con unconjunto de comandos "ien de#nidos$
• %tili&ando 'Telnet es una orma *cil depro"ar la conectiidad S!TP y entregarun correo +acia una cuenta receptora$
8/18/2019 Capacitacion Cisco ESA
6/111
Conersación S!TP
• Comandos queescribimos están
en azul.• as respuestas
del sistema ennegro.
• !atos que seingresan están ennaran"a.
8/18/2019 Capacitacion Cisco ESA
7/111
Conersación S!TP
8/18/2019 Capacitacion Cisco ESA
8/111
Introducción a laSeguridad en el
Correo
8/18/2019 Capacitacion Cisco ESA
9/111
Eolución de la Seguridad delEmail
8/18/2019 Capacitacion Cisco ESA
10/111
Eolución del %suario
8/18/2019 Capacitacion Cisco ESA
11/111
Amenazas de Entrada y Salida
en la Actualidad• El costo de solo una "rec+a de seguridad en laempresa puede ser sorprendente$ 'PonemonInstitute estima rangos de pérdidas desde
%S,- millón +asta %S,./ millones$• 0as normas de diulgación de inormación1
+acen que sean m*s costosas las pol2ticas decorreo que no son ejecutadas$
8/18/2019 Capacitacion Cisco ESA
12/111
34ué es el Spam5
• !ensajer2a electrónica no deseada$
• Correos electrónicos1 mensajer2ainstant*nea (I!)1 6e" spam1 entre otros$
• 7eneralmente es de la orma pu"licitaria1
pero tam"ién e8isten actualmente elspam con #nes criminales como ro"o deidentidad (p+is+ing) o raudes$
8/18/2019 Capacitacion Cisco ESA
13/111
• 0os 9spammers: utili&an
programas que recorren la
lista eniando el mismo
mensaje a todas las
direcciones$
• Esto supone un costom2nimo para ellos1 pero
perjudica al receptor
(pérdidas económicas y de
tiempo) y en general enInternet1 por consumirse
gran parte del anc+o de
"anda en mensajes "asura$
8/18/2019 Capacitacion Cisco ESA
14/111
Obtención de direcciones decorreo
• 0os propios sitios 6e"1 que con recuenciacontienen la dirección de su creador1 o de susisitantes (en oros1 "logs1 etc$)$
• 0os grupos de noticias de 9usenet:1 cuyosmensajes suelen incluir la dirección del remitente$
• 0istas de correo; les "asta con apuntarse e iranotando las direcciones de sus usuarios$
• Correos electrónicos con c+istes1 cadenas1 etc$que los usuarios de internet suelen reeniar sinocultar las direcciones1 y que pueden llegar aacumular docenas de direcciones en el cuerpo delmensaje1 pudiendo ser capturadas por un troyanoo1 m*s raramente1 por un usuario malicioso$
8/18/2019 Capacitacion Cisco ESA
15/111
• P*ginas en las que se solicita tu dirección decorreo (o la de
8/18/2019 Capacitacion Cisco ESA
16/111
El Spam en números
• @epresentan entre el .BDB de todoslos correos electrónicos1 segn diersas
empresas de inestigación$• El anc+o de "anda utili&ado por
spammers se incremento de GH. T" enel G-- a . T" al G-$
8/18/2019 Capacitacion Cisco ESA
17/111
8/18/2019 Capacitacion Cisco ESA
18/111
Países que generan másSpam - 20!
8/18/2019 Capacitacion Cisco ESA
19/111
8/18/2019 Capacitacion Cisco ESA
20/111
8/18/2019 Capacitacion Cisco ESA
21/111
Publicidad
• El tipo de Spam m*s comn es elrelacionado a la Pu"licidad1 el cualrepresenta un JDB$
• El segundo m*s comn es elrelacionado al contenido Adulto1 el cual
es un JGB$ K el Spam relacionado a losasuntos Financieros representa un GHB$
8/18/2019 Capacitacion Cisco ESA
22/111
8/18/2019 Capacitacion Cisco ESA
23/111
P"is"ing
• El Spam relacionado al raudecomprende un JB de los correos y lorelacionado al P+is+ing representa un
HB$
8/18/2019 Capacitacion Cisco ESA
24/111
8/18/2019 Capacitacion Cisco ESA
25/111
El #ol del Email
• Lurante el ltimo aMo1 los modelos deci"ercr2menes +an tenido un cam"io$A+ora1 la cantidad de ataques masios
+an disminuido y se eidencia en unareducción del /B de olumen de spam$
• 0os ci"ercriminales se est*n enocandoen esuer&os de mayor alor1 los cualesincluyen; raudes1 ataques maliciosos1ataques de p+is+ing y destinadosespec2#camente a una empresaNlugar$
8/18/2019 Capacitacion Cisco ESA
26/111
#educción de $taques
%asi&os• Cisco estima que el "ene#cio delci"ercr2men en los ataques masiostradicionales +a disminiudo en m*s de
.BO desde %S,-$- "illones en unioG- a ,. millones en unio G--$
• Este cam"io reQeja la reducción delolmen de spam desde J "illones a "illones de mensajes spamdiariamente desde unio G- +acia unioG--$
8/18/2019 Capacitacion Cisco ESA
27/111
8/18/2019 Capacitacion Cisco ESA
28/111
$dquisición de IronPort
8/18/2019 Capacitacion Cisco ESA
29/111
8/18/2019 Capacitacion Cisco ESA
30/111
8/18/2019 Capacitacion Cisco ESA
31/111
8/18/2019 Capacitacion Cisco ESA
32/111
8/18/2019 Capacitacion Cisco ESA
33/111
8/18/2019 Capacitacion Cisco ESA
34/111
8/18/2019 Capacitacion Cisco ESA
35/111
8/18/2019 Capacitacion Cisco ESA
36/111
8/18/2019 Capacitacion Cisco ESA
37/111
8/18/2019 Capacitacion Cisco ESA
38/111
8/18/2019 Capacitacion Cisco ESA
39/111
8/18/2019 Capacitacion Cisco ESA
40/111
8/18/2019 Capacitacion Cisco ESA
41/111
8/18/2019 Capacitacion Cisco ESA
42/111
8/18/2019 Capacitacion Cisco ESA
43/111
8/18/2019 Capacitacion Cisco ESA
44/111
8/18/2019 Capacitacion Cisco ESA
45/111
8/18/2019 Capacitacion Cisco ESA
46/111
8/18/2019 Capacitacion Cisco ESA
47/111
8/18/2019 Capacitacion Cisco ESA
48/111
8/18/2019 Capacitacion Cisco ESA
49/111
8/18/2019 Capacitacion Cisco ESA
50/111
8/18/2019 Capacitacion Cisco ESA
51/111
8/18/2019 Capacitacion Cisco ESA
52/111
8/18/2019 Capacitacion Cisco ESA
53/111
%odelos de $ppliance
8/18/2019 Capacitacion Cisco ESA
54/111
Cisco Securit'Intelligence
Operations - SIO
8/18/2019 Capacitacion Cisco ESA
55/111
()u* es+
• Es un sericio "asado en la nu"e que conecta lainormación con respecto a las amena&asglo"ales1 sericios "asados en reputación y un
an*lisis so#sticado para los dispositios de Ciscopara proteger las redes de comunicaciones$
• Contiene el contenido relacionado con la
pu"licaciones de aisos y otros contenido deseguridad$ (+ttp;NNtools$cisco$comNsecurityNcenterN+ome$8)
http://tools.cisco.com/security/center/home.xhttp://tools.cisco.com/security/center/home.xhttp://tools.cisco.com/security/center/home.xhttp://tools.cisco.com/security/center/home.x
8/18/2019 Capacitacion Cisco ESA
56/111
8/18/2019 Capacitacion Cisco ESA
57/111
Portal de SIO en Cisco
• Incluye respuestas de eentos en laindustria1 alertas Intellis+ield y los aisosde seguridad de productos de Cisco$
• El portal de SI est* destinado a ser elprimer lugar que isite en la "squeda de
inormación de seguridad en Cisco$
8/18/2019 Capacitacion Cisco ESA
58/111
Ob,eti&o
• Anali&ar las amena&as y mitigarlas lom*s pronto posi"le$
• Proeer an*lisis de las ulnera"ilidades1corrigiéndolas y "rindando esteretroalimentación a los usuarios
empresariales$
8/18/2019 Capacitacion Cisco ESA
59/111
8/18/2019 Capacitacion Cisco ESA
60/111
8/18/2019 Capacitacion Cisco ESA
61/111
8/18/2019 Capacitacion Cisco ESA
62/111
8/18/2019 Capacitacion Cisco ESA
63/111
8/18/2019 Capacitacion Cisco ESA
64/111
8/18/2019 Capacitacion Cisco ESA
65/111
IronPort Senderase.
8/18/2019 Capacitacion Cisco ESA
66/111
IronPort Senderase /etor1 a primera ' más grande ase de Cali3cación
%undial!onitoreo de tr*#co de correo a niel
mundial 666$sender"ase$org
8/18/2019 Capacitacion Cisco ESA
67/111
8/18/2019 Capacitacion Cisco ESA
68/111
8/18/2019 Capacitacion Cisco ESA
69/111
8/18/2019 Capacitacion Cisco ESA
70/111
8/18/2019 Capacitacion Cisco ESA
71/111
8/18/2019 Capacitacion Cisco ESA
72/111
8/18/2019 Capacitacion Cisco ESA
73/111
8/18/2019 Capacitacion Cisco ESA
74/111
8/18/2019 Capacitacion Cisco ESA
75/111
8/18/2019 Capacitacion Cisco ESA
76/111
Cisco EmailSecurit'
$ppliance 4ES$5
8/18/2019 Capacitacion Cisco ESA
77/111
8/18/2019 Capacitacion Cisco ESA
78/111
8/18/2019 Capacitacion Cisco ESA
79/111
8/18/2019 Capacitacion Cisco ESA
80/111
8/18/2019 Capacitacion Cisco ESA
81/111
8/18/2019 Capacitacion Cisco ESA
82/111
8/18/2019 Capacitacion Cisco ESA
83/111
8/18/2019 Capacitacion Cisco ESA
84/111
8/18/2019 Capacitacion Cisco ESA
85/111
8/18/2019 Capacitacion Cisco ESA
86/111
Sistema de 7e6ensa
8/18/2019 Capacitacion Cisco ESA
87/111
%ulti-ni&el
$nti- Spam
S id d di ti t i l
8/18/2019 Capacitacion Cisco ESA
88/111
Seguridad en distintos ni&eles Preventivo + Reactivo = Defensa Completa
#eputation 8ilters detiene
8/18/2019 Capacitacion Cisco ESA
89/111
#eputation 8ilters detiene9:; de las "ostilidades
7e6ensa %ultini&el ante
8/18/2019 Capacitacion Cisco ESA
90/111
7e6ensa %ultini&el anteataques de
8/18/2019 Capacitacion Cisco ESA
91/111
%essage 8ilters
• Permite crear reglas especiales1 las cualesdescri"en cómo ser*n manejados losmensajes al ser reci"idos$
1. Message lter rule de#ne y determinalos mensajes que ser*n aplicados por un#ltro$
2. Message lter action toma acciónso"re el mensaje seleccionado (#nalaction drop1 non#nal actions insertinga +eader)
8/18/2019 Capacitacion Cisco ESA
92/111
8/18/2019 Capacitacion Cisco ESA
93/111
8/18/2019 Capacitacion Cisco ESA
94/111
%ail Policies
• ESA proee pol2ticas para mensajes aeniarNreci"ir que especi#can cómo ser*tratada inormación que se requiere que
no ingrese o salga de la red$ Este tipo decontenido puede ser;
SPA!1 UI@%SES1 P+is+ing Inormación con#dencial1 Inormación
personal$
8/18/2019 Capacitacion Cisco ESA
95/111
8/18/2019 Capacitacion Cisco ESA
96/111
(Cómo escanear
8/18/2019 Capacitacion Cisco ESA
97/111
(Cómo escanearmensa,e+
+ttp;NN666$cisco$comNcNdamNenNusNtdNdocsNsecurityNesaNesa/NuserVguideNESAV/-V%serV7uide$pd
b 1 il
8/18/2019 Capacitacion Cisco ESA
98/111
Outbrea1 8ilters
• Proeen una primera capa de deensa cr2tica aleniar a cuarentena de manera inteligente loscorreos sospec+osos durante la etapa m*stemprana del "rote de los irus$
• Permite reali&ar la ealuación de amena&as paralos mensajes de entrada1 en la cual se indica atraés de un puntaje1 qué mensajes son eniados
a cuarentena y reescaneados a traés de lassoluciones antiirus tradicionales una e& que lasactuali&aciones de las #rmas se +ayan esta"lecido$
Outbrea1 8ilters
8/18/2019 Capacitacion Cisco ESA
99/111
Outbrea1 8iltersPrimera Línea de Defensa
Outbrea1 8ilters
8/18/2019 Capacitacion Cisco ESA
100/111
Outbrea1 8iltersenta!a de los "iltros
/i l d
8/18/2019 Capacitacion Cisco ESA
101/111
/i&el de amena=a
> t #
8/18/2019 Capacitacion Cisco ESA
102/111
>e?t #esources
• Plantillas de te8to que pueden sereniadas como mensajes o adjuntas aestos$
!essage Lisclaimers
Woti#cation templates
Antiirus Woti#cation templates
Xounce and Encryption Failure Woti#cation template
Encryption Woti#cation templates
• Yte8tcon#g
8/18/2019 Capacitacion Cisco ESA
103/111
>e?t #esources @
8/18/2019 Capacitacion Cisco ESA
104/111
>e?t #esources 7isclaimer• Puede ser aMadida arri"a o de"ajo del
mensaje (+eading o ooter) para algunoso todos los mensajes reci"idos por un
listener$Ylistenercon#g
>e?t #esources @
8/18/2019 Capacitacion Cisco ESA
105/111
>e?t #esources /oti3cation• %sados con los accionadores de #ltros
notif#$% y notif#&cop#$%$
• Pueden contener te8to noascii$
>e?t #esources @ $
8/18/2019 Capacitacion Cisco ESA
106/111
>e?t #esources $</oti3cation• Antiirus noti#cation template
Cuando el mensaje original no se adjunta a la noti#caciónde irus$
• Antiirus container templateCuando el mensaje original es eniado como adjunto a lanoti#cación de irus$
>e?t #esources @ d E ti
8/18/2019 Capacitacion Cisco ESA
107/111
ounce and Encr'ption
8ailure /oti3cation
>e?t #esources @
8/18/2019 Capacitacion Cisco ESA
108/111
>e?t #esources Encr'ption /oti3cation• %sado en caso se tenga con#gurado un
método de cirado para correos salientes$
• Se noti#ca al usuario que +a reci"ido un
mensaje seguro y le proee instruccionespara leerlo$
8/18/2019 Capacitacion Cisco ESA
109/111
CISCO E%$IE/C#AP>IO/
>S C#ES
8/18/2019 Capacitacion Cisco ESA
110/111
>S• Wo requiere interención del usuario$
0os usuarios no sa"r*n que suscorreos est*n siendo transmitidospor un canal seguro$
• @equiere con#guración en e8tremos$
• T0S es direccional$ Se puede +a"ilitarpara uno o arios dominios internos1
o por el contrario para el dominio alcual se eniar*n mensajes$
• Ironport AsyncS soportae8tensiones STA@TT0S +aciaprotocolo seguro S!TP descrito en@FCJGCH$
• Para con#gurar STA@TT0S;
"tener certi#cado$
Instalar certi#cado$
Za"ilitar T0S para eniarNreci"ir$
C#ES
• @equiere que los usuarios seregistren(+ttps;NNres$cisco$comN6e"saeNactiate)
• Es un sericio en la nu"e1 por lo
que el control de llaespriadas la tiene Cisco$
• A traés de consola deadministración se puedecustomi&ar la plantilla de
p*gina 6e" (+ttps;NNres$cisco$comNadminN)
https://res.cisco.com/admin/https://res.cisco.com/admin/https://res.cisco.com/admin/https://res.cisco.com/admin/
8/18/2019 Capacitacion Cisco ESA
111/111
Top Related