Przestępcze scenariusze wykorzystania e-mail a sposoby zabezpieczeń Warszawa, 21 czerwca 2017 Tomasz Zawicki CISSP
CIA 1. CIA Centralna Agencja Wywiadowcza 2. Triada bezpieczeństwa: Confidentiality, Integrity, Availability
E-mail = protokół SMTP
Usługa e-mail Pierwszy list wysłano w 1991r RFC 821 1992r -> RFC 5321 2008r Brak skutecznych mechanizmów bezpieczeństwa wynika z niedoskonałości protokołu Protokół SMTP jest bardzo wdzięczny dla atakujących
Dobrze znane scenariusze
SPAM Rozwiązania antyspamowe bazują na: listy reputacyjne: Spamhaus, DBL, SURBL, URIBL, reguły klasyfikowania wg. tematu, treści listu, nadawcy informacje wywiadowcze uzyskiwane z uruchomionych w sieci honeypot ów
Zagrożenia masowe i stosowane zabezpieczenia Rozwiązania AV (sygnatury) ClamAV Można stosować kilka silników Analiza statyczna (silniki antimalware) Sandboxowanie (analiza dynamiczna) On-site lub chmurowy Informacje wywiadowcze pozyskane z honeypot ów wspomagają skuteczną detekcję Kto ma lepsze TI?
Scammail oszustwo bazujące na podszyciu się pod zaufany adres e-mail Zabezpieczenia globalne: SPF - Sender Policy Framework DomainKeys Identified Mail Sygnatura DKIM zabezpiecza przed podszywaniem się pod nadawcę (e-mail spoofing) z innych domen Źródło Wikipedia DMARC (Domain-based Message Authentication ) - Informational RFC 7489 Prezentacja wysyłki maila na żywo
Identyfikacja złośliwego: załącznika, URL a
Identyfikacja ataku załącznikiem e-mail wygenerował cztery zdarzenia
Analiza zdarzenia w systemie Fidelis Rozwiązanie Csecurity + Network
Identyfikacja ataku phishing URL
Identyfikacja ataku - URL
Symantec Advanced Threat Protection: Email GIN Sandbox Korelacja Wykorzystanie chmurowego środowiska sandbox ATP: Email Pozyskane dane wywiadowcze Informacje o kampaniach ukierunkowanych File Hashes Dane Url Informacja o poziomie zagrożenia IoC Kategoryzacja Malware Wysoka wydajność E-mail security.cloud
PGP - Ochrona danych w ruchu i w spoczynku Brama szyfrująca Email Urządzenia przenośne Zarządzanie Klucze indywidualne i grupowe Tworzenie polityk szyfrowania Raportowanie Szyfrowanie danych przenośnych i całego dysku Nośniki przenośne Szyfrowanie zasobów współdzielonych
Model wdrożenia PGP Universal Server
Ochrona przed Malware i Spam Symantec Messaging Gateway (SMG) Anty-spam Anty-malware Wycinanie kodu wykonywalnego z załączników attachment cleaning Wykorzystanie wielu technik antyspamowych Efektywność antyspamu 99% Dane reputacyjne Śledzenie ponad 400 milionów nadawców spamu oraz bezpiecznych IP. Filtrowanie ponad 95% spamu na podstawie danych reputacyjnych Personalized Protection Rozdzielanie newsletter ów, listów marketingowych od listów z podejrzanymi URL. Konfigurowalne polityki dostosowane do kategorii otrzymywanych listów
SMG On-premise Sprzęt fizyczny Wirtualny Appliance Hybryda Trzy wersje wydajnościowe urządzenia dostosowane do skali realizowanej komunikacji e-mail VMware ESX, ESXi, vsphere Microsoft Hyper-V Poczta przychodząca kontrolowana przez Security.cloud Poczta wychodząca przez Symantec Messaging Gateway z realizacją DLP
File URL Whitelist Blacklist Certificate Machine Learning Rozpoznania: 430 millionów unikalnych próbek malware u w 2016 12,000+ Zidentyfikowanych i rozpoznanych webaplikacji 1 miliardów zatrzymanych złośliwych listów e-mail 100 milionów zablokowanych oszustw wykorzystujących inż. społeczną 182 milionów Powstrzymanych ataków na aplikacje webowe Źródła wiedzy 1 Miliard unikalnych zapytań skanowanych codziennie 2 Miliardy skanowanych listów - codziennie 175 Milionów chronionych komputerów 9 centrali identyfikujących zagrożenia 3,000 Inżynierów i researchers
Powiększona triada bezpieczeństwa -PGP Confidentiality, Integrity and Availability POUFNOŚĆ PGP NIEZAPRZECZALNOŚĆ PGP POŚWIADCZENIE + 2FA Symantec VIP @ DOSTĘPNOŚĆ Sprawdzona technologia + zaufane bazy reputacyjne INTEGRALNOŚĆ PGP/SSL
Zgodność z GDPR także w chmurze CZAS NA PRZYGOTOWANIE ZGODNOŚCI DO WIOSNY 2018 KARY DO 4% ROCZNEGO OBROTU ANONIMIZACJA/PSEUDOANONIMIZACJA DANYCH W ŚRODOWISKU CHMUROWYM
Symantec Email Security Solution także Cloud Advanced Threat Protection Users Cloud Email Server Inbound/Outbound Third-party Users On-premise Email Server Firewall Anti-Spam Anti-Malware Data Protection Image Control DLP