E-mailbeveiliging: Kopersgids
E-mailbeveiliging: Kopersgids
© 2015 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden. Dit is een vertrouwelijk document van Cisco. Alleen bestemd voor gebruik door channelpartners. Niet voor openbare verspreiding. (1110R)
E-mailbeveiliging: Kopersgids Inleiding Door de toename van de hoeveelheid bedrijfsgevoelige en persoonsgegevens die via e-mail worden verzonden is het risico op besmetting of lekken van gegevens tegenwoordig ongekend hoog. In het dreigingslandschap voor e-mail is steeds vaker sprake van geavanceerde combinaties van aanvalsmethoden (“blended threats”) en doelgerichte aanvallen. Deze aanvallen zijn erop gericht malware te verspreiden die infiltreert in de datacenters waar kostbare, bedrijfsgevoelige gegevens liggen opgeslagen. Traditionele beschermingsmethoden, waaronder firewalls en antivirusoplossingen voor endpoints, zijn niet in staat dit soort aanvallen af te weren. Om in te spelen op deze uitdagingen moeten moderne organisaties tegenwoordig een e-mailbeveiligingsoplossing hebben die laagsgewijze beveiliging biedt. In dit document wordt nader ingegaan op de vereisten waar bedrijven rekening mee moeten houden bij de aanschaf van een e-mailbeveiligingsoplossing om zich te beschermen tegen spam en virussen, gecombineerde aanvallen en gegevensverlies, en hoe Cisco® e-mailbeveiligingsoplossingen hierbij kunnen helpen.
Vereiste 1: Analysemogelijkheid van big data en collectieve, wereldwijde beveiligingsinformatie De toename van de hoeveelheid big data die circuleren via web- en e-mailgateways trekt ook de aandacht van hackers. Om klanten te beschermen tegen de constant groeiende hoeveelheid bekende malware hebben leveranciers van traditionele endpointbeveiliging de cloudgebaseerde antivirusoplossing geïntroduceerd. Hiervoor worden hoofdzakelijk handtekeningen naar de cloud gestuurd om het hele klantenbestand te beschermen via collectieve immuniteit. Deze oplossing alleen beschermt echter niet tegen geavanceerde malware die is ontworpen om traditionele, op handtekeningen gebaseerde detectie te omzeilen. Allesomvattende bescherming kan alleen worden bereikt via continue analyse, waarbij het gedrag van een bestand in de gaten wordt gehouden nadat het in uw omgeving is toegelaten. Als het karakter van een bestand verandert, kunt u met constante controle de bedreiging detecteren, beperken en herstellen en de infectie herleiden tot de bron.
Aanschafcriteria voor e-mailbeveiliging Bij de beoordeling van e-mailbeveiligingsoplossingen moeten organisaties letten op de volgende criteria om te garanderen dat ze de diepgelaagde bescherming aanschaffen die nodig is om hun bedrijfsactiviteiten te beschermen tegen de bedreigingen waaraan inkomend en uitgaand e-mailverkeer tegenwoordig blootstaat. Een e-mailbeveiligingsoplossing moet de volgende eigenschappen hebben:
• • • • •
De Cisco-methode •
Ondersteuning van miljoenen bekende malwaregevallen en de collectieve immuniteit van de Cisco-klantencommunity
Bescherming tegen spam en virussen
•
Analyse door de Cisco Talos Security Intelligence and Research Group (Talos)
Bescherming tegen bedreigingen en herstel na aanval
•
Herkenning van malware aan de hand van wat deze doet, en niet van hoe deze eruitziet, waardoor detectie mogelijk is van zelfs de allernieuwste zero-day-aanvallen
•
Cisco Advanced Malware Protection (AMP) voor betere zichtbaarheid, controle en retrospectie
Analysemogelijkheid van big data en collectieve, wereldwijde beveiligingsinformatie
Preventie van gegevensverlies en encryptie Flexibele implementatiemogelijkheden
Volgens het Cisco-beveiligingsrapport 2015 staat e-mail staat bovenaan als het gaat om aanvalsvectoren voor cyberaanvallen.*
*Cisco-beveiligingsrapport 2015, Cisco, jan. 2015. © 2015 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden. Dit is een vertrouwelijk document van Cisco. Alleen bestemd voor gebruik door channelpartners. Niet voor openbare verspreiding. (1110R)
E-mailbeveiliging: Kopersgids
Vereiste 2: Bescherming tegen spam en virussen Spam is een complex probleem dat vraagt om een geavanceerde, meerlaagse oplossing. Volgens het Cisco-beveiligingsrapport 2015 zijn de nieuwste aanvalsmethoden zodanig ontworpen dat ze traditionele spamfilters voor e-mail omzeilen door het verzenden van “showshoe-spam.” Deze aanvalsmethode houdt in dat er kleine hoeveelheden spam worden verzonden vanaf veel servers en dat de berichtinhoud snel wordt gewijzigd om de detectie te omzeilen. Deze tactiek is een goed voorbeeld van de noodzaak van een meerlaags e-mailbeveiliging die is uitgerust met meerdere, met elkaar samenwerkende engines, niet alleen om het beschermingsniveau omhoog te brengen, maar ook om het aantal valse meldingen te verminderen
Vereiste 3: Bescherming tegen bedreigingen en herstel na aanval Zelfs met een gelaagde benadering voor e-mailbeveiliging zullen sommige geavanceerde aanvallen erin slagen door de eerste paar lagen heen te dringen. Continue analyse en retrospectieve beveiliging zijn nodig voor het herkennen van kwaadaardige bestanden die de eerste detectie weten te omzeilen en om beveiligingsmedewerkers te helpen bij het bepalen van de reikwijdte van de aanval, zodat ze deze snel kunnen beperken en herstellen.
doordat deze elkaar via wisselwerking in balans houden.
De Cisco-methode De Cisco-methode
•
Extra beveiligingslaag met Cisco AMP
•
Meerlaags antispam-engine
•
•
Combinatie van buiten- en binnenlaagfilters die rekening houdt met de reputatie van de afzender om te voorkomen dat spam in postvakken terechtkomt (zie Afbeelding 1)
Maakt gebruik van een combinatie van bestandsreputatie, bestandssandboxing en retrospectieve bestandsanalyse om bedreigingen in het hele aanvalsspectrum te vinden en tegen te houden (zie Afbeelding 3)
•
Cisco Context Adaptive Scanning Engine (CASE), die voor spam afvangpercentages biedt van meer dan 99 procent en de uitermate lage hoeveelheid valse meldingen van minder dan 1 op 1 miljoen
•
Geavanceerde uitbraakfilters die gebruikmaken van Cisco Threat Operations Center (TOC) en dreigingsinformatie van Cisco Talos voor het herkennen, in quarantaine plaatsen en veranderen van regels wanneer zij meer informatie krijgen over een uitbraak
•
Scannen van berichtcontext en van content voor meer nauwkeurige filtering
•
•
Uitgebreide virusafweer via een laagstructuur met Sophos- of McAfee antivirusprogramma's (zie Afbeelding 2)
Automatische of handmatige URL-herschrijving om geadresseerden om te leiden via een beveiligingsproxy of “ontmantelings”-URL's, of URL's te vervangen met een waarschuwing aan de gebruiker dat een deel van de e-mail is geblokkeerd
Afbeelding 1. Dieptestructuur van Cisco-antispambescherming
Afbeelding 2. Dieptestructuur van Cisco-antivirusbescherming Wat? Wie?
Hoeveelheid verdachte mail beperkt en Waar? spam gefilterd
Wanneer?
Antivirusprogramma's
Cisco antispam Hoe? Detectiepercentage >99% Valse meldingen <1 op 1 miljoen
Bekende slechte e-mail geblokkeerd voordat deze in het netwerk komt
Wat? Wie?
Cisco antispam
Cisco Talos Inkomende e-mail: goede, slechte en onbekende e-mail
Antispam-engines Wanneer?
Waar?
Hoe?
Aanvullende antivirusprogramma's
Aanbod aan scan-engines voor het risicoprofiel van elke klant
© 2015 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden. Dit is een vertrouwelijk document van Cisco. Alleen bestemd voor gebruik door channelpartners. Niet voor openbare verspreiding. (1110R)
E-mailbeveiliging: Kopersgids Vereiste 4: Preventie van gegevensverlies en encryptie Moderne e-mailbeveiligingsoplossingen die de mogelijkheid bieden om risico's van uitgaand e-mailverkeer te detecteren, blokkeren en beheren, kunnen helpen het risico te verkleinen dat kritieke gegevens het netwerk, ofwel per ongeluk ofwel vanwege het ontwerp, verlaten. Oplossingen met contentbewuste en beleidsgebaseerde mogelijkheden voor preventie van gegevensverlies (DLP) en encryptie kunnen die bescherming bieden. De mogelijkheid van antispam- en antivirusscans op uitgaand verkeer in combinatie met snelheidsbeperking van uitgaand verkeer helpt organisaties om gegevenslekken te voorkomen, te voldoen aan nalevingseisen en te voorkomen dat besmette machines of accounts terechtkomen op de zwarte lijsten van e-mailbeveiligingoplossingen.
Vereiste 5: Flexibele implementatieopties Er bestaan geen twee organisaties waarvan de netwerken en de infrastructuur hetzelfde ontwerp hebben. Om zowel tegemoet te komen aan beveiligings- als aan operationele behoeften moet uw leverancier voor e-mailbeveiliging u flexibele implementatieopties kunnen bieden waarmee u de beveiligingsoplossing kunt beheren op een manier die voor uw bedrijf het meest logisch is, ongeacht of dat op locatie, cloudgebaseerd of in een hybride model is.
Cisco e-mailbeveiligingsoplossing Cisco voorziet in een flexibele serie implementatieopties voor de Cisco Email Security Appliance (ESA) (zie Afbeelding 4). Cisco biedt deze opties met ondersteuning voor meerdere apparaten — inclusief desktops, mobiele telefoons, laptops en tablets — en voor Android, iOS, Mac, PC en Linux.
De Cisco-methode
Op locatie – Cisco ESA kan op locatie worden geïmplementeerd met een toepassing of een
•
Meer dan 100 vooraf gedefinieerde beleidsopties dankzij samenwerking met DLP-marktleider RSA voor beveiliging
worden gebruikt.
•
Intrekking van encryptiesleutels per bericht of per ontvanger door de afzender of de beheerder
•
Cisco Registered Envelope Service (CRES) — voor verificatie van gebruikersregistratie als een beheerde service met een hoge beschikbaarheid
geclusterde applicatiegroep, als hardware of in virtuele vorm. Indien nodig kunnen er meerdere clusters Cloud of hybride – Met deze implementatiemogelijkheden kunnen organisaties de volledige beveiliging van inkomend en uitgaand verkeer afhandelen in de cloud als ze de applicatie niet op locatie willen of liever hebben dat een derde partij deze beheert. Afbeelding 4. Implementatieopties van Cisco e-mailbeveiliging
Op locatie
Cloud
Afbeelding 3. Cisco-bescherming tegen zero-hour virussen en malware
Implementatieopties
Reputatie-update
Bestandsreputatie
Bekende bestandsreputatie
Bestandssandboxing
Onbekende bestanden worden geüpload voor sandboxing
Advanced Malware Protection
Cloudgebaseerde zero-hour malwaredetectie
Cisco Talos
Dynamische quarantaine
Toepassing
Virtueel
Hybride
Hybride
Cloud
Beheerd
Virusfilters
Virusuitbraakfilters in actie
Uitbraakfilters
Ondersteuning meerdere apparaten
Desktop
Mobiel
Telemetrische zero-hour virusen malwaredetectie
© 2015 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden. Dit is een vertrouwelijk document van Cisco. Alleen bestemd voor gebruik door channelpartners. Niet voor openbare verspreiding. (1110R)
Laptop
Tablet
E-mailbeveiliging: Kopersgids
Tabel 1. Cisco e-mailbeveiligingsproducten
Cisco ESA
Houdt gevoelige gegevens intern, met krachtige prestaties en eenvoudig beheer
Cisco Email Security Virtual Appliance (ESAv)
Biedt snellere implementatie, schaalbaarheid op verzoek en bereikt operationele efficiëntie door het gebruik van bestaande investeringen
Cisco webbeveiliging via de cloud
Biedt een flexibel implementatiemodel voor e-mailbeveiliging, altijd en overal waar dat nodig is
Cisco hybride e-mailbeveiliging
Biedt geavanceerde controle van berichten op locatie en maakt daarbij gebruik van het kosteneffectieve gemak van beveiliging in de cloud
Cisco beheerde e-mailbeveiliging
Biedt de prestaties en veiligheid van een ESA op locatie met het vertrouwen van Cisco TOC-beheer
Conclusie Voor het beschermen van gegevens, netwerken en gebruikers hebben moderne organisaties tegenwoordig een bedreigingsgericht e-mailbeveiligingsmodel nodig. Ze moeten in staat zijn alle aanvalsvectoren aan te pakken en op elk willekeurig punt non-stop te reageren op bedreigingen — vóór, tijdens en na een aanval. Robuuste e-mailbeveiligingsoplossingen, zoals die van Cisco, vormen een kernonderdeel van een moderne beveiligingsstrategie omdat ze gebaseerd zijn op real-time informatie, nauwkeurige toegangscontrole bieden, en inhouds-, context- en dreigingsbewust zijn. Met e-mailbeveiliging van Cisco kunnen organisaties inkomende en uitgaande gegevensstromen van de onderneming bewaken en reguleren. Geavanceerde bescherming tegen bedreigingen van Cisco begint met het werk van Talos. Met toonaangevende bedreigingsonderzoekers als teamleden is Talos is het primaire team dat dreigingsinformatie levert aan het Collective Security Intelligence (CSI)-ecosystem, dat bestaat uit de onderdelen Threat Response, Intelligence, and Development (TRIAD), Cisco Managed Threat Defense, en Security Intelligence Operations (SIO). Cisco CSI wordt gedeeld via meerdere beveiligingsoplossingen en biedt toonaangevende bescherming en effectiviteit. Cisco e-mailbeveiliging biedt:
•
Dreigingsgerichtheid – De oplossing biedt e-mailbeveiliging met een hoge beschikbaarheid tegen de constante stroom snel veranderende en steeds geavanceerdere bedreigingen waar alle moderne bedrijven mee te maken krijgen.
•
Hoge prestaties – Cisco ESA bevat een meerlaags beschermingsstructuur in één enkele applicatie; geschikt om snel nieuwe via e-mail verzonden bedreigingen en spam te blokkeren, en houdt gevoelige uitgaande e-mailberichten tegen of versleutelt deze.
•
Permanente innovatie – Cisco e-mailbeveiliging biedt de meest uitgebreide implementatieopties in de branche. De oplossing vermindert de kosten met minder apparaten, snellere integratie en vereenvoudigde training.
Voor meer informatie over het Cisco-portfolio voor e-mailbeveiliging gaat u naar www.cisco.com/go/ emailsecurity. Een vertegenwoordiger, channelpartner of systeemengineer van Cisco kan u helpen om te beoordelen hoe de e-mailbeveiligingsoplossingen van Cisco het best aansluiten bij de unieke behoeften van uw organisatie.
© 2015 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden. Dit is een vertrouwelijk document van Cisco. Alleen bestemd voor gebruik door channelpartners. Niet voor openbare verspreiding. (1110R)
