Сергей Симаков Security Architect, CISSP, CISM Global Security Center of Excellence IS 303

Провайдер Облака представляет инфраструктуру; клиенты развертывают ОС и приложения Провайдер Облака предоставляет инфраструктуру и ОС; клиенты создают и работают с приложениями Приложения работают в Облаке

Злоумышленники стали использовать более изощрённые методы Увеличение целенаправленных атак Создание сетей/botnet нацеленных на кокретные группы пользователей, корпорации и правительства Операционные системы более безопасны Больше атак на уровне приложений Пользователи стали слабым звеном (социальная инженерия)

Физический Сетевой Хост Приложение Данные Физический Сетевой Хост Приложение Данные Локально Платформа как Сервис Компания Провайдер

Облачные сервисы Актуальные угрозы Обзор практического применения сервиса безопасности в облаке Что такое Forefront Online Protection for Exchange (FOPE) Защита входящих сообщений Исходящая фильтрация Гибридные сценарии

что это… почему… Приложения и платформа, которые всегда доступы, масштабируемы по необходимости и могут быть быстро развернуты Ускоряют решение задач и снижают стоимость ИТ

Новый динамичный бизнес! Продажи Совместаная работа Разработка Маркетинг

Контроль: соответствие требованиям Опасения утечки конфиденциальной информации Необходимость ограничить несоответствующее политикам ИБ содержимое Угрозы: устойчивый рост атак Спам состовляет большую часть электронной почты Вирусы и фишинг атаки через нацелены на пользователей Бизнесу нужен постоянный доступ к почте Механизмы безопасности иногда усложняют работу Доступ: возрастающая мобильность

В 2010 г. всего 1 из 47,6 входящих сообщений попало в ящики входящей почты получателей. Остальные были заблокированы на периметре. Около 95,4 % всех входящих сообщений блокируются на периметре

Много рекламы фармсредств и продуктов В начале 2010 был всплеск спама на основе изображений Распространение некоторых категорий спама носит характер компаний, приуроченных к каким- то событиям Microsoft Security Intelligence Report v9

Предотвращение атак в реальном времени Многоуровневая защита от спама и вирусов Применение настраиваемых политик Шифрование сообщений электронной почты Отсутствие необходимости управления ключами Шифрование на шлюзе на основе заданных политик Сохранение сообщений компании (governance/e-discovery) Создание отчётов для соответствия требованиям Полностью индексируемый архив компании

Сервис FOPE был частью Exchange Hosted Services (EHS) Лицензия Microsoft® Forefront Protection Suite/ECAL/Exchange ECAL с Сервисами Обеспечивает защиту Microsoft® Business Productivity Online Suite (BPOS), Exchange Online и будущего Office 365 Всё ещё доступен как отдельный сервис Также защищает и сам Microsoft

Блокирование на периметре Консоль управления Карантин пользователя Корпоративная сеть Администратор почтовой системы Сотрудники Входящие отфильтрованные сообщения Исходящие отфильтрованные сообщения Также использует технологии… Внешние Отправители/ Получатели Почтовый сервер Спам-фильтр Антивирус Политики Отказоустойчивость * Шифрование Active Directory Почтовое сообщение Спам Uptime: % 100% вирусов 98% спама 1: доставка меньше минуты FOPE Directory Synchronization Tool

Singapore Texas Virginia Washington California Dublin mail.messaging.microsoft.commail.messaging.microsoft.com Глобальные резервируемые ЦОД с распределением нагрузки, клиенты не затронуты в случае выхода ЦОД из строя Сохранение производительности с ростом пользователей, может выдерживать рост трафика и атаки Оптимизация за счёт доставки только «чистых» сообщений Amsterda m

Доставка (Среднее время в SLA меньше 1 минуты) Доступность сети FOPE предоставляет набор финансово-подтвержденных SLA по производительности сети и эффективности защиты от вирусов/спама 100% Известных вирусов 98% Спама 1:250,000 Ошибочных результатов Производительность сети Эффективность защиты от вирусов/спама

Блоки контроля за всеми стадиями обработки сообщения: Защищенное взаимодействие Защищенный канал B2B Возможность настроить обязательный исходящий TLS к партнеру Выбор в пользу TLS при получении сообщений Четкое разделение правил на периметре и политик контроля содержимого Поддержка внедрения в гибридном сценарии Сосуществование почтовых ящиков локально и у провайдера Локальное решения обеспечения контроля продолжает работать

SPAM prevention Защита от спама Доверенные отправители Spam Prevention Если сервер недоступен, почта остается в очереди на 5 дней попадает в глобальную сеть ЦОД – MX (mail.messaging.microsoft.com) Служба каталога Блокирование по IP Настройки фильтрации сообщений для домена ФильтрациявирусовФильтрациявирусов Антивирус1Антивирус1 Антивирус2Антивирус2 Антивирус3 Применение политик Собственные политики Управление вложениями и атрибутами сообщения Управление спам-фильтрами Весовые коэффициенты Определение «отпечатков» Карантин применения политик Карантин спама SPAM Очередь Сеть компании Аналитики Обратная связь False +ve / -ve Обратная связь False +ve / -ve Анализ структуры SMTP Reject: 55x Доступен ли сервер?

ФильтрацияОписаниеЭффективность Блокирование на периметре по IP с DNSBL от SpamHaus Общий «Золотой стандарт» для репутационного сервиса 80% Блокирование на периметре по IP с Forefront DNSBL IP адреса добавляются: Через автоматические средства Идентифицирующие повторяющийся спам (30 минут) Выделением наборов IP адресов Вручную аналитиками при анализе спама 95% Фильтрация изображений С использованием технологии SmartScreen99.5% Цифровые отпечатки Используя SmartScreen и FOPE-MSRT База FOPE-MSRT постоянно обновляется аналитиками Правила RegEx, подготовленные аналитиками Весовая система основанная на активных правил в базе с суммарно правил Вычитается за «хорошие» характеристики Добавляется за характеристики спама

«Отсутствие» ошибочных результатов является основной идеологии FOPE Кнопка «Not Junk» в портале карантина Уровень настолько низок, что многие перестают открывать карантин Инструменты для компаний Настройки исключения блоков IP адресов Поддержка списоков доверенных отправителей (SafeSender) из Exchange/Outlook компании

Настройки фильтрации сообщений для домена Фильтраци я вирусов Антивирус1 Антивирус2 Антивирус3 Применени е политик Собственные политики Управление вложениями и атрибутами сообщения Защита от спама Управление спам-фильтрами Весовые коэффициенты Цифровые отпечатки Сеть компании Аналитики Пул NDR Высокий вес Пул исходящих Низкий вес SEWRSEWR Доверенные отправители

Backscatter Backscatter NDR спам с подделанным адресом отправителя Bounce Address Tag Validation(BATV) Bounce Address Tag Validation(BATV) технология по защите от NDR спама prvs=F ключ (время жизни, Пример:

2.FOPE добавляет хешированную метку к P1.MailFrom 3. Получатель не может доставить сообщение и возвращает его обратно INTERNET 1. Внутренний пользователь отправляет сообщение на корпоративный сервер 5.Если метка существует, то NDR будет доставлен пользователю 4.FOPE просматривает метку Внутренний пользователь FOPE Сервер получателя

2.Получатель не может доставить и должен послать NDR 3.FOPE ищет хешированную метку INTERNET 1.Спамер генерирует сообщение с фальшивым адресом в MAIL FROM и посылает его на сервер. 4.Если метки нет, то сообщение признается backscatter spam FOPE Сервер получателя Спамер Внутренний пользователь

Защита транспорта – TLS Входящий трафик Исходящий трафик Возможность задать обязательное шифрование TLS для взаимодействия с партнером Защита сообщений – шифрование IBE Отсутствие дополнительных затрат на ПО или оборудование Отсутствие необходимости сложного обмена ключами Проверенные ЦОД ISO 27001:2005 Аттестация SAS Level I и Level II

МЭ Mailbox Server Hub Transport Server Client Access Server SMTP Интернет + Компания Защита от вирусов Защита от спамаУправление Forefront Online Protection for Exchange Технологии Forefront BATV – Bounce Address Tag Validation DLP – Data/Information Leakage Protection Внешний спам, исходящий спам Web-интерфейс Поиск сообщений Средства «обратной связи» Отчёты Forefront Protection for Exchange Server Встроенная защита antispyware BATV - Bounce Address Tag Validation Встроенная интеграция с сервисом CloudMark Интеграция с консолью FPE

МЭ Mailbox Server SMTP Интернет Exchange Edge Шлюз FOPE Exchange Hub Почта Политики анти-спама Полные политики

МЭ SMTP почта Запись MX Mail Компания Создание учётной записи

Комплексный Активная защита от вирусов и спама Несколько уровней защиты Защита от новых атак Высокая доступность сервиса (DR, continuity) Интегрированный Интеграция с Microsoft® Exchange, Microsoft® Forefront Protection for Exchange Server Единый интерфейс управления Гибкие настраевыемые политики Управление идентификационными данными Упрощенный Мониторинг и масштабирование индустриального уровня Соглашения об уровне сервиса Безопасные ЦОД Высококлассная эксплуатация Легкое развертывание Низкое TCO Служба поддержки

Облачные сервисы уже доступны Сервис FOPE снижает совокупную стоимость владения системы и упрощает защиту электронной почты Облачные сервисы Microsoft помогают компании работать эффективно

Дополнительные сессии по теме DC 204 DC 204: Оптимизация управления частным динамическим ЦОД (14:30-15:30, Синий Конгресс-зал) CT 304 CT 304: Миграция на Exchange Server 2010: сценарии, рекомендации, практический опыт (16:00-17:00, Зона интерактивных сессий) Блоги

Более 300 официальных курсов Microsoft доступно в России. Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft под руководством опытного сертифицированного инструктора Microsoft интенсивное обучение с акцентом на практику более 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы) Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя. Microsoft предлагает гибкую систему сертификаций. Все курсы, учебные центры и центры тестирования: % Доказательство 75 сертифицированных специалистов считают, что сертификация помогла им получить работу или повышение 57 % Доказательство 119 рекрутеров считают сертификацию сотрудников одним из критериев для повышения в должности

Сертификационный пакет со вторым шансом Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком. Сэкономьте 15% на сертификации вашей ИТ-команды Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками. Microsoft Certified Career Conference Первая 24-часовая глобальная виртуальная конференция с 18 ноября с (моск. время) по 19 ноября 2010 г. Сессии по технологиям и построению карьеры Скидка 50% для сертифицированных специалистов Microsoft и студентов Бесплатная подписка на TechNet для слушателей официальных курсов Некоторые курсы по SharePoint, Windows 7; Windows Server 2008; SQL Server 2008 Детали: С 22 ноября 2010 г. – подписка TechNet бесплатно для слушателей курсов. Количество ограничено!

Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала Спасибо!

IS 303 Симаков Сергей Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада