Web ed Email security: proteggere i canali di comunicazione

Agenda:

• perché proteggere la navigazione web e la

mail : gli asset da proteggere ed i rischi che si corrono

• come si protegge un canale di comunicazione: processi, tecnologie ed interazioni

Dove sono i dati aziendali\personali\sensibili?

Internal Servers:• Mail Server• Database Server• File Server• …..

Desktop Computer:• File System• PST File• …

Online Services:• CRM (ex: salesforce)• Web Server• Motori di ricerca• Online Banking• ….

ALTRO• Archivi Cartacei• …

Quali sono i canali di trasmissione delle informazioni aziendali?

Informazioni

Posta Elettronica

Web

Telefono

Carta\Fax

Comunicazione personale diretta

Altro ….

La proprietà intellettuale dove sta?

• Documenti• Contatti• Progetti• Appuntamenti• ……

e-Mail70%

DB12%

Cartaceo10%

Altro8%

Intellectual Property

Dove cerco le informazioni?

1) Scambio di E-mail

2) WebMotori di ricercaSiti di informazioniBlogWeb Aziendali…

Mail e Web Browsing

Sono due asset aziendali fondamentali perché:• Sono i principali veicoli di trasmissione delle

informazioni• Sono i principali veicoli di reperimento delle

informazioni

E le informazioni sono vitali per le aziende, qualsiasi cosa facciano!

Da cosa proteggersi?Spam

Phishing

DdosVirus

Malware

Directory Harvest

Furto Dati Sensibili

Uso Improprio delle risorse

Bounce Attack

Source: 106,000 Bots on 3,200 Networks in 119 Countries

Rank Network Owner CountryCount%1 Telefonica de Espana Spain 6.7%2 France Telecom France 4.3%3 Proxad France 3.4%4 Telecom Italia Italy 2.6%5 Deutsche Telekom AG Germany 2.2%6 Cableuropa - ONO Spain 2.2%7 Telemar Norte Leste S.A. Brazil 1.8%8 Wanadoo France France 1.7%9 Telefonica de Espana SAU Spain 1.7%

10 TELECOMUNICACOES DE SAO PAULO S.A.Brazil 1.7%

Rank Network Owner CountryCount%1 Telefonica de Espana Spain 6.7%2 France Telecom France 4.3%3 Proxad France 3.4%4 Telecom Italia Italy 2.6%5 Deutsche Telekom AG Germany 2.2%6 Cableuropa - ONO Spain 2.2%7 Telemar Norte Leste S.A. Brazil 1.8%8 Wanadoo France France 1.7%9 Telefonica de Espana SAU Spain 1.7%

10 TELECOMUNICACOES DE SAO PAULO S.A.Brazil 1.7%

Zombie Population by Country

Zombie Populationby Network

Top 10: 28% of spamTop 25: 50% of spam

Non bastano Firewalls, IPS, Anti-Virus e URL Filtering?!

• Firewalls don’t stop port 25, 80 or user requests for protocol-compliant HTTP(S) 443

• IPS does not stop social engineering

• New vulnerabilities continually

• Anti-virus is shockingly ineffective due to mutating viruses– 390 LdPinch security signatures since original in 2003

– More than 30,000 Bagel variants

• URL filtering can’t categorize an infinite number of sources

• URL filtering can’t protect from legitimate sites being hacked

• End-users roam

• End-users choose to install, override security

• Once infected, malware hides

Come Proteggersi le basi• Considerare il problema nel suo insieme

– Non concentrarsi su un solo aspetto– …

• No silver bullet, ma tecnologie che collaborano tra loro analizzando i diversi aspetti del problema

– Suddividere il problema in layer ed affrontare ogni layer con una tecnologia adatta– …

• Monitorare non solo il contenuto e chi riceve, ma anche chi invia– Puoi fidarti del postino?– …

• Sopravvivere al carico di lavoro necessario a securizzare i canali– Basso impatto amministrativo– Scalabilità– Omogeneità architetturale– Aggiornamento della soluzione semplice– ….

Proteggere un canale di comunicazione• Analizzare il tipo di dati trasportato

– Chi è il mittente\i?– Chi è il destinatario\i?– Come è fatto il messaggio\contenuto?– Ci sono dati\contenuti sensibili\privati?– Ci sono dati\contenuti impropri?– …..

• Analizzare il tipo di protocollo utilizzato– È stateless o stateful?– In chiaro o criptato?– Autenticato o non autenticato?– Reliable o unreliable?– ……

• Analizzare i rischi connessi– Mi possono rubare\leggere\modificare i dati?– Possono utilizzare il canale di comunicazione in maniera impropria?– Posso ricevere contenuti\dati pericolosi?– Posso violare\ Devo rispettare qualche legislazione\regolamento– ….

Web ed E-mail: mondi diversi ma con gli stessi problemi….

1. Hanno specificità legate al tipo di trasmissione, protocollo etc etc….2. Condividono diversi aspetti:

• HTML come formato comune• Spesso l’accesso alla mail passa da interfacce web (Outlook Web Access,

Google Mail, Yahoo Mail, Libero…..)• Molti attacchi utilizzano entrambi i canali: Botnet, Zombie, Rootkit usano il

web come strumento di infezione e la mail (spam phishing) come effetto• ….

3. Richiedono un notevole effort amminstrativo in termini di sicurezza e compliance alle regole aziendali

4. ….

Il problema del Web

Cose da considerare per ottenere un accettabile livello di protezione

• Considerare il flusso dati “ utente Web ” come una relazione uno a molti

• Considerare che una “pagina” e’ composta da un numero arbitrario di link e riferimenti, alcuni anche potenzialmente non leciti, non considerare un URL di un sito come una entita’ monolitica ma come un inizio di una serie di transazioni

• Considerare che esistono sia download che transazioni sia server-side che client-side

• Considerare che HTTPS vuol dire “criptato” e non “sicuro”• Dare una accettabile livello di servizio in termini di performance• …

Cosa fare:• Security:

1. Verificare le sorgenti2. Verificare le transazioni3. Verificare i contenuti scaricati4. Imporre la security anche su canali HTTPS5. Mantenere una User Experience Ottimale

• Compliancy:1. Monitorare Download-Upload oggetti2. Verificare se la navigazione è aziendalmente “accettabile”3. Imporre il controllo, ove richiesto, anche sui canali HTTPS

• Amministrazione:1. Policy granulari2. Monitoring, reporting ed auditing3. Rispetto normativa sulla privacy4. Basso effort amministrativo

Il problema della Mail

Cose da considerare per ottenere un accettabile livello di protezione

• Il protocollo SMTP è in chiaro• Il protocollo SMTP Non garantisce la consegna• Il protocollo SMTP demanda ai layer successivi i

retry in caso di errore• Per mandare una mail basta un fare un “Telnet”

sulla porta 25 di qualsiasi mail server• …

Cosa fare:• Security:

1. Proxare (MTA) il traffico per non esporre direttamente i mail server2. Verificare le sorgenti3. Verificare i contenuti scaricati per Unsolicited Bulk Email (Spam, phishing …)4. Verificare la presenza di virus e\o malware5. Mantenere una User Experience Ottimale (bassi falsi positivi)

• Compliancy:1. Monitorare contenuti ricevuti o inviati2. Forzare la remediation in caso di non rispetto delle regole (DLP)3. Mantenere una User Experience Ottimale

• Amministrazione:1. Policy granulari2. Monitoring, reporting ed auditing3. Rispetto normativa sulla privacy4. Basso effort amministrativo

EMAILSecurity Gateway

Cisco IronPort ApproachApplication-Specific Security Gateways

MANAGEMENT Controller

Internet

WEBSecurity Gateway

SenderBase(The Common Security Database)

APPLICATION-SPECIFIC SECURITY GATEWAYS

LAN/WAN

BLOCK Incoming Threats: Spam, Phishing/Fraud Viruses, Trojans, Worms Spyware, Adware Unauthorized Access

ENFORCE Policy: Acceptable Use Regulatory Compliance Intellectual Property Encryption

CENTRALIZE Admin: Per-user policy Per-user reporting Quarantine Archiving

Cisco IronPort Security AppliancesIntegrated Security Appliances For The Network Perimeter

IronPort S-SeriesäWEB SECURITY APPLIANCE

IronPort C-Series EMAIL SECURITY APPLIANCE

IronPort M-SeriesäSECURITY MANAGEMENT APPLIANCE

• Integrated DLP Scanning and Remediation For Email• Encryption Without any Additional Hardware Required• Industry-leading Anti-Spam and Anti-Virus Scanning

• Acceptable Use Policy (AUP) Management• Industry-leading Malware and Spyware Filtering• Layer 4 Traffic Monitor Inspects all Traffic

• Centralized Reporting• Centralized Tracking• Centralized Policy Management• Centralized Archiving

Dove trovare informazioni

• www.ironport.com (sito istituzionale)• www.senderbase.org (Senderbase sul web)• www.ironport.com/toc (Virus Outbreack Filter)• www.ironportnation.com (Forum tecnico ufficiale

IronPort)• http://www.ironport.com/support/ (supporto e

documentazione)• http://Portadiferro.blogspot.com (Il mio blog tecnico)• http://portadiferro2.blogspot.com (Il mio blog news)