martes, 8 de marzo de 2011

Nos subimos a la nube.....(Parte III)

En esta tercera entrega trataremos el problema del correo electrónico como transmisor de código malicioso y correo basura, por otro lado como BRS nos permite resolver este problema.

Problemática
Hoy observamos a nivel usuario y en las compañías, las siguientes dificultades:

1) Los usuarios desconocen las acciones maliciosas del malware: sobre todo cuando la misma viene de un correo electrónico de un conocido, por lo cual, confiando en el emisor, el malware puede infectar el ordenador y haciendo una nueva víctima.
2) Hay cada vez más víctimas de Phising: sigue siendo, hoy en día, la técnica más eficiente para robar datos a un usuario, dado el desconocimiento sobre el manejo de su entidad bancaria. El robo de identidad crece día a día.


Ejemplo de un mail con un caso de Phising (elija la imágen para ver en mas detalle)

3) Los usuarios abren correos con adjuntos, dejándose llevar por el asunto del correo electrónico: la ingenuidad y el desconocimiento hacen que los malware se aprovechen de los usuarios.
4) Los e-mail sirven de transporte para código maliciosos: siendo un medio eficaz, ya que de alguna manera llegan a un usuario, sea por un correo corporativo o correo personal, los códigos maliciosos llegan al puesto de trabajo del usuario y tratan de vulnerar el mismo.
5) El SPAM consume hasta un 20 % del horario laborar de un empleado para borrar e-mails basura: si los usuarios siguen comprando por la recepción de correo basura, los mismos seguirán llegando. El usuario al comenzar el día, pierde hasta media hora borrando aquellos correos que son spam.
6) Las compañías no protegen sus red a nivel de Gateway: la protección y la lucha contra el "virus" y el "gusano" sigue siendo a nivel de puesto de trabajo, y no se implementan soluciones a nivel de acceso a Internet, con lo cual reducirían mucho los intentos de ataque y por otro lado reducirían los tiempos administrativos sobre la plataforma.
Les sugiero ver un vídeo muy útil, que puede ser usado para concientizar a los usuarios finales o de la empresa, sobre el código malicioso a través del correo. Ver el vídeo aquí. (los videos están también en español).

Business Ready Security
Teniendo en cuenta la problemática de la seguridad Microsoft ha estado trabajando, para lograr la estrategia de Business Ready Security , en tres principios fundamentales.

1) Integrar y extender la seguridad en toda la empresa.
2) Ayudar a proteger a todas partes, el acceso en cualquier lugar.
3) Simplificar la experiencia de la seguridad, gestionar el cumplimiento.


Aplicando estos principios en la problemática del correo electrónico utilizando FOREFRONT PROTECTION 2010 FOR EXCHANGE SERVER, tendremos:

1) Integrar y extender la seguridad en toda la empresa.

a)Detección de malware con la utilización de múltiples motores de detección.Ejecución de hasta 5 motores de detección en diferentes combinaciones (Edge, Hub y Mailbox Srv). Dependiendo los escenarios, Usted puede escoger hasta cinco motores de detección de compañías líderes en seguridad del mercado. Esta técnica es una de las más eficiente en cuanto a soluciones de detección, ya que la solución posee un nivel alto de detección, dado que algún motor detectará el malware.

b)Solución avanzada de antispam incluyendo bloqueos de reputación IP, muy utilizado para evitar la conexión del spammer al servidor de correo electrónico. La validación ocurre en el handshake de tres vías - three way handshake - (pedido de conexión del cliente de correo al server de mail por el uso del puerto 25), donde el servidor de Forefront verificará si la dirección IP no corresponde a un spammer o si posee bien los registros DNS. En el caso de que esto ocurra, le negará al emisor la conexión al puerto 25, por lo tanto el spam nunca llega al servidor.

c)Bloqueo de adjuntos peligrosos. (exe, mp3, vbs, bat, com, etc).

d)Permite evitar la fuga de información, mediante filtros, es posible definir que tipo de adjuntos o contenidos pueden ser enviados por correo electrónico.

e)Elimina el único punto de falla en la detección, gracias a los motores simultáneos de la plataforma.

2) Ayudar a proteger a todas partes, el acceso en cualquier lugar.

a)Maximiza la detección sin comprometer la perfomance. El Administrador puede balancear seguridad con perfomance. Se recomienda utilizar guías preparadas por Microsoft como

- Capacity Planning Tool: Esta guía lo orientará en la adecuada planificación para el despligue y asignación de recursos acordes a las necesidades de la compañía. Es importante comprender los requerimientos de la solución en base a la infraestructura.

- Guía de Despligue: La guía lo ayudará a configurar adecuadamente la solución en base a su plataforma, muy recomendado.

b) Escaneo optimizado de los motores de antivirus. Escaneo a nivel de transporte y uso de tecnología VSAPI.

c) Uso de FOPE (Forefront OnLine Protection for Exchange), que permite definir estrategia con plataforma de seguridad en la nube. Esto nos permite configurar un escaneo en la nube del correo antes de llegar a nuestros servidores corporativos. Si a esto le sumamos Office 365, los buzones migrados a la nube, tendrán la protección necesaria y requerida por la compañía.

3) Simplificar la experiencia de la seguridad, gestionar el cumplimiento.

Por último, tendremos:

a)Una Consola con información estadísticas y niveles de detección, que nos permite comprender el estado actual de seguridad de la plataforma de correo electrónico.



b)Contar con actualizaciones eficientes de los motores o engines.

c)Herramientas para verificar el nivel de salud de la plataforma. Usted puede bajar desde la Web las Best Practices para Forefront Protection 2010 for Ms Exchange, y podrá verificar el correcto funcionamiento de la plataforma. Por otro lado el reporte le indicará si hay ajustes de configuración que deben ser optimizados.

Buenas Prácticas.

Les recomendamos seguir estos lineamientos para lograr una implementación saludable de FPE.

  1. Ejecute las BPA para FPE. Recuerde que debe bajarlo de la Web, no viene incluído con la solución.
  2. En base al equipamiento, defina los motores y análisis a realizar. Se recomienda utilizar el Perfomance Monitor para ver el comportamiento de los motores sobre ciertos análisis. Podrá encontrar recomendaciones en las guías de FPE.
  3. Siga las recomendaciones de las Best Practices de Microsoft en cuanto a la implementación. Las guías de despliegue son aplicables a escenarios actuales o en donde se instalará FPE por primera vez.
  4. Sea claro en las reglas. Definición de wildcards, recuerde que los filtros actúan en base a lo que Usted configura.
  5. Defina el alcance del seguimiento de la información. Se recomienda en un proyecto de fuga de información, que la información sea clasificada a primera instancia y luego realice los ajustes en el FPE.
  6. Verifique el correcto funcionamiento de los engines o motores.
  7. Analice el impacto antes de realizar cambios.

Por donde Usted puede empezar

Si desea encarar un proyecto de FPE, puede aprender y conocer más sobre la solución de la siguiente manera:

  1. Participar de una demostración de Forefront Protection 2010 for Ms Exchange, los invito a participar del Webcast, para ello regístrese aquí.
  2. Accediendo a la carrera en la academia virtual de Microsoft, MVA, donde podrá cursar y adquirir los conocimientos sobre la plataforma Forefront. Para ello visite este sitio.
  3. Bajando el escenario de BRS y probando la solución ya implementada, con guías de pruebas para verificar su funcionamiento. El escenario completo esta publicado aquí.

Hasta la próxima.

1 comentario:

Jorge Jiménez dijo...

Hola, Muy interesante este articulo, Saludos !
http://seguridad-it.blogspot.com/