Nos subimos a la nube… (Parte III)

En esta tercera entrega trataremos el problema del correo electrónico como transmisor de código malicioso y correo basura, por otro lado como BRS nos permite resolver este problema.

Problemática
Hoy observamos a nivel usuario y en las compañías, las siguientes dificultades:

  1. Los usuarios desconocen las acciones maliciosas del malware: sobre todo cuando la misma viene de un correo electrónico de un conocido, por lo cual, confiando en el emisor, el malware puede infectar el ordenador y haciendo una nueva víctima.
  2. Hay cada vez más víctimas de Phising: sigue siendo, hoy en día, la técnica más eficiente para robar datos a un usuario, dado el desconocimiento sobre el manejo de su entidad bancaria. El robo de identidad crece día a día.
  3. Los usuarios abren correos con adjuntos, dejándose llevar por el asunto del correo electrónico: la ingenuidad y el desconocimiento hacen que los malware se aprovechen de los usuarios.
  4. Los e-mail sirven de transporte para código maliciosos: siendo un medio eficaz, ya que de alguna manera llegan a un usuario, sea por un correo corporativo o correo personal, los códigos maliciosos llegan al puesto de trabajo del usuario y tratan de vulnerar el mismo.
  5. El SPAM consume hasta un 20 % del horario laborar de un empleado para borrar e-mails basura: si los usuarios siguen comprando por la recepción de correo basura, los mismos seguirán llegando. El usuario al comenzar el día, pierde hasta media hora borrando aquellos correos que son spam.
  6. Las compañías no protegen sus red a nivel de Gateway: la protección y la lucha contra el “virus” y el “gusano” sigue siendo a nivel de puesto de trabajo, y no se implementan soluciones a nivel de acceso a Internet, con lo cual reducirían mucho los intentos de ataque y por otro lado reducirían los tiempos administrativos sobre la plataforma.
    Les sugiero ver un vídeo muy útil, que puede ser usado para concientizar a los usuarios finales o de la empresa, sobre el código malicioso a través del correo. Ver el vídeo aquí. (los videos están también en español)

Business Ready Security
Teniendo en cuenta la problemática de la seguridad Microsoft ha estado trabajando, para lograr la estrategia de Business Ready Security , en tres principios fundamentales.

  1. Integrar y extender la seguridad en toda la empresa.
  2. Ayudar a proteger a todas partes, el acceso en cualquier lugar.
  3. Simplificar la experiencia de la seguridad, gestionar el cumplimiento.

Aplicando estos principios en la problemática del correo electrónico utilizando FOREFRONT PROTECTION 2010 FOR EXCHANGE SERVER, tendremos:

1) Integrar y extender la seguridad en toda la empresa.

  • Detección de malware con la utilización de múltiples motores de detección.Ejecución de hasta 5 motores de detección en diferentes combinaciones (Edge, Hub y Mailbox Srv). Dependiendo los escenarios, Usted puede escoger hasta cinco motores de detección de compañías líderes en seguridad del mercado. Esta técnica es una de las más eficiente en cuanto a soluciones de detección, ya que la solución posee un nivel alto de detección, dado que algún motor detectará el malware.
  • Solución avanzada de antispam incluyendo bloqueos de reputación IP, muy utilizado para evitar la conexión del spammer al servidor de correo electrónico. La validación ocurre en el handshake de tres vías – three way handshake – (pedido de conexión del cliente de correo al server de mail por el uso del puerto 25), donde el servidor de Forefront verificará si la dirección IP no corresponde a un spammer o si posee bien los registros DNS. En el caso de que esto ocurra, le negará al emisor la conexión al puerto 25, por lo tanto el spam nunca llega al servidor.
  • Bloqueo de adjuntos peligrosos. (exe, mp3, vbs, bat, com, etc).
  • Permite evitar la fuga de información, mediante filtros, es posible definir que tipo de adjuntos o contenidos pueden ser enviados por correo electrónico.
  • Elimina el único punto de falla en la detección, gracias a los motores simultáneos de la plataforma.

2) Ayudar a proteger a todas partes, el acceso en cualquier lugar.

  • Maximiza la detección sin comprometer la perfomance. El Administrador puede balancear seguridad con perfomance. Se recomienda utilizar guías preparadas por Microsoft como:

Capacity Planning Tool: Esta guía lo orientará en la adecuada planificación para el despligue y asignación de recursos acordes a las necesidades de la compañía. Es importante comprender los requerimientos de la solución en base a la infraestructura.

Guía de Despliegue: La guía lo ayudará a configurar adecuadamente la solución en base a su plataforma, muy recomendado.

  • Escaneo optimizado de los motores de antivirus. Escaneo a nivel de transporte y uso de tecnología VSAPI.
  • Uso de FOPE (Forefront OnLine Protection for Exchange), que permite definir estrategia con plataforma de seguridad en la nube. Esto nos permite configurar un escaneo en la nube del correo antes de llegar a nuestros servidores corporativos. Si a esto le sumamos Office 365, los buzones migrados a la nube, tendrán la protección necesaria y requerida por la compañía.

3) Simplificar la experiencia de la seguridad, gestionar el cumplimiento.

Por último, tendremos:

  • Una Consola con información estadísticas y niveles de detección, que nos permite comprender el estado actual de seguridad de la plataforma de correo electrónico.
  • Contar con actualizaciones eficientes de los motores o engines.
  • Herramientas para verificar el nivel de salud de la plataforma. Usted puede bajar desde la Web las Best Practices para Forefront Protection 2010 for Ms Exchange, y podrá verificar el correcto funcionamiento de la plataforma. Por otro lado el reporte le indicará si hay ajustes de configuración que deben ser optimizados.

Buenas Prácticas.

Les recomendamos seguir estos lineamientos para lograr una implementación saludable de FPE.

  • Ejecute las BPA para FPE. Recuerde que debe bajarlo de la Web, no viene incluído con la solución.
  • En base al equipamiento, defina los motores y análisis a realizar. Se recomienda utilizar el Perfomance Monitor para ver el comportamiento de los motores sobre ciertos análisis. Podrá encontrar recomendaciones en las guías de FPE.
  • Siga las recomendaciones de las Best Practices de Microsoft en cuanto a la implementación. Las guías de despliegue son aplicables a escenarios actuales o en donde se instalará FPE por primera vez.
  • Sea claro en las reglas. Definición de wildcards, recuerde que los filtros actúan en base a lo que Usted configura.
  • Defina el alcance del seguimiento de la información. Se recomienda en un proyecto de fuga de información, que la información sea clasificada a primera instancia y luego realice los ajustes en el FPE.
  • Verifique el correcto funcionamiento de los engines o motores.
  • Analice el impacto antes de realizar cambios.

Por donde Usted puede empezar

Si desea encarar un proyecto de FPE, puede aprender y conocer más sobre la solución de la siguiente manera:

  • Participar de una demostración de Forefront Protection 2010 for Ms Exchange, los invito a participar del Webcast, para ello regístrese aquí.
  • Accediendo a la carrera en la academia virtual de Microsoft, MVA, donde podrá cursar y adquirir los conocimientos sobre la plataforma Forefront. Para ello visite este sitio.
    Bajando el escenario de BRS y probando la solución ya implementada, con guías de pruebas para verificar su funcionamiento. El escenario completo esta publicado aquí.

Hasta la próxima.

Acerca de Quique

Posee en sociedad una consultora que brinda soporte y consultoría en Seguridad Informática, Consultoría en ISO 27001:2005 y Soporte/Proyectos en plataforma Microsoft. Ha realizado implementaciones de productos Microsoft en empresas pequeñas, medianas y grandes (más de 1000 Pc). Ha participado en proyectos de gran envergadura de productos Ms Exchange 2003/2007/2010, ISA Server y Forefront TMG 2010, Terminal Server y migraciones de MS Windows 2003/2008/2008R2, Ms Exchange 2003, 2007 y 2010, System Center Operation Manager y Sharpoint. Disertante de Webcast de Technet Microsoft. Brinda asesoramiento sobre seguridad y normalización en estándares COBIT, SOX,PCI, ISO 17799:2005, ISO 20000 y 27001:2005 e ITIL. Consultado como Perito Informático en juicios laborales. Caso de éxito de migración de plataforma Linux a Microsoft en servidores de correo, validación de usuarios y servidor de archivos. - Miembro de Criptored, INETA, Internet Security e ISACA. - Disertante en eventos de Microsoft Technet. - MVP Windows Security año 2006, 2007 y 2008. - MVP Enterprise Security 2009, 2010, 2011, 2012 y 2013 - Certificó como Auditor Lider ISO/IEC 27001:2005 by BSI. - MCT desde el 1999 al 2013. - Autor de carreras de Seguridad, MSIO y Forefront para el MVA de Microsoft. - Consultor certificado en Checkpoint. Ver todas las entradas de Quique

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: