Буквально два месяца назад Gartner сделали довольно примечательное заявление – отныне агентство не будет формировать свой Magic Quadrant для шлюзов безопасности электронной почты (Secure Email Gateways). В числе причин такого решения аналитики указывают такую степень зрелости рынка, которая сделала составление такого отчета попросту не нужным. Вместо этого аналитики планируют выпускать так называемый Market Guide, в котором будут рассказывать о новых технологиях, основных игроках и тенденциях развития рынка, не фокусируясь на функциональных отличиях конкретных решений.

Вывод из этого можно сделать простой – в корпоративном ИБ-ландшафте любой организации место шлюзов безопасности электронной почты, по мнению аналитиков Gartner, пустовать не может по определению. Попробуем разобраться, почему этот сегмент в общем и решения Cisco Email Security в частности, несмотря на свою кажущуюся консервативность, смогли пережить все потрясения на глобальном рынке за последние 20 лет, стать де-факто стандартом в архитектуре информационной безопасности практически любой компании и составить уверенную конкуренцию аналогичному функционалу в продвинутых NGFW (Next Generation Firewall) платформах.

Ренессанс средств защиты электронной почты

Для начала совершим небольшой экскурс в историю. Решениям Cisco по безопасности электронной почты уже почти 20 лет. Компания IronPort была основана в 2000 г. и фокусировалась на двух продуктах – Email Security Appliance и Web Security Appliance. После покупки компанией Cisco Systems в 2007 г. они были интегрированы в экосистему Cisco Security как Cisco ESA и Cisco WSA. С тех пор эти решения занимают лидирующие позиции в своих сегментах по версии аналитических агентств Gartner и Forrester.

Такая стабильная популярность средств защиты электронной почты связана с тем, что она остается основным каналом корпоративных коммуникаций. Именно поэтому она выступает основным вектором атак: как на корпоративную инфраструктуру, так и на конечных пользователей. Благодаря непрерывному развитию, Cisco обеспечивает ESA важными инструментами для борьбы с современными угрозами.

Изначально, на заре развития Cisco ESA, помимо классического функционала борьбы со спамом и нежелательной почтой, к таким инструментам относились антивирусные движки, встроенные в само решение, проверяющие все проходящие почтовые вложения. Также решение включало собственную репутационную базу SenderBase. Она содержала списки отправителей и серверов электронной почты с советующими уровнями риска для каждого. Также была реализована собственная технология Outbreak Filters, которая позволяет блокировать вредоносный код после его определения, но до момента попадания в сигнатурную базу антивирусного движка. Сильной стороной решений Cisco ESA всегда был и остается собственный движок Cisco Context Adaptive Scanning Engine (CASE). На базе многоуровневого анализа (контент-ориентированных и контент-независимых техник) и в связке с механизмами фильтрации на базе геолокации отправителя, он дает более чем 99-процентный показатель обнаружения спам-сообщений и фишинговых писем.

Нынешний ландшафт угроз информационной безопасности предполагает более обширный инструментарий для эффективной борьбы с современными атаками. Именно поэтому во всех решениях Cisco ESA есть возможность подключения функционала статического и динамического анализа (песочницы) для борьбы с еще неизвестными угрозами и функционала непрерывного ретроспективного анализа угроз, даже спустя время после их прохождения через ESA. Cisco ESA, как и многим решениям из портфеля Cisco Security, «из коробки» доступен весь инструментарий обширной Threat Intelligence платформ Cisco Talos (в которую, в том числе, интегрирована прежняя база SenderBase) и Cisco AMP, обеспечивающей защиту от продвинутых и неизвестных угроз. Помимо этого, Cisco ESA поддерживает тесную интеграцию с Threat Hunting-платформой Cisco Threat Response, что позволяет обеспечить расследование инцидентов и поиск угроз, объединяя данные о событиях безопасности, получаемые, в том числе, с оконечных устройств, защищенных Cisco AMP for Endpoints, и других устройств Cisco ESA по всему миру. Все это позволяет Cisco ESA удовлетворять высоким требованиям к оперативному определению, проактивному блокированию и эффективному расследованию современных направленных атак, которые невозможно предотвратить классическими сигнатурными методами.

Алексей Лукацкий
бизнес-консультант по безопасности, Cisco Systems

Не упоминая имен, мне хотелось бы рассказать об одной истории внедрения Cisco ESA у одной из крупных финансовых организаций, которая столкнулась с достаточно изощренной целенаправленной атакой на свои информационные активы. Мы как раз тестировали наше решение у заказчика, когда на адрес одного из его руководителей поступило электронное сообщение якобы от службы технической поддержки Google, в котором говорилось, что в отношении учетной записи данного пользователя были замечены подозрительные действия и пользователю рекомендовалось заменить пароль и включить механизм двухфакторной аутентификации. В письме от Google содержалась ссылка, по которой надо было пройти для смены пароля, а также PDF-файл с памяткой о безопасном использовании электронной почты. Cisco ESA сразу «взял стойку» на это сообщение, которое не вызвало подозрений ни у руководителя финансовой организации, ни у средств защиты, которые защищали эту компанию до пилотирования Cisco E-mail Security Appliance. В процессе расследования оказалось, что сообщение было прислано с домена, похожего по написанию на Google (такая же техника использовалась в атаке на главу предвыборного штаба Хилари Клинтон, которая, по мнению ряда экспертов, повлияла на результаты американских выборов и, в конечном счете, на мировую историю), а вложение содержало вредоносный код, недектируемый традиционным антивирусом. Только за счет антифишингового механизма в Cisco ESA, а также модуля Advance Malware Protection и интеграции с песочницей Cisco Threat Grid, удалось оперативно обнаружить данную атаку, заблокировать переход по ссылке и вырезать вредоносное вложение из сообщения. Руководство компании было довольно такими результатами в первую же неделю пилота и одобрило покупку Cisco E-mail Security Appliance.

Помимо борьбы с внешними злоумышленниками, Cisco ESA обладает функционалом защиты от инсайдерских угроз. В частности, в рамках любого решения Cisco ESA существует возможность включения функционала предотвращения утечек данных (Data Loss Prevention), разработанного совместно с компанией Digital Guardian, лидером мирового рынка DLP, а также функционала принудительного шифрования отправляемых за периметр организации писем с последующим предоставлением доступа к ним лишь конкретных получателей (т.н. Cisco Registered Envelope Service, CRES).

Конкуренция с защитой электронной почты через NGFW

При обсуждении функциональных возможностей систем класса Email Security возникает желание сравнить его с аналогичным функционалом в системах Next Generation Firewall, которые, по сути, являются комбайном «все-в-одном» для защиты сети, и которые также могут включать функционал защиты от фишинга, вирусов и направленных атак внутри почтовых сообщений.

Необходимо понимать, что в большинстве случаев функционал защиты электронной почты в рамках классических NGFW ограничивается базовыми элементами (антивирус, анти-спам, иногда «песочница») и порой не соответствует всем требованиям, предъявляемым к системе защиты почты. Во многих NGFW-решениях не существует возможности использования простейших функций работы с электронной почтой, таких, как, например, карантин писем или черные/белые списки отправителей и получателей, а также маршрутизация электронной почты и контроль доставки почтовых сообщений до адресата. Поэтому при реализации функционала защиты электронной почты лишь средствами NGFW, необходимо быть готовым к переносу части необходимых базовых функций на почтовые сервера или дополнительные промежуточные системы, что может привести к увеличению как капитальных, так и операционных затрат.

Алексей Лукацкий, бизнес-консультант по безопасности, Cisco Systems:

Многие службы ИБ активно изучают рынок современных и инновационных средств защиты, инвестируя в такие направления, как SOAR, Incident Response Platform, Threat Hunting, Breach & Attack Simulation и другие, забывая, что до 85-95% всех атак начинается с банального фишинга или вредоносного вложения, отправленных с помощью электронной почты. Все эти инновации могли бы и не понадобиться, если бы компания уделила чуть больше внимания защите основного канала коммуникаций, и внедрила бы не просто антиспам или традиционный антивирус на почтовом сервере, а нечто более продвинутое, позволяющее контролировать более широкий спектр известных и неизвестных угроз, распространяемых через e-mail

Также важно отметить, что эксплуатация современных NGFW, которые являются комплексными устройствами для защиты сети, предъявляет высокие требования к наличию выделенных компетенций по информационной безопасности в команде ИТ/ИБ-департамента. Благодаря консервативному подходу, администрирование Cisco ESA не представляет больших проблем для текущего ИТ-персонала и не предъявляет высоких требований к наличию в команде администраторов высоких компетенций в области информационной безопасности. Cisco ESA оперирует общеизвестными и очевидными любому администратору серверов электронной почты понятиями, что позволяет не увеличивать штат специалистов по информационной безопасности или информационным технологиям. Именно поэтому внедрение Cisco ESA не приводит к ощутимому росту операционных затрат и позволяет точно спрогнозировать совокупную стоимость владения решением на годы вперед.

Еще одним немаловажным фактором является схема лицензирования современных NGFW, большинство из которых, как правило, опираются на метрику ширины полосы пропускания защищаемого канала. Это правильная и очевидная метрика для устройств сетевой защиты, но не очень удобная и прогнозируемая для систем защиты электронной почты. Очевидно, что в современных требованиях к эксплуатационным расходам на то или иное решение все больше превалируют предсказуемость и окупаемость затрат, что сказывается на модели лицензирования Cisco ESA. Например, в случае аппаратной реализации лицензирование Cisco ESA производится исходя из числа защищаемых почтовых ящиков и не подразумевает отдельных затрат на покупку самих устройств – производительность и модель определяется исходя из объема лицензии и поставляется условно-бесплатно, что позволяет гибко управлять бюджетом на защиту корпоративной почты.

Универсальная архитектура для более гибкой защиты

Еще одним трендом в области информационной безопасности последних лет является массовый переход корпоративных сервисов на облачные платформы, что предъявляет дополнительные требования к защите корпоративных ресурсов. Помимо этого, один из самых важных доменов информационной безопасности, а именно – конечный пользователь, также мигрирует на мобильные платформы, из-за чего происходит дополнительное размывание периметра защиты.

На сегодняшний день Cisco ESA может эффективно встраиваться в любую корпоративную инфраструктуру – начиная от on-premise аппаратных устройств и виртуальных машин для частных и публичных облаков, и заканчивая полностью облачной моделью и гибридными инсталляциями.

Аппаратные платформы Cisco ESA представлены во всех сегментах – начиная от небольших организаций (до 2 тыс. активных пользователей) и заканчивая крупным бизнесом и операторами связи (более 20 тыс. активных пользователей). Безусловно, все аппаратные платформы подразумевают возможность развертывания в режиме отказоустойчивого кластера. Помимо аппаратных платформ, Cisco ESA также может быть установлена как виртуальный сервер, по своим характеристикам и функционалу ничем не отличающийся от аппаратного решения.

Для защиты корпоративной почты на мобильных платформах и полностью облачных сервисов электронной почты (например, Office 365) Cisco ESA предлагает полностью облачную модель внедрения и нативную интеграцию как с мобильными устройствами, так и с облачным сервисом почты Office 365.

Вывод

На сегодняшний день электронная почта является и основным каналом корпоративной коммуникации, и основным вектором атак на организации. Именно поэтому не ставится вопрос, защищать ли этот канал, а ставиться вопрос – как именно это делать. При выборе универсальных средств защиты (таких, например, как NGFW) всегда необходимо быть готовым к компромиссам, связанным, в первую очередь, с универсальностью решения. При выборе решений из портфеля Cisco Email Security можно позволить себе не идти на компромиссы и реализовать все функции защиты электронной почты в рамках одного решения от лидера сегмента, вне зависимости от требуемой архитектуры внедрения и масштаба организации.

При этом решения Cisco Email Security позволяют иметь всегда предсказуемые затраты, как на лицензирование, так и на его эксплуатацию, предоставляя при этом максимально широкий функционал по защите корпоративной электронной почты. Оценить все преимущества решения Cisco Email Security можно уже сейчас, оставив заявку на бесплатный демо-доступ. Запишитесь по ссылке и протестируйте одно из самых лучших решений для защиты вашей корпоративной почты!