RESUMEN DE TECNOLOGÍAS: SEGURIDAD EMPRESARIAL. Symantec Mail Security Appliances de la serie 8200 Información general

Transcripción

1 RESUMEN DE TECNOLOGÍAS: SEGURIDAD EMPRESARIAL Symantec Mail Security Appliances de la serie 8200 Información general

2

3 Resumen de tecnologías: Symantec Enterprise Security Symantec Mail Security Appliances de la serie 8200 Información general Contenido Resumen ejecutivo Arquitectura e implementación Appliance integrado Facilidad de implementación Elevada escalabilidad Varios modelos Filtrado poderoso y preciso Protección contra el correo no deseado (spam) basada en Brightmail Galardonada protección contra virus Filtros y definiciones actualizados Protección de la infraestructura con el firewall de correo electrónico Conformidad y cumplimiento de políticas de contenidos de la organización Funciones de correo electrónico seguro Administración sencilla Administración centralizada Políticas de correo flexibles Cuarentena basada en Web Preferencias del usuario final Informes detallados Actualizaciones de software Monitoreo y mantenimiento sólidos del sistema Conclusiones

4 Resumen ejecutivo En la mayoría de las organizaciones, el correo electrónico constituye el canal de comunicación interna y externa más importante. El desafío clave al que se enfrentan los administradores radica en cómo preservar el valor del correo electrónico ante el continuo aumento de las amenazas a la seguridad del correo electrónico. El impacto total de las amenazas comunes a la seguridad del correo electrónico puede valorarse de los siguientes modos: Reducción de la productividad del usuario final y consumo de recursos informáticos y de la infraestructura de correo electrónico causados por el spam Daños a los activos y tiempo de inactividad debido a ataques de virus Presión reguladora y dentro de la organización para monitorear y controlar el contenido de correo electrónico entrante y saliente Tiempo que necesitan los administradores para implantar y administrar una solución de seguridad del correo electrónico Los appliances Symantec Mail Security Serie 8200 representan la respuesta de Symantec al problema de la seguridad del correo electrónico. Estos flexibles appliances proporcionan una seguridad del correo electrónico precisa, basada en la tecnología líder Brightmail AntiSpam de Symantec, el líder mundial de la seguridad en Internet. Además de innovadoras tecnologías de firewall de correo electrónico que reducen los costos de infraestructura de correo electrónico gracias a la restricción de conexiones no deseadas, estos appliances también ofrecen un conjunto de poderosas herramientas de conformidad de contenidos. Gracias al factor de tamaño del appliance, la instalación y administración de los appliances Symantec Mail Security Serie 8200 resulta sencilla y económica. En este resumen de los productos, se incluyen los siguientes temas: Arquitectura e implementación. Una visión general de las opciones de arquitectura e implementación de los appliances Symantec Mail Security Serie Filtrado poderoso y preciso. Información general acerca de las funciones de filtrado disponibles con los appliances Symantec Mail Security Serie Administración sencilla. Un resumen de las completas herramientas administrativas que permiten que los administradores centralicen la administración y el monitoreo del filtrado de correo electrónico. 2

5 Para obtener más información sobre los temas relacionados con los appliances Symantec Mail Security Serie 8200, consulte los siguientes documentos de Symantec, que podrá encontrar en White Paper sobre la seguridad del correo electrónico (en inglés) Informe sobre la protección de antispam basada en las tecnologías Brightmail y la tecnología de respuesta Guía de evaluación de los appliances Symantec Mail Security Serie 8200 Guía de características de los appliances Symantec Mail Security Serie 8200 Arquitectura e implementación La potencia de los appliances Symantec Mail Security Serie 8200 empieza por su arquitectura, su enfoque basado en la gateway y su facilidad de instalación. Appliance integrado Los appliances integrados Symantec Mail Security Serie 8200 cuentan con todos los elementos de hardware y software básicos y necesarios para configurar una solución de seguridad del correo electrónico que sea completa, segura y fácil de instalar. Estos elementos incluyen: Hardware. Los appliances Symantec Mail Security Serie 8200 son appliances de servidor compactos y acoplables basados en Intel. 1U. Construidos con hardware a medida, de alto rendimiento y eficacia probada, los appliances Symantec Mail Security Serie 8200 cuentan con numerosas características estándar, como por ejemplo una función de almacenamiento redundante mediante una unidad RAID. Existe un modelo de alta disponibilidad con fuentes de alimentación y ventiladores dobles. Software. Los appliances Symantec Mail Security Serie 8200 funcionan con un sistema operativo preinstalado basado en Linux. Además, el software de filtrado y de la plataforma de administración reside en el appliance. También disponen de todos los agentes transmisores de correo (MTA) necesarios para permitir la comunicación con el mundo exterior y con los servidores de correo internos, como Microsoft Exchange. Las futuras actualizaciones de software se aplican con facilidad, lo que garantiza unas interrupciones mínimas a la hora de instalar actualizaciones de seguridad. Configuración segura. Para mitigar el riesgo que supone tener los servidores de correo directamente expuestos a Internet, los appliances Symantec Mail Security Serie 8200 están respaldados por una plataforma segura de tecnologías. El sistema operativo integrado cuenta con un núcleo bloqueado y su configuración de origen está reforzada frente a las vulnerabilidades y los ataques más comunes. Por ejemplo, para evitar la explotación por parte de los hackers, únicamente se incluyen los servicios de mayor importancia y se cierran todos los puertos que no son necesarios. 3

6 Actualizaciones automáticas. Para garantizar una protección completa frente a las amenazas de correo electrónico más recientes, las defensas de seguridad del correo electrónico se fortalecen de manera constante en tiempo real con filtros antispam automáticos y definiciones antivirus de Symantec. Symantec se encarga de todas las actualizaciones de los filtros, con lo que la carga administrativa del administrador se reduce. El proceso de descarga de filtros cuenta con un proceso de validación bidireccional para garantizar que los filtros y las definiciones de antivirus actualizados procedan de Symantec. El filtrado permanece activo incluso cuando el appliance recibe actualizaciones de los filtros, de modo que la protección sigue siendo completa incluso durante dichas actualizaciones. Facilidad de implementación Los appliances Symantec Mail Security Serie 8200 están diseñados para que residan en el perímetro de la red de correo electrónico, y actúan como una capa de protección por delante de los servidores de correo ya existentes, y que se encuentran en un nivel inferior de la red. El sistema operativo, el software del producto y los MTA necesarios vienen preintegrados en los appliances. De este modo, los appliances se conectan a la perfección en el entorno existente. Filtrado entrante y saliente Tal y como se muestra en la siguiente ilustración, los appliances Symantec Mail Security Serie 8200 normalmente se sitúan en la gateway de Internet, entre los servidores de correo internos y el firewall externo. Instalaciones del cliente Virus de spam Correo entrante y saliente Gateway de correo Filtro seguro Transmisión Appliance Symantec Mail Security Serie 8200 Servidor de correo (p.ej., Exchange, Domino) Asunto: <spam> Modificar Bandeja de entrada 4

7 Debido a que los appliances Symantec Mail Security Serie 8200 funcionan en el nivel más externo de la gateway, se encargan de procesar el correo electrónico entrante y saliente. Antes de que el correo electrónico abandone del appliance, debe someterse a múltiples niveles de filtrado de seguridad. En estos niveles de procesamiento se incluyen comprobaciones del firewall de correo electrónico basadas en el origen o en la conexión IP, filtrado antispam con tecnología Brightmail, la galardonada protección antivirus de Symantec, comprobaciones de conformidad de contenidos, y mucho más. Para garantizar una protección completa frente a las amenazas de correo electrónico más recientes, las defensas de seguridad del correo electrónico se fortalecen de manera constante en tiempo real con actualizaciones automáticas de Symantec. Debido a que Symantec se encarga de realizar todas las actualizaciones de filtros, las actividades administrativas se reducen a la ejecución de informes para confirmar la eficacia y a la monitorización del flujo de correo. Sin embargo, si desea disponer de mayor flexibilidad y control, puede utilizar el conjunto de funciones de administración disponibles. Por ejemplo, puede establecer una política específica para mensajes que se identifiquen como spam para distintos grupos de usuarios dentro de la organización. Información más detallada: Exploradores y Centro de control Todos los appliances Symantec Mail Security Serie 8200 pueden utilizarse para llevar a cabo distintas funciones en la organización. En instalaciones de menor tamaño, el mismo appliance puede encargarse de todas las funciones necesarias. En instalaciones más grandes, se pueden instalar diversos appliances para que realicen funciones especializadas. Éstas son las funciones disponibles: Explorador dedicado. Realiza el filtrado de correo electrónico. Puede instalar uno o más appliances exploradores. Centro de control dedicado. Administra el sistema. Todas las instalaciones de appliances Symantec Mail Security Serie 8200 cuentan con un appliance de Centro de control. El appliance Centro de control, que puede administrar varios appliances exploradores, también alberga la función de cuarentena opcional. La función de cuarentena almacena los mensajes de spam y proporciona acceso a los mensajes de spam capturados por parte de los usuarios finales o el administrador. Centro de control y explorador combinados. Realiza ambas funciones. Adecuado para instalaciones de menor tamaño. 5

8 Entrada SMTP HTTP sondeando actualizaciones de filtros Salida SMTP Explorador Spam Correo legítimo Estadísticas e Información de información configuración de registro al desde el Centro Centro de control de control Explorador Puede funcionar en el mismo appliance que el Centro de control o en un appliance dedicado Motor de filtrado Agente de administración que se comunica con el Centro de control Appliance Appliance Appliance Appliance Usuarios finales Inicia sesión de cuarentena personal Centro de control Centro de control Centraliza la administración de todos los exploradores Proporciona acceso a la cuarentena Unifica la elaboración de registros e informes Administrador Inicia una sesión del Centro de control para administrar y ver el estado de todos los exploradores Inicia una sesión de cuarentena exclusiva para el administrador (si está activada) Figura 1. Componentes de software del explorador y del Centro de control Elevada escalabilidad En instalaciones más grandes, puede añadir appliances exploradores adicionales, administrados por un appliance de Centro de control, para ampliar con toda facilidad la instalación de appliances Symantec Mail Security Serie En este caso, los appliances exploradores actúan como MTA de la gateway y procesan el correo entrante para, posteriormente, transferirlo a otros niveles del sistema de mensajería o al servidor del grupo de trabajo. En la ilustración siguiente se muestra un ejemplo de una instalación de este tipo. Para optimizar la disponibilidad, la escalabilidad y el rendimiento: Instale múltiples appliances que actúen como exploradores remotos. Administre estos exploradores desde un appliance de Centro de control. Los Angeles Internet Nueva York Internet Londres, RU Internet Explorador 1 Explorador 2 Explorador 3 Explorador 4 Centro de control Servidor de correo 1 Servidor de correo 2 (Exchange) (Exchange) Servidor de correo 3 (Domino) Servidor de correo 4 Gateway 1 Gateway 2 6

9 En la situación anterior, es posible obtener una mayor optimización del rendimiento mediante la modificación de la función que desempeñan los exploradores. Por ejemplo, en cada sitio, puede destinar un explorador dedicado para el filtrado entrante y otro para el filtrado saliente. Además, es posible que las organizaciones que implanten una zona desmilitarizada (DMZ) en la red prefieran instalar los appliances exploradores en esta zona. El appliance de Centro de control se situará detrás del firewall corporativo interno más restringido. Varios modelos Para poder satisfacer las necesidades de las organizaciones medianas y grandes, existen dos modelos de appliances Symantec Mail Security Serie Ambos modelos cuentan con las mismas funciones de seguridad de correo electrónico, aunque se diferencian en las especificaciones de hardware y en el número de usuarios de correo electrónico que admiten. Modelo Factor de tamaño Almacenamiento Rendimiento Funciones de disponibilidad Usuarios admitidos Contenido disponible Suscripciones 1U 2x40 GB mensajes/hora RAID Sólo antispam Sólo antivirus Antispam y antivirus 1U 2x73 GB mensajes/hora RAID 1 Fuentes de alimentación dobles Ventiladores dobles Más de usuarios Sólo antispam Sólo antivirus Antispam y antivirus Filtrado poderoso y preciso Una vez instalado con la función de explorador, el appliance Symantec Mail Security Serie 8200 se encarga de realizar el filtrado entrante y saliente. En esta sección se describen los distintos niveles de filtrado de seguridad del correo electrónico que forman parte del explorador. Protección contra el correo no deseado (spam) basada en Brightmail El spam, que representa cerca del 70% de todo el tráfico de correo electrónico, asfixia la infraestructura de mensajería, absorbe los recursos de los servidores y de almacenamiento y abarrota las bandejas de entrada de los usuarios finales. El spam con contenidos ofensivos o fraudulentos puede conllevar problemas de responsabilidad legal para las organizaciones. Debido a los enormes beneficios que pueden obtenerse y a la ineficacia de la legislación, los emisores de spam seguirán inundando a las organizaciones con correo no solicitado. Como es habitual, el emisor de correo electrónico continuará ajustando sus tácticas y aumentando el volumen de correo para lograr eludir los sistemas de defensa que implantan las organizaciones informáticas. 7

10 La protección antispam de múltiples niveles constituye la piedra angular los appliances Symantec Mail Security Serie Impulsado por las tecnologías y las funciones de respuestas adquiridos de Brightmail, el motor de filtrado cuenta con un nutrido arsenal de técnicas de filtrado, tal y como se muestra en la ilustración siguiente. Una combinación antispam de este tipo es necesaria debido a que los ataques de spam complejos requieren múltiples filtros y enfoques específicos. Basados en las tecnologías antispam y en la capacidad de respuesta líderes del sector de Brightmail, los appliances Symantec Mail Security Serie 8200 permiten a los administradores: Capturar el 95% o más del correo no deseado. La eficacia (es decir, la cantidad de spam que la solución es capaz de capturar) constituye un factor clave en cualquier solución antispam. A fin de mantener una eficacia constante, las soluciones antispam deben responder, en todo momento, a las tendencias, a las categorías y a las tácticas de difusión de spam más recientes. La protección contra el correo no deseado basada en la tecnología y en la respuesta de Brightmail aprovecha más de 20 técnicas de filtrado distintas, así como una infraestructura de análisis y respuesta frente al spam de ámbito mundial. Estos elementos contribuyen a que, día tras día, los appliances Symantec Mail Security Serie 8200 proporcionen el mejor índice de captura de spam. Asegurarse de que el correo legítimo no se vea afectado. Los falsos positivos (los efectos secundarios de un filtrado antispam demasiado agresivo) provocan problemas empresariales significativos, como por ejemplo la pérdida de un pedido relevante o de un correo electrónico de un cliente importante. Si el correo legítimo entra en cuarentena o se ve afectado de cualquier otro modo por el proceso de filtrado regular, esto constituye un fallo. Los appliances Symantec Mail Security Serie 8200 integran la única solución antispam con un índice de precisión demostrado del 99,9999% 1, lo que equivale a menos de un falso positivo por cada millón de mensajes. Detener el spam que no esté en inglés. Symantec calcula que entre el 10 y el 20% del spam en todo el mundo está escrito en idiomas distintos al inglés, por lo que el correo no deseado que no esté en inglés representa un problema muy importante para cualquier organización que opere fuera de los Estados Unidos. Los appliances Symantec Mail Security Serie 8200 se encargan del problema del spam multilingüe, que cada vez adquiere mayor importancia, de distintos modos. En primer lugar, aprovechan los centros de operaciones antispam de ámbito mundial, que mitigan el problema del correo no deseado que se envía desde otros países. También cuentan con la capacidad exclusiva de identificar el idioma de un mensaje, en caso de que éste esté escrito en uno de los 11 idiomas reconocidos por el appliance. Las organizaciones pueden decidir (o dejar que sean los usuarios finales los que tomen la decisión) si desean bloquear automáticamente los mensajes que estén escritos en unos idiomas determinados. Activar la protección y listo. A diferencia de otras soluciones antispam, para las que es necesario realizar ajustes con frecuencia y entrenar los filtros con regularidad para poder mantener unos niveles de eficacia y precisión elevados, la protección antispam basada en Brightmail es completamente automática. Cada 10 minutos, los filtros y las defensas actualizados llegan desde Symantec y se aplican de forma inmediata en los appliances en la ubicación del cliente. 1 " Security Solutions Providers Seek to Stop Spam and Viruses at the Perimeter" (Los proveedores de soluciones de seguridad para el correo electrónico intentan detener los virus y el spam en el perímetro), Yankee Group Report, febrero de

11 Galardonada protección contra virus Los virus pueden causar el caos total en una organización. Los daños abarcan desde el fallo del servidor de correo e interrupciones del sistema, hasta la destrucción de los datos de la organización. Desde el punto de vista de la seguridad del correo electrónico, los mundos del spam y los virus están estrechamente relacionados. Aproximadamente un 80% de los incidentes de virus se inician a partir de correo electrónico que se entrega por Internet 2. Además, la carga útil real de muchos virus y gusanos transmitidos por correo electrónico incluye software que instala un proxy abierto en el equipo víctima del ataque. Estos proxies se utilizan para convertir el equipo en un retransmisor de correo no deseado, que los emisores de spam aprovechan para enviar aún más spam. Teniendo en cuenta el daño que causan los virus, es de vital importancia contar con una protección antivirus en el primer punto de entrada a la red: la gateway de correo electrónico. Los appliances Symantec Mail Security Serie 8200 analizan y detectan los virus gracias a la integración de la galardonada tecnología antivirus de Symantec. La protección antivirus incluye actualizaciones automáticas de las definiciones de virus, políticas flexibles para controlar los mensajes con virus y defensas específicas frente a los gusanos de envío masivo de correo y los correos electrónicos autogenerados asociados. El amplio abanico de funciones y tecnologías antivirus proporciona: Symantec Security Response proporciona contenido antivirus en tiempo real. Los appliances Symantec Mail Security Serie 8200 cuentan con el galardonado motor antivirus, respaldado por Symantec Security Response. En Symantec Security Response, el equipo de expertos más amplio del sector trabaja para identificar y neutralizar virus antes de que puedan penetrar en la red y propagarse por toda la compañía. Protección de eficacia probada frente a las amenazas más recientes. Los appliances Symantec Mail Security Serie 8200 recuperan automáticamente definiciones de Respuesta rápida, que por lo general están disponibles cada hora. Estas definiciones, que se someten a comprobaciones de confiabilidad básicas por parte de Symantec, están diseñadas para adelantarse a las amenazas de nueva aparición. Las definiciones de publicación rápida tienen un índice de éxito del 99,98%. Motor de análisis y reparación rápido y confiable. La función de análisis utiliza las galardonadas tecnologías Scan Engine. Este motor, merecedor de numerosos premios, proporciona una protección contra virus rápida y confiable, gracias al análisis de todo el tráfico entrante y saliente de correo electrónico de Internet, a través de un sistema de análisis multiproceso. También repara virus presentes en archivos adjuntos de correo electrónico, incluidos los formatos de archivo comprimido más utilizados, como por ejemplo zip, MIME/UU, TAR y GZIP, entre otros. Tiempo de actividad máximo durante las actualizaciones de las definiciones. A diferencia de la competencia, el Scan Engine modular actualiza las definiciones de virus y los motores de análisis sin tener que volver a instalar el software o reiniciar los servicios. Por lo tanto, no hay ninguna interrupción en el análisis de virus cuando se obtienen definiciones nuevas. 2 Agosto de Spam, Viruses, and Content Compliance: An Opportunity to Strategically Respond to Immediate Tactical Concerns. (Spam, virus y conformidad de contenidos: una oportunidad para una respuesta estratégica a problemas de contenido inmediatos.) META Group White Paper 9

12 Heurística y niveles de análisis variables para lograr un análisis más agresivo. Los appliances Symantec Mail Security Serie 8200 utilizan la tecnología heurística Bloodhound, que detecta las actividades propias de un virus, a fin de identificar y reparar virus desconocidos. Es posible ajustar la configuración de la heurística para obtener una identificación de virus más o menos agresiva. Esta tecnología puede detectar hasta un 90% de los virus de macro nuevos, y hasta un 80% de los virus de archivo ejecutables nuevos y desconocidos, incluidos los códigos móviles maliciosos. Protección contra las bombas de correo. Especifique el tamaño máximo y los niveles de profundidad del análisis para reducir la exposición a las bombas zip que perjudican el procesamiento. Selección entre distintas acciones. Es posible definir políticas para decidir cómo actuar contra los mensajes con virus. Por ejemplo, el mensaje se puede limpiar y entregar, se puede entregar de forma normal, o bien se puede borrar. Limpieza de programas de envío de correo masivo. Las funciones de protección contra virus eliminan automáticamente no sólo el gusano de envío de correo masivo, sino también los correos electrónicos autogenerados asociados, que pueden llegar a ser varios cientos para cada destinatario y que no tienen ninguna utilidad. Filtros y definiciones actualizados La exclusiva infraestructura de respuesta, ofrecida por Symantec, representa un componente exclusivo de la arquitectura de los appliances Symantec Mail Security Serie A fin de mantenerse por delante de las amenazas a la seguridad del correo electrónico más recientes, Symantec mantiene centros de detección y respuesta a amenazas repartidos por todo el mundo. Estos centros especializados y coordinados, conocidos como BLOC y Symantec Security Response, funcionan de forma permanente y realizan las siguientes funciones vitales: Monitoreo de las amenazas en tiempo real por parte del BLOC. Un elemento clave para el BLOC es la Probe Network, un amplio conjunto de más de dos millones de direcciones de correo electrónico de señuelo, también conocidas como "honeypots" (tarros de miel, en inglés). Esta red mundial patentada de cuentas de correo electrónico atrae y recopila grandes cantidades de spam y amenazas relacionadas; decenas de millones de mensajes de spam pasan por la Probe Network todos los días. Symantec usa estos señuelos para mantenerse al tanto de las tácticas de emisión de spam más recientes. Definiciones de virus de Symantec Security Response. Para poder ofrecer protección actualizada y permanente, la protección contra virus de los appliances Symantec Mail Security Serie 8200 está respaldada por Symantec Security Response. En Symantec Security Response, el equipo de expertos más amplio del sector trabaja para identificar y neutralizar virus antes de que puedan penetrar en la red y propagarse por toda la compañía. Symantec Security Response proporciona respuestas globales rápidas frente a los ataques de virus y una investigación proactiva sobre futuras amenazas. 10

13 Creación de filtros automatizada. Gracias a la utilización de herramientas sofisticadas, al aprendizaje de los equipos y a los procesos automatizados, el BLOC crea defensas que erradican los ataques de spam actuales y sus variantes. El índice de precisión casi perfecto de las funciones de filtrado de correo no deseado se logra gracias a que se utiliza la Probe Network para crear filtros basados en spam real. Para combatir las amenazas de nueva aparición y el nuevo spam, el BLOC también desarrolla, ajusta e instala otros filtros más proactivos, como por ejemplo filtros basados en heurística. Implementación de defensas oportunas. Cada 10 minutos, aproximadamente, los filtros antispam actualizados, junto con otras defensas de seguridad del correo electrónico, se descargan a través de una conexión segura a los appliances exploradores situados en la ubicación del cliente, en los que los filtros se activan de inmediato. Para ofrecer una respuesta frente a los virus, el BLOC se integra totalmente con Symantec Security Response, que proporciona una protección actualizada y permanente contra a los virus destructivos de rápida propagación. Las definiciones de virus actualizadas llegan a las ubicaciones de los clientes a través del mismo mecanismo seguro por el que se transmiten los filtros antispam y los datos de reputación. Protección de spam respaldada por el BLOC Servicios principales en el BLOC Agrupación de mensajes Validación de filtros Generación de filtros Distribución de filtros Producción de filtros automatizada Verificación e investigación Los técnicos procesan el correo no deseado que los métodos automatizados no pueden gestionar. El componente humano proporciona una garantía de calidad y evita los falsos positivos. Operaciones permanentes Los técnicos y las herramientas automatizadas supervisan constantemente los ataques de spam y el rendimiento de los filtros en las instalaciones del cliente, y realizan ajustes según sea necesario. Administración de la Probe Network Algunos datos sobre el BLOC Cobertura de la defensa permanente, contra el correo no las 24 horas deseado: del día, los 7 días de la semana Idiomas: 12 Cuentas señuelo supervisadas: Spam de señuelo (honeypot) procesado al día: más de 2 millones decenas de millones Países representados por la Probe Network : más de 20 Administración activa y optimización de la mayor trampa para amenazas de spam y correo electrónico. Internet Ubicaciones de los San Francisco centros de operaciones: Dublin Sydney Taipei Figura 2. Protección de spam respaldada por el BLOC 11

14 La arquitectura de los appliances Symantec Mail Security Serie 8200 representa un ciclo de transmisión constante de información que empieza y termina en sus instalaciones: 1. En las instalaciones del cliente, el appliance explorador ejecuta filtros que están basados en la protección actualizada que ofrece el BLOC. 2. El explorador constantemente reenvía información al BLOC sobre la eficacia de los filtros instalados. Si es necesario, el BLOC realiza ajustes en tiempo real para mejorar la eficacia. 3. Los usuarios presentes en las instalaciones pueden fácilmente enviar a Symantec los mensajes de spam que han logrado atravesar los filtros, para mejorar de este modo la amplitud y el alcance de la Probe Network, tan sólo con un clic. Protección de la infraestructura con el firewall de correo electrónico Una sólida combinación de protección contra el spam y contra los virus constituye solamente una de las piezas que configuran una solución de seguridad del correo electrónico completa. Por distintos motivos, una solución de seguridad del correo electrónico también tiene que poder reducir el tráfico de correo electrónico entrante no necesario. En primer lugar, el análisis del correo electrónico para detectar spam y virus es una actividad que, de forma inherente, consume muchos recursos, con un efecto claro sobre la CPU y otros recursos durante el análisis del contenido de los mensajes. Cualquier mensaje que deba procesarse una vez pasada la gateway conlleva un impacto medible en la infraestructura de correo electrónico, en la capacidad de los recursos y en la calidad del servicio de correo. La prevención de posibles ataques es otro de los motivos por los cuales es necesario asegurarse de que determinados mensajes no atraviesen la gateway en primer lugar. Un ejemplo representativo lo encontramos en los ataques de recolección de directorios, una táctica abusiva que provoca niveles muy elevados de volumen de correo electrónico y que pone en peligro la información de directorios de correo electrónico de una organización. En estos ataques, los emisores de spam envían miles de mensajes vacíos a los servidores de correo para obtener direcciones de correo electrónico legítimas. Mediante el seguimiento de qué direcciones no se rechazan, pueden determinar qué direcciones de correo electrónico son válidas para que, posteriormente, las puedan utilizar en campañas de spam o phishing. Las mejores soluciones de seguridad del correo electrónico rechazan con precisión los mensajes no deseados en la gateway, en función de su dirección IP. Estas funciones de administración de las conexiones SMTP constituyen un método cada vez más eficaz para abordar los efectos secundarios derivados de un volumen creciente de correo electrónico. Las limitaciones de muchas otras soluciones de administración de las conexiones SMTP recaen en la baja calidad de la información sobre el remitente que emplean para bloquear las conexiones. Y lo que es aún peor: en ocasiones, bloquean el tráfico legítimo. Para que una solución de administración de las conexiones pueda identificar de forma precisa y confiable a los remitentes de correo electrónico buenos y malos, debe poder acceder a una gran cantidad de datos relacionados con el remitente. 12

15 Los appliances Symantec Mail Security Serie 8200 disponen del firewall de correo electrónico, un conjunto de funciones de administración de conexiones automatizadas y configurables, que se activan en el mismo momento en el que se detecta una conexión entrante. El firewall de correo electrónico constituye un primer nivel de defensa y actúa como un "guardián" por delante de los elementos del motor de filtrado que conllevan un uso más intensivo de la CPU, incluidos los niveles antispam y antivirus. Se puede configurar automáticamente para que bloquee ataques de spam y de recolección de directorios, conexiones procedentes de remitentes que Symantec ha identificado como creadores de spam, y mucho más. Gracias a la Probe Network de cuentas de correo electrónico de señuelo y a las estadísticas de filtrado procedentes de su base de clientes de protección antispam, con 300 millones de usuarios, Symantec se encuentra en una posición sin igual para poder categorizar con toda precisión las fuentes de correo electrónico. Ataques Activado Acción Ataque de recolección de directorios Aplazar la conexión SMTP Ataque de spam Ataque de virus Ataque de remitente malo Aplazar la conexión SMTP Rechazar la conexión SMTP Devolver el mensaje Limitación de los ataques Limitar todos los ataques Cuando se produce un ataque, las conexiones procedentes de esas direcciones IP se pueden ralentizar para penalizar a los equipos emisores. Para responder a intentos de conexión abusivos o no deseados identificados por el firewall de correo electrónico, se pueden configurar distintas acciones automáticas. Debido a que estas acciones se producen antes de que el MTA entrante del appliance Symantec Mail Security Serie 8200 acepte el mensaje, el resultado consiste en una reducción del volumen de correo electrónico que debe procesarse. Éstas son algunas de las acciones a nivel de conexión que pueden configurarse: Aplazar SMTP. Rechazo temporal que indica al servidor que envía el correo electrónico que debe volver a intentarlo más tarde. Rechazar SMTP. Rechazo permanente del servidor que envía el correo electrónico. Limitación del tráfico. Disponible únicamente para los ataques identificados por el análisis de frecuencia local, esta acción "limita" o ralentiza la velocidad de conexión de fuentes que envíen correo no deseado o que participen en ataques y reduce la cantidad de tráfico que llega a la organización, al mismo tiempo que minimiza la carga en los niveles inferiores de la red. 13

16 Ejemplo: el firewall de correo electrónico en acción El ejemplo siguiente ilustra el modo en el que el firewall de correo electrónico identifica y se defiende de forma proactiva contra los ataques de recolección de directorios. Un máximo de 3 destinatarios malos por hora Dirigidos a destinatarios que no existen Administrador 1. El administrador fija un umbral. Con el objetivo de combatir los ataques de recolección de directorios, el administrador especifica el número máximo de destinatarios malos/desconocidos que una dirección IP puede tomar como objetivo durante un intervalo determinado El remitente supera el umbral. El appliance rechazará las conexiones procedentes de la dirección IP del remitente durante un intervalo especificado El remitente se coloca en la bandeja de penalización. El administrador puede configurar el modo de gestionar los siguientes mensajes que lleguen de ese remitente. En este caso, los mensajes se rechazan antes de que el MTA los acepte. 4. El periodo de penalización finaliza. Una vez que haya transcurrido el periodo de penalización, las direcciones IP se eliminan automáticamente y pueden enviar correo electrónico. Otras aplicaciones: también funciona con los ataques de virus y de spam. Conformidad de contenidos para hacer cumplir las políticas de la organización Además de detener el spam o correo no deseado y los virus, una solución de seguridad del correo electrónico también debe controlar el contenido del correo electrónico. Sin un análisis eficaz de conformidad de contenidos, se pueden enviar correos electrónicos con contenidos confidenciales, ofensivos o prohibidos fuera de la organización en tan sólo unos segundos. En determinadas organizaciones, este hecho puede repercutir de forma muy negativa en su competitividad y en su posicionamiento en el mundo empresarial. Desde un punto de vista interno, muchas organizaciones se ven obligadas a cumplir su compromiso de mantener un entorno de trabajo agradable. Por desgracia, un solo correo con contenido pornográfico o desagradable puede dar al traste con ese objetivo. Además, los administradores de sistemas de mensajería, a menudo, expresan su deseo de prohibir archivos adjuntos multimedia de gran tamaño para evitar que congestionen el ancho de banda de la red. Los appliances Symantec Mail Security Serie 8200 disponen de diversas funciones de conformidad de contenidos para el correo electrónico. Cuando se usan como parte del proceso de políticas y de administración de correo, las funciones de conformidad de contenidos proporcionan a los administradores las herramientas que necesitan para hacer cumplir las políticas corporativas de correo electrónico, reducir las responsabilidades legales y garantizar el cumplimiento de los requisitos reglamentarios. Gracias a las funciones de conformidad de contenidos, es posible: Analizar el correo mediante la comparación con diccionarios y listas de palabras clave predefinidos o personalizados. Esta función permite definir o importar un diccionario predefinido de palabras o frases clave prohibidas. Esta función puede usarse para asegurar el cumplimiento de las políticas de contenidos de correo electrónico de la organización. Por ejemplo, quizá se desee analizar los mensajes entrantes comparándolos con un diccionario 14

17 de términos ofensivos, ya sea predeterminado o personalizado, para evitar que los empleados reciban mensajes con contenidos inadmisibles. De forma alternativa, también es posible que se desee evitar que determinado material sensible salga de la organización, mediante el análisis del correo saliente, basado en la comparación con una lista de nombres en código de proyectos, de contenidos del acuerdo de confidencialidad, o bien otra información confidencial. Preservar recursos gracias a la administración de archivos adjuntos. La administración de archivos adjuntos entrantes constituye un método muy eficaz para reducir los recursos de servidor de correo y de filtrado que se necesitan para procesar los archivos adjuntos no deseados. Del mismo modo, también es muy importante evitar que dichos contenidos salgan por la gateway. Los appliances Symantec Mail Security Serie 8200 permiten analizar los correos electrónicos en busca de archivos adjuntos con atributos específicos, como por ejemplo una extensión o un nombre de archivo determinados, el tipo MIME, el tamaño, etc. También es posible configurar acciones específicas; por ejemplo, se pueden eliminar ciertos archivos adjuntos determinados y enviar el correo electrónico a su destinatario, poner en cuarentena todos los archivos ZIP, eliminar los archivos de imágenes, o bien filtrar y evitar la entrada de mensajes con un tamaño excesivo. Crear filtros personalizados. Un editor de filtros de contenido fácil de usar permite crear filtros personalizados de uso general a través de una interfase gráfica. Estos filtros globales instalados en las instalaciones del cliente examinan todos los elementos del mensaje y pueden usarse para reforzar el cumplimiento de las políticas de la organización. Los administradores pueden activar y desactivar filtros específicos, ver su estado de activación y establecer el orden en el que los filtros se ejecuten, todo ello con suma rapidez. No existe ninguna limitación en el número de condiciones que se pueden incluir en el filtro de contenidos. Adjuntar declinaciones de responsabilidad y anotaciones en los correos electrónicos. La función de anotación permite añadir texto y pies de página de forma automática en los correos electrónicos. En los correos electrónicos salientes, un uso común sería incluir una declinación de responsabilidad legal en cumplimiento con las políticas de la compañía. Las anotaciones también pueden utilizarse para proporcionar información al destinatario de un correo electrónico entrante que causó la activación de uno de los filtros del sistema. Funciones de correo electrónico seguro Los appliances Symantec Mail Security Serie 8200 también cuentan con otras funciones relacionadas con la seguridad. Correo electrónico seguro Para las organizaciones que desean disponer de conexiones encriptadas entre los servidores de correo, los appliances son compatibles con las conexiones encriptadas mediante TLS (transport layer security). Un administrador puede elegir si la encriptación mediante TLS se permite o es necesaria para todos los appliances presentes en la red. Si se activa TLS, es posible encriptar las conexiones desde un appliance Symantec Mail Security a otros MTA. Este modo de encriptación también puede emplearse para las contraseñas y el contenido del Centro de control. 15

18 Prevención de fraudes Los mensajes de correo electrónico fraudulentos, una variante peligrosa de los ataques de spam, son mensajes que parecen provenir del sitio Web o de la dirección de dominio de una organización y que en un principio parecen legítimos, aunque lo cierto es que no lo son. En realidad, los creadores de spam secuestran la marca de la organización para captar la atención de clientes existentes y potenciales, por lo general con el objetivo de obtener información personal (es decir, "phishing" o estafa electrónica). Tal y como se muestra en la ilustración 3 a continuación, estos tipos de ataques están aumentando. 4B millones en julio de B 2B 1B 0B Ago. Sept. Oct. Nov. Dic. Ene. Feb. March Abr. Mayo Jun. Jul. Una categoría de spam en aumento: Los mensajes de correo electrónico fraudulentos hoy en día equivalen al 5% del spam filtrado por Symantec. Ilustración 3. Número de mensajes de correo electrónico fraudulentos filtrados por Symantec Los appliances Symantec Mail Security Serie 8200 mitigan el problema del correo electrónico fraudulento y la falsificación de marcas gracias a: La compatibilidad con el marco de políticas de remitentes (SPF). Los appliances Symantec Mail Security Serie 8200 son compatibles con SPF. Con esta norma, las organizaciones publican una lista de los servidores de correo electrónico que se han autorizado en el DNS. Los administradores pueden cerrar las conexiones SMTP procedentes de remitentes cuyas direcciones IP no se correspondan con el registro adecuado de SPF. Filtros de URL antifraude. Debido a que Symantec filtra más del 15% del tráfico de correo electrónico en todo el mundo (más de millones de mensajes de correo electrónico cada mes), se encuentra en una posición privilegiada para monitorear Internet en busca de fraudes por correo electrónico dirigidos a compañías de todo el mundo. Aprovechando las ventajas que brinda esta red de detección, Symantec crea filtros antifraude y anti-phishing en el momento preciso. Estos filtros se incorporan automáticamente a la protección antispam de los appliances Symantec Mail Security Serie 8200 para garantizar que los usuarios finales no reciban estos mensajes. 16

19 Administración sencilla Con muchos productos de seguridad del correo electrónico, el trabajo administrativo necesario hace que el remedio sea peor que la enfermedad. Basados en actualizaciones automáticas de los filtros que no requieren ningún tipo de intervención, los appliances Symantec Mail Security Serie 8200 pueden funcionar con toda facilidad en el modo "sin intervención". Estos appliances poseen un nivel de flexibilidad suficiente para los administradores que deseen tener un control detallado del filtrado de mensajes y de las políticas. Este equilibrio entre sencillez y flexibilidad es posible gracias al Centro de control, una consola de administración, configuración y generación de informes basada en Web. Administración centralizada Los appliances Symantec Mail Security Serie 8200 cuentan con el Centro de control, una interfase basada en Web que centraliza todas las tareas administrativas. Éstas son las dos funciones clave del modelo de administración del Centro de control que se traducen en un importante ahorro de tiempo: Administración global. A través del Centro de control, es posible ver información sobre el estado del sistema, administrar la cuarentena, modificar parámetros para todos los exploradores y demás componentes, configurar alertas basadas en sucesos y mucho más, todo ello desde una interfase intuitiva. Administración delegada. Para equilibrar las tareas administrativas, se pueden crear cuentas adicionales de administrador, y con ello otorgarle a cada administrador el nivel deseado de derechos de administración para distintos componentes de Brightmail AntiSpam de Symantec. Por ejemplo, tal vez se prefiera delegar la administración de la cuarentena en otro administrador, quien sólo podrá ver y modificar los parámetros de la cuarentena. 17

20 Políticas de correo flexibles Distintos grupos de usuarios dentro de la organización pueden tener necesidades de filtrado particulares. La ilustración que aparece a continuación muestra un ejemplo de cómo distintos grupos necesitan una gestión muy diferente del mismo correo filtrado. Para poder asignar requisitos de correo electrónico con facilidad y precisión a usuarios individuales y a grupos, es necesario contar con un sistema de administración de políticas de correo poderoso y flexible. En esta sección se describe cómo utilizar la administración de los mensajes basada en políticas para hacerse con el control del tráfico de correo electrónico de la red y se proporciona más información acerca de los componentes básicos de las políticas de correo electrónico: la definición de grupos, la amplia variedad de acciones disponibles y las distintas categorías de correo filtrado. 18

21 Políticas de filtrado predefinidas y personalizables La política de filtrado constituye la base de la administración de correo de los appliances Symantec Mail Security Serie Las políticas de filtrado definen la acción que debe emprenderse en función del tipo de correo filtrado por los appliances Symantec Mail Security Serie En el ejemplo que aparece a continuación, se muestra una lista de políticas de filtrado para correo relacionado con virus. Cada política de filtrado puede incluir varias acciones (por ejemplo, añadir un encabezamiento al mensaje y archivar una copia del mismo) que se realizarán en el mismo conjunto de mensajes (por ejemplo, los mensajes de spam o los mensajes con virus). Una vez que se haya creado una política de filtrado general, ésta se puede asignar con facilidad a grupos definidos por usted. Definición de grupos sencilla A la hora de crear distintas políticas de correo, la identificación del usuario al que va afectar la política constituye un paso clave. Los appliances Symantec Mail Security Serie 8200 facilitan la tarea de determinar a quién se van a aplicar políticas específicas. Se pueden crear grupos mediante: La sincronización con el directorio corporativo. Si la organización almacena la información relativa a la cuenta de correo y a la lista de distribución en un directorio LDAP, los appliances Symantec Mail Security Serie 8200 pueden usar los grupos LDAP ya existentes en la organización para asignar políticas a miembros del grupo. Por ejemplo, para definir una política para el equipo de ventas, los appliances Symantec Mail Security Serie 8200 pueden realizar una consulta en su copia local del directorio empresarial para determinar cuáles son los miembros del equipo de ventas. Este método reduce el trabajo administrativo constante que supone mantener listas independientes. Gracias a que los appliances Symantec Mail Security Serie 8200 efectúan la sincronización LDAP de forma automática, cualquier actualización que se lleve a cabo en los directorios LDAP estará disponible automáticamente. Entre las funciones basadas en LDAP, también se incluyen la lista de distribución automática y la expansión de alias. La asignación manual de dominios y direcciones de correo electrónico. También se pueden asignar usuarios y grupos en función de las direcciones de correo electrónico o de los nombres de dominio (es posible utilizar caracteres comodín). Para lograr una mayor eficacia, también es posible importar los miembros de un grupo a partir de un archivo de texto. 19

22 Múltiples categorías de correo Los appliances Symantec Mail Security Serie 8200 son capaces de clasificar el correo filtrado con precisión. De este modo, se pueden definir políticas específicas en función de las distintas categorías de correo electrónico. Estas categorías se resumen en la siguiente tabla. Categoría Spam Características de los mensajes Se han identificado como mensajes de spam según filtros antispam creados por Symantec. Sospecha de spam Posible spam según el abanico de posibilidades configurado por el usuario. Correo electrónico Coincide con la consulta realizada en las listas de nombres de dominio, direcciones IP o procedente de listas de terceros especificadas en la lista de remitentes bloqueados. remitentes bloqueados Virus Mensajes de correo electrónico infectados con virus. Gusanos de envío masivo Mensajes de correo electrónico generados por ataques de gusanos de envío masivo. Mensajes de correo No se puede analizar debido a restricciones de tamaño u otras variables. electrónico no analizables Mensajes de correo electrónico filtrados por los filtros personalizados Ataque de recolección de directorios Ataque de spam Ataque de virus Coincide con los filtros de contenidos creados por el administrador. Se ha marcado porque se ha recibido una gran cantidad de mensajes infectados procedentes de una dirección IP específica. Se ha marcado porque se ha recibido una gran cantidad de mensajes de spam procedentes de una dirección IP específica. Se ha marcado porque se está produciendo un intento (mediante el envío masivo de correos electrónicos al dominio con un número muy elevado de direcciones de destinatarios generadas) de captura de direcciones de correo electrónico válidas. 20

23 Múltiples acciones Los appliances Symantec Mail Security Serie 8200 permiten elegir entre un amplio abanico de acciones, que van desde simplemente borrar el mensaje, hasta realizar marcados y anotaciones, e incluso acciones a nivel de la conexión SMTP. Para conseguir un mayor control y flexibilidad, se pueden configurar acciones compuestas. Por ejemplo, es posible marcar un mensaje que se sospecha que es spam con un texto en la línea de asunto y ponerlo en cuarentena. En la lista siguiente aparecen las acciones disponibles. Acción Definición Acción Definición Anotar Aplazar Archivar Borrar CCO Devolver el mensaje Se modifica para incluir una declinación de responsabilidad o un pie de página personalizados; a continuación, se envía al destinatario. Se copia y se envía a una única dirección de correo electrónico, para su incorporación a un sistema de archivado. Se borra. No se necesita ningún tipo de administración o gestión. Para determinar qué mensajes son spam, la función "filtrar y eliminar" aprovecha el índice de precisión del % de Symantec. Se copia y se envía a un usuario específico para su revisión. Mediante una regla del servidor, se coloca el Colocar en mensaje en una carpeta designada en la cuenta de una carpeta correo de Exchange o Domino del usuario. No es necesario que los usuarios ni los administradores creen filtros en el cliente. Eliminar el archivo adjunto Rechazo temporal que indica al servidor que envía el correo electrónico que debe volver a intentarlo más tarde. Se devuelve al remitente con un nuevo mensaje, en el que se incluye un mensaje personalizado en el que se informa de que no ha sido posible entregar el mensaje. Se remite al destinatario sin el archivo adjunto original. Entregar de forma normal Limpiar Modificar Poner en cuarentena Reenviar Se entrega de forma normal. Es útil para realizar pruebas. Aún es posible generar informes y estadísticas que reflejen el volumen. Enviar Se envía un correo electrónico con texto notificación personalizable a una dirección de correo electrónico especificada. Limitar Rechazar Disponible únicamente para los ataques identificados por el análisis de frecuencia local, esta acción "limita" o ralentiza la velocidad de conexión de fuentes que envíen correo no deseado o que participen en ataques. Esta acción reduce la cantidad de tráfico que llega a la organización, al mismo tiempo que minimiza la carga en los niveles inferiores de la red. Se limpia de virus y se entrega al destinatario. Se borran todos los gusanos. Se marca con un encabezado X o una línea de asunto configurables. Permite la creación de filtros simples en el cliente para gestionar los mensajes que Symantec haya procesado. Se envía a la cuarentena basada en Web. Proporciona información sobre el correo no deseado dirigido a la compañía. Para los usuarios finales, proporciona la tranquilidad de que no se pierde correo legítimo. Rechazo permanente del servidor que envía el correo electrónico. Se envía el mensaje a una sola cuenta administrativa para efectuar un análisis adicional. Permite que se examine la naturaleza de los mensajes de spam dirigidos a la organización mediante un cliente de correo electrónico conocido (p. Ej., Outlook). Cuarentena basada en Web La cuarentena es un área de almacenamiento opcional para los mensajes filtrados por los appliances Symantec Mail Security Serie A través de un navegador web normal, los usuarios pueden iniciar una sesión y revisar los mensajes de spam que el software de Symantec ha puesto en cuarentena. Los administradores pueden acceder a la cuarentena y configurar sus parámetros desde el Centro de control. 21

24 La cuarentena puede constituir una parte importante de la política de administración del correo. Las organizaciones que cuentan con el área de cuarentena gozan de las ventajas siguientes: Mayor confianza de los usuarios. La visualización del spam capturado en la cuarentena central muestra a los usuarios la eficacia de las medidas de filtrado. Al principio, los usuarios finales prefieren ver los mensajes que han sido filtrados para asegurarse de que no hayan perdido correo electrónico legítimo. A medida que se familiarizan con la precisión del producto, llegan a estar seguros de que el correo legítimo rara vez se pone en cuarentena, si es que ello alguna vez llega a suceder. En caso de que se produzca un falso positivo, o bien si los usuarios alguna vez decidieran conservar un mensaje, pueden recuperarlo con unos pocos clics. Administración centralizada y sencilla. Después de la personalización inicial, que incluye especificar el período de retención de mensajes y otros parámetros, no es necesario administrar la cuarentena. En el caso de que se produzcan falsos positivos, si bien se pueden examinar los envíos de falsos positivos, no se necesita intervención para enviar la información necesaria a Symantec para añadir mejoras a los filtros. Cargas reducidas en los servidores de correo internos. Los recursos utilizados para la entrega de correo en los niveles inferiores de la red, para el almacenamiento y para el tráfico de red interno disminuyen, ya que el spam en cuarentena se detiene antes de que alcance los servidores de correo. Notificación automática para los usuarios. Aunque los usuarios pueden acceder a su cuarentena personal en cualquier momento, se puede configurar la cuarentena de modo que envíe resúmenes de correo electrónico a intervalos específicos. En estos resúmenes se enumeran los nuevos mensajes de spam que han entrado en cuarentena. Los destinatarios del resumen de cuarentena pueden hacer clic en hipervínculos seguros para liberar o visualizar los mensajes de spam de forma inmediata, sin tener que iniciar una sesión. Esta función de notificación permite que los usuarios gestionen el correo no deseado con rapidez y eficacia, en lugar de tener que ocuparse de él cada día o cada hora. Correo electrónico de notificación Liberar mensajes directamente desde el correo electrónico Ir directamente a la cuarentena del usuario final Resumen de cuarentena para juan@suempresa.com Hay 173 mensajes nuevos en su cuarentena de spam desde que recibió el último resumen de cuarentena de spam. Estos mensajes se borrarán automáticamente al cabo de 7 días. Para examinar el texto completo de estos mensajes, vaya a =================MENSAJES EN CUARENTENA NUEVOS================= De Asunto Fecha Liberar Ver Michael McGee Service Provider Weekly - Get 13 Full Pa... Jue, Liberar Ver The Memory Place Memory Price Update for CustomerID:24... Jue, Liberar Ver Tameka Floyd (ninguno) Jue, Liberar Ver Discountbiz Corporate Travel Planners, Read All Abou... Jue, Liberar Ver DVD Copying Software Copies Everything - Easy Download or Dis.. Jue, 22