soluzioni per la sicurezza della posta elettronica microsoft antigen
TRANSCRIPT
Soluzioni per la sicurezza della posta Soluzioni per la sicurezza della posta elettronicaelettronica
Microsoft AntigenMicrosoft Antigen
AgendaAgenda
Panoramica delle soluzioni AntigenPanoramica delle soluzioni AntigenFunzionalità AntivirusFunzionalità Antivirus
Gestione dei motori AntivirusGestione dei motori AntivirusFiltri su file, contenuti email, virus, wormFiltri su file, contenuti email, virus, worm
Funzionalità Anti-spamFunzionalità Anti-spamSpamCureSpamCureIntegrazione con Exchange e OutlookIntegrazione con Exchange e Outlook
Gesione dell’infrastrutturaGesione dell’infrastrutturaAggiornamenti centralizzatiAggiornamenti centralizzatiMonitoring e ReportingMonitoring e Reporting
Soluzioni AntigenSoluzioni Antigen
Live Live Communications Communications
ServerServer
SharePoint SharePoint ServerServer
Exchange ServerExchange Server
ISA ISA ServerServer
Windows SMTP Windows SMTP ServerServer
VirusVirus
WormWorm
SpamSpam
Ferma i virus fuori dalla rete, utilizzando ISA Server e il componente Ferma i virus fuori dalla rete, utilizzando ISA Server e il componente per Gateway SMTPper Gateway SMTPProtegge i server Exchange 5.5, 2000, e 2003 dai Virus e offre Protegge i server Exchange 5.5, 2000, e 2003 dai Virus e offre funzionalità di content filteringfunzionalità di content filteringRiduce lo SPAM su ISA Server, Exchange e sui servizi SMTP di Riduce lo SPAM su ISA Server, Exchange e sui servizi SMTP di Windows, utilizzando il componente opzionale Advanced Spam Windows, utilizzando il componente opzionale Advanced Spam ManagerManager
Protegge Live Communications Server 2005 con un sistema Protegge Live Communications Server 2005 con un sistema antivirus e la scansione dei contenuti dei files e delle antivirus e la scansione dei contenuti dei files e delle comunicazionicomunicazioni
Protegge le document libraries di SharePoint da virus e da Protegge le document libraries di SharePoint da virus e da contenuti non autorizzaticontenuti non autorizzati
IM e DocumentiIM e Documenti
E-E-mailmail
Difesa aDifesa a
più più livellilivelli
Ottimizzazione Ottimizzazione
delle risorsedelle risorseControlloControllo
contenuticontenuti
Obiettivi di AntigenObiettivi di Antigen
Assicurare la protezione dai più recenti Assicurare la protezione dai più recenti pericolipericoli
Ridurre il carico di lavoro sui server Ridurre il carico di lavoro sui server Exchange riducendo i tempi di attesaExchange riducendo i tempi di attesa
Fornire una soluzione integrata con Fornire una soluzione integrata con funzionalità antivirus/anti-spam/content funzionalità antivirus/anti-spam/content filteringfiltering
Fornire strumenti di alert e gestione per gli Fornire strumenti di alert e gestione per gli amministratoriamministratori
ExchangeExchange ExchangeExchangeExchangeExchange
VirusVirusWormWormSpamSpam
Approcci differenti al problemaApprocci differenti al problema
ISA ServerISA Server Windows SMTP ServerWindows SMTP Server
InternetInternet
AVAV
AVAVAVAVAVAV
AVAV
AVAV
AVAV
AVAV
Antivirus di più VendorAntivirus di più Vendor• Tecnologie e motori di scansione Tecnologie e motori di scansione differenti sulle piattaforme client e differenti sulle piattaforme client e serverserver
• Alti costi di acquisto e Alti costi di acquisto e manutenzionemanutenzione
• Complessità nel filtrare i Complessità nel filtrare i contenuti delle emailcontenuti delle email
Problema:Problema: Gestione/CostiGestione/Costi
ExchangeExchange ExchangeExchangeExchangeExchange
VirusVirusWormWormSpamSpam
Approcci differenti al problemaApprocci differenti al problema
ISA ServerISA Server Windows SMTP ServerWindows SMTP Server
InternetInternet
AVAV
AVAVAVAVAVAV
AVAV
AVAVAVAV
AVAV
Antivirus di un unico VendorAntivirus di un unico Vendor• Stesse tecnologie, motore di scansione Stesse tecnologie, motore di scansione e signature su tutte le piattaforme, client e signature su tutte le piattaforme, client e servere server
• Si dipende da un unico laboratorio Si dipende da un unico laboratorio per avere gli aggiornamentiper avere gli aggiornamenti
• Ritardi durante l’aggiornamento dei Ritardi durante l’aggiornamento dei server mission critical (ad es. server mission critical (ad es. Exchange)Exchange)
Problema:Problema: Single Point of FailureSingle Point of Failure
Gestione di Motori Antivirus Gestione di Motori Antivirus multiplimultipli
InternetInternet
Exchange Server/Exchange Server/Windows SMTP ServerWindows SMTP Server
AVAVAVAV
AVAVAVAV
Antivirus
Antispam
Policy
GestioneCentralizz.
Un solo vendor, ma con più tecnologie Un solo vendor, ma con più tecnologie antivirusantivirus
Motori AV Partner di Motori AV Partner di AntigenAntigenInclusi in Antigen:Inclusi in Antigen: Opzionali a Opzionali a
pagamentopagamento
(2)(2)
Disponibile a breve: MS AntivirusDisponibile a breve: MS Antivirus
Gestione dei motori AntiVirus:Gestione dei motori AntiVirus:Antigen Bias SettingsAntigen Bias Settings
Motore AV 1Motore AV 1
Motore AV 4Motore AV 4
Motore AV 2Motore AV 2
Motore AV 3Motore AV 3
Max Certainty:Max Certainty: utilizza tutti i motori AV (100%)utilizza tutti i motori AV (100%) Favor Certainty: utilizza il 75% dei motori AV disponibili Favor Certainty: utilizza il 75% dei motori AV disponibili Neutral: usa circa il 50% dei motori AV disponibili Neutral: usa circa il 50% dei motori AV disponibili Favor Performance: uses 25% dei motori AV disponibiliFavor Performance: uses 25% dei motori AV disponibiliMax Performance: utilizza un solo motore per ogni scansioneMax Performance: utilizza un solo motore per ogni scansione
* I motori antivirus utilizzati * I motori antivirus utilizzati non sono sempre gli stessi. non sono sempre gli stessi. Sono scelti dinamicamente tra Sono scelti dinamicamente tra quelli disponibili.quelli disponibili.
Motore AV 4Motore AV 4
Motore AV 2Motore AV 2
Gestione dei motori AntiVirus:Gestione dei motori AntiVirus:Antigen Bias SettingsAntigen Bias Settings
* I motori antivirus utilizzati * I motori antivirus utilizzati non sono sempre gli stessi. non sono sempre gli stessi. Sono scelti dinamicamente tra Sono scelti dinamicamente tra quelli disponibili.quelli disponibili.
Max Certainty: utilizza tutti i motori AV (100%) Max Certainty: utilizza tutti i motori AV (100%) Favor Certainty: utilizza il 75% dei motori AV disponibili Favor Certainty: utilizza il 75% dei motori AV disponibili
Neutral: usa circa il 50% dei motori AV disponibiliNeutral: usa circa il 50% dei motori AV disponibiliFavor Performance: uses 25% dei motori AV disponibiliFavor Performance: uses 25% dei motori AV disponibiliMax Performance: utilizza un solo motore per ogni scansioneMax Performance: utilizza un solo motore per ogni scansione
Scansione: PerformanceScansione: Performance
Viene effettuata nello Stack SMTP e Viene effettuata nello Stack SMTP e all’ingresso dello Store Exchangeall’ingresso dello Store Exchange
SMTP: SMTP: Max Certainty biasMax Certainty bias per fornire la più alta per fornire la più alta protezione possibileprotezione possibile
Store Exchange: Store Exchange: Neutral biasNeutral bias per bilanciare per bilanciare sicurezza e performance sicurezza e performance > REALTIME> REALTIME
““In-memory scanning”In-memory scanning”L’allocazione dinamica della memoria aumenta L’allocazione dinamica della memoria aumenta l’efficenza del serverl’efficenza del server
Elimina la necessità fare spooling su discoElimina la necessità fare spooling su disco
È possibile aumentare il numero dei thread È possibile aumentare il numero dei thread attiviattivi
Scansione SMTPScansione SMTPServizio SMTP WindowsServizio SMTP Windows
Antigen TransportEvent Sink:
Scansione contenuto email
Antigen ProtocolEvent Sink:
Controllo connessioni autenticate
Scansione Store Exchange Scansione Store Exchange Uso delle VirusScanningAPI 2.5Uso delle VirusScanningAPI 2.5
Antigen Realtime ScanAntigen Realtime ScanEsegue la scansione delle email prima Esegue la scansione delle email prima della loro aperturadella loro apertura
La scansione avviene all’arrivo La scansione avviene all’arrivo dell’email, oppure la prima volta che dell’email, oppure la prima volta che viene aperta viene aperta
Queue dinamica a prioritàQueue dinamica a priorità
Sfrutta la VSAPI Proactive ScanSfrutta la VSAPI Proactive Scan
È possibile modificare il numero di È possibile modificare il numero di thread attivi contemporaneamentethread attivi contemporaneamente
Scansione Store Exchange Scansione Store Exchange Uso delle VirusScanningAPI 2.5Uso delle VirusScanningAPI 2.5
Antigen Background ScanningAntigen Background ScanningDisattivata di defaultDisattivata di defaultPermette di eseguire la scansione diPermette di eseguire la scansione di
Singola MailboxSingola MailboxGruppi di MailboxGruppi di MailboxIntero Storage ExchangeIntero Storage Exchange
Opzioni possibili:Opzioni possibili:Scansione manualeScansione manualeScansione schedulataScansione schedulataScansione ripetuta ad ogni update dei Scansione ripetuta ad ogni update dei motori AVmotori AV
Sfrutta le VSAPI per il Background ScanSfrutta le VSAPI per il Background Scan
DemoDemo
Scan Options, AntiVirus Engines, Scan Options, AntiVirus Engines, General OptionsGeneral Options
Rimozione dei Worm Rimozione dei Worm Elimina i messaggi che contengono wormElimina i messaggi che contengono worm
Utilizza la Utilizza la Microsoft Worm ListMicrosoft Worm List (wormprge.dat) (wormprge.dat)Nè destinatario nè mittente ricevono nullaNè destinatario nè mittente ricevono nulla
Inutile tenere in quarantena messaggi con Inutile tenere in quarantena messaggi con wormworm
Niente di utile nel messaggioNiente di utile nel messaggioRiduzione delle risorse necessarie a gestire i Riduzione delle risorse necessarie a gestire i messaggimessaggi
Creazione lista worm personalizzataCreazione lista worm personalizzataProtezione proattiva Protezione proattiva Uso di filtri sui files (dimensione, tipo, estensione, Uso di filtri sui files (dimensione, tipo, estensione, etc.)etc.)
Filtri su contenuto mail e Filtri su contenuto mail e filesfilesFiltro sul contenuto delle emailFiltro sul contenuto delle email
Ricerca di Ricerca di parole chiaveparole chiave nel testo del nel testo del messaggiomessaggio
Filtro sugli allegatiFiltro sugli allegatiBlocco sulle Blocco sulle estensioniestensioni
Analisi del Analisi del contenuto binariocontenuto binario del file del file
I file ZIP vengono aperti e richiusi, solo i I file ZIP vengono aperti e richiusi, solo i file bloccati vengono eliminatifile bloccati vengono eliminati
Creazione di liste di esclusione Creazione di liste di esclusione ((whitelistingwhitelisting))
Antigen blocca i files basandosi sull’estensione o sul Antigen blocca i files basandosi sull’estensione o sul contenuto binariocontenuto binario
Non è possibile bypassare il motore AV semplicemente Non è possibile bypassare il motore AV semplicemente cambiando l’estensione del filecambiando l’estensione del file
Filtri flessibili basati su estensione e/o contenutoFiltri flessibili basati su estensione e/o contenuto
Blocco di ogni file Blocco di ogni file eseguibile, qualsiasi sia eseguibile, qualsiasi sia l’estensionel’estensione
Blocco di tutti i files Blocco di tutti i files *.exe*.exe
Filtri sui filesFiltri sui filesConfigurazione dei filtriConfigurazione dei filtri
Sequenza delle operazioniSequenza delle operazioni
Filtro Filtro AntispamAntispam
Filtro sui Filtro sui ContenutiContenuti
Scansione Scansione AllegatiAllegati
Scansione Scansione Corpo mailCorpo mail
• Verifica whitelist
• Scansione Spam
• Filtri RBL
• Filtro Mittenti/Domini
• Filtro sul campo Oggetto della mail
File normali:
• Scansione AntiWorm
• Filtro sui nomi dei file
• Scansione AntiVirus
Archivi/.zip Files:
• Filtro sui nomi dei file
• Esplorazione dell’archivio
• Filtro su parole chiave
• Scansione AntiVirus
DemoDemo
Content, Keyword e File Filtering, Content, Keyword e File Filtering, WhitelistingWhitelisting
Filtro AntiSpamFiltro AntiSpam
Advanced Spam Manager è disponibile Advanced Spam Manager è disponibile come opzione separatacome opzione separata
Utilizza il motore Utilizza il motore SpamCureSpamCure di Mail- di Mail-FiltersFilters
Basato su signature create ad-hoc da Basato su signature create ad-hoc da operatorioperatori
Lavora insieme all’Lavora insieme all’Intelligent Message Intelligent Message FilterFilter di Exchange di Exchange
Basato su analisi euristicheBasato su analisi euristiche
Scansione real-timeScansione real-time
Metodi di rilevazione Spam Metodi di rilevazione Spam
Motore Motore SpamCure SpamCure di Mail-Filters:di Mail-Filters:Strumento principale, molto efficaceStrumento principale, molto efficace
Liste RBLListe RBLListe multiple, appoggiate a servizi di terze partiListe multiple, appoggiate a servizi di terze parti
FiltriFiltri sul server Mail sul server MailMittente, dominio, indirizzo IPMittente, dominio, indirizzo IP
Liste personalizzateListe personalizzate di allow/block di allow/block
Parole chiaveParole chiave nella mail nella mailutilizzate soprattutto per la gestione di regole, utilizzate soprattutto per la gestione di regole, meno utili per l’Antispammeno utili per l’Antispam
Motore SpamCureMotore SpamCure
StarEngine – Spam Tricks Analysis and StarEngine – Spam Tricks Analysis and Response Response
Vengono neutralizzati i trucchi degli spammerVengono neutralizzati i trucchi degli spammer
Il messaggio reale è verificato con le signature Il messaggio reale è verificato con le signature antispamantispam
Signature:Signature:Basate su caratteristiche specifiche del Basate su caratteristiche specifiche del messaggiomessaggio
Identificano lo Spammer, non il singolo messaggioIdentificano lo Spammer, non il singolo messaggio
Alta percentuale di messaggi identificatiAlta percentuale di messaggi identificatiFalsi positivi ridotti, l’approccio basato su Falsi positivi ridotti, l’approccio basato su signature garantisce grande accuratezzasignature garantisce grande accuratezza
www.contoso.com<random-comments>www.con to so.com<comments>
Antigen ASM e Exchange Antigen ASM e Exchange IMFIMF
Sullo stesso server, Sullo stesso server, IMF esegue la scansione prima IMF esegue la scansione prima di ASMdi ASM
Entrambi applicano un rating SCL Entrambi applicano un rating SCL Quello più alto vince, indica una confidenza maggioreQuello più alto vince, indica una confidenza maggiore
La mail che è rifiutata, cancellata o archiviata da IMF La mail che è rifiutata, cancellata o archiviata da IMF non raggiunge ASMnon raggiunge ASM
Ad esempio, IMF archivia di default i rating SCL 7,8 e 9Ad esempio, IMF archivia di default i rating SCL 7,8 e 9ASM
Spam: 9
IMF SCL 0-
6
IMF Scan
ASM Scan
Archive Folder
Pickup Folder
Se l’Admin sposta il
messaggio
SCL 7,8,9
Inbox
Junk E-Mail
Mail Store
Gestione SPAMGestione SPAMCartella Junk Mail di ASMCartella Junk Mail di ASM
È possibile creare un folder gestito da Antigen È possibile creare un folder gestito da Antigen per ciascun utente dove viene rediretto lo per ciascun utente dove viene rediretto lo SPAMSPAM
Ogni utente ha strumenti di Block & ApproveOgni utente ha strumenti di Block & Approve
Supporta Exchange 5.5, 2000 e 2003Supporta Exchange 5.5, 2000 e 2003
Cartella Junk Mail di Exchange Cartella Junk Mail di Exchange 2003/Outlook2003/Outlook
Supporto per l’Intelligent Message FilterSupporto per l’Intelligent Message Filter
Supporto per il rating SCL, Supporto per il rating SCL, ASM applica solo due rating SCL: ASM applica solo due rating SCL:
Spam = 9Spam = 9
Non spam = Viene applicato il rating di ExchangeNon spam = Viene applicato il rating di Exchange
DemoDemo
Anti Spam, MailHost Filtering, Quick Anti Spam, MailHost Filtering, Quick ScanScan
Antigen Rapid UpdateAntigen Rapid Update
Sistema di aggiornamento rapido Sistema di aggiornamento rapido automatizzatoautomatizzato
Verifica il sito di ciascun Vendor alla Verifica il sito di ciascun Vendor alla ricerca di signature/motori AV aggiornatiricerca di signature/motori AV aggiornati
Scarica gli aggiornamentiScarica gli aggiornamenti
Estrae gli aggiornamenti dal package Estrae gli aggiornamenti dal package originaleoriginale
Crea un nuovo package “Antigen Engine Crea un nuovo package “Antigen Engine Update”Update”
Esegue test di verifica sul database dei Esegue test di verifica sul database dei VirusVirus
Salva il nuovo package in un sito Salva il nuovo package in un sito Microsoft sicuroMicrosoft sicuro
Aggiornamento dei motori Aggiornamento dei motori localilocali
Tutti gli aggiornamenti vengono scaricati Tutti gli aggiornamenti vengono scaricati direttamente dal sito Microsoft, e non dai singoli direttamente dal sito Microsoft, e non dai singoli VendorVendor
Antigen verifica se ci sono aggiornamenti Antigen verifica se ci sono aggiornamenti disponibilidisponibili
Intervallo di polling configurabileIntervallo di polling configurabileE’ possibile forzare l’aggiornamentoE’ possibile forzare l’aggiornamento
Metodologia di aggiornamento unificata per tutti i Metodologia di aggiornamento unificata per tutti i motori Antivirus/Antispammotori Antivirus/Antispam
Gli aggiornamenti vengono scaricatiGli aggiornamenti vengono scaricatiIl package viene aperto e verificatoIl package viene aperto e verificatoIl motore AV corrente viene disattivatoIl motore AV corrente viene disattivatoIl nuovo motore/l’aggiornamento viene installatoIl nuovo motore/l’aggiornamento viene installatoIl nuovo motore AV viene attivatoIl nuovo motore AV viene attivato
Aggiornamento via AEMAggiornamento via AEM
Antigen Enterprise Manager (AEM) permette Antigen Enterprise Manager (AEM) permette di scaricare e distribuire nella rete interna i di scaricare e distribuire nella rete interna i package di aggiornamentopackage di aggiornamento
Metodo consigliato nel caso esistano più server Metodo consigliato nel caso esistano più server AntigenAntigen
La configurazione della frequenza di La configurazione della frequenza di aggiornamento avviene nel server AEMaggiornamento avviene nel server AEM
Riduce il carico di lavoro sui server criticiRiduce il carico di lavoro sui server critici
Server Antigen Enterprise Manager
Server Microsoft
Server Antigen
Server Antigen
Agent AEMHTTP or FTPHTTP or FTP
Monitoring e ReportingMonitoring e Reporting
AEM analizza i trend sui virus trovati AEM analizza i trend sui virus trovati e l’efficacia di Atigen nel combatterlie l’efficacia di Atigen nel combatterli
Dati memorizziati in un database SQL Dati memorizziati in un database SQL Server o MSDEServer o MSDE
Fornisce il monitoring centralizzato Fornisce il monitoring centralizzato dei serverdei server
Singolo server, gruppi di server, aziendaSingolo server, gruppi di server, azienda
Configurazione Alert (SMTP/SNMP traps)Configurazione Alert (SMTP/SNMP traps)
Mancato avvio dei motori AVMancato avvio dei motori AV
Livelli soglia su virus, spam e filtriLivelli soglia su virus, spam e filtri
Monitoring e ReportingMonitoring e Reporting
I report includono:I report includono:I Top X Virus trovatiI Top X Virus trovati
Report sugli aggiornameti dei motori AV Report sugli aggiornameti dei motori AV e sulla loro versionee sulla loro versione
Report di Report di trafficotraffico
Report su Report su spam, virus, spam, virus, contenuti e file contenuti e file filtratifiltrati
Integrazione con MOM Integrazione con MOM Antigen Management Pack per MOM Antigen Management Pack per MOM 20052005
Funzionalità principali:Funzionalità principali:Attivare gli aggiornamenti dei motori AVAttivare gli aggiornamenti dei motori AV
Centralizzare le licenze e la loro Centralizzare le licenze e la loro distribuzionedistribuzione
Importare, esportare e applicare i Importare, esportare e applicare i parametri chiave di configurazioneparametri chiave di configurazione
Pianificare e avviare le scansioni Pianificare e avviare le scansioni manuali degli storagemanuali degli storage
Fermare/Avviare i servizi AntigenFermare/Avviare i servizi Antigen
Integrazione con MOM Integrazione con MOM Antigen Management Pack per MOM Antigen Management Pack per MOM 20052005
Più di 100 Eventi, Performance Più di 100 Eventi, Performance Counters e Servizi monitoratiCounters e Servizi monitorati
Analisi dello stato di Antigen e dei Analisi dello stato di Antigen e dei componenti chiavecomponenti chiave
Polling di 5 servizi Antigen per Polling di 5 servizi Antigen per monitorare la funzionalità dei procesi monitorare la funzionalità dei procesi criticicritici
Raccolta dati statistici su scansioni, Raccolta dati statistici su scansioni, rilevazioni e rimozioni di rilevazioni e rimozioni di messaggi/allegatimessaggi/allegati
Obiettivi di AntigenObiettivi di Antigen
Assicurare la protezione dai più recenti Assicurare la protezione dai più recenti pericoli: Virus, Worm, Spampericoli: Virus, Worm, Spam
Più motori di scansione, aggiornamento Più motori di scansione, aggiornamento automaticoautomatico
Ridurre il carico di lavoro sui server Ridurre il carico di lavoro sui server Exchange riducendo i tempi di attesaExchange riducendo i tempi di attesa
Configurazione Bias, Scansione in memoriaConfigurazione Bias, Scansione in memoria
Fornire una soluzione integrata con Fornire una soluzione integrata con funzionalità antivirus/anti-spam/content funzionalità antivirus/anti-spam/content filteringfiltering
Integrazione Antigen/ASM/IMFIntegrazione Antigen/ASM/IMF
Fornire strumenti di alert e gestione per gli Fornire strumenti di alert e gestione per gli amministratoriamministratori
AEM and MOMAEM and MOM
© 2006 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.