Microsoft Antigen Soluzioni per la sicurezza della posta elettronica Agenda Panoramica delle soluzioni Antigen Funzionalità Antivirus Gestione dei motori Antivirus Filtri su file, contenuti email, virus, worm Funzionalità Anti-spam SpamCure Integrazione con Exchange e Outlook Gesione dell’infrastruttura Aggiornamenti centralizzati Monitoring e Reporting Soluzioni Antigen IM e Documenti Live Communications Server Virus Worm Spam SharePoint Server E-mail ISA Server Windows SMTP Server Exchange Server Difesa a Ottimizzazione Controllo i server Exchange 5.5, 2000, e 2003 dai Virus e offre Protegge Live Communications Server 2005 con un sistema antivirus e Riduce lo le SPAM document su ISA libraries Server, di Exchange SharePoint e sui da servizi virus e SMTP da contenuti di Windows, Ferma i virus fuori dalla rete, utilizzando ISA Server e il componente per più livelli funzionalità content filtering risorse la scansione dei contenuti deidelle files eAdvanced delle comunicazioni non utilizzando autorizzati ildicomponente opzionale Spam Manager Gateway SMTP contenuti Obiettivi di Antigen Assicurare la protezione dai più recenti pericoli Ridurre il carico di lavoro sui server Exchange riducendo i tempi di attesa Fornire una soluzione integrata con funzionalità antivirus/anti-spam/content filtering Fornire strumenti di alert e gestione per gli amministratori Approcci differenti al problema Internet Antivirus di più Vendor Virus Worm Spam • Tecnologie e motori di scansione differenti sulle piattaforme client e server AV AV ISA Server Windows SMTP Server AV AV Exchange AV Exchange • Alti costi di acquisto e manutenzione • Complessità nel filtrare i contenuti delle email Exchange AV Problema: Gestione/Costi AV AV Approcci differenti al problema Internet Antivirus di un unico Vendor Virus Worm Spam • Stesse tecnologie, motore di scansione e signature su tutte le piattaforme, client e server AV AV ISA Server Windows SMTP Server AV AV Exchange AV Exchange Exchange AV • Si dipende da un unico laboratorio per avere gli aggiornamenti • Ritardi durante l’aggiornamento dei server mission critical (ad es. Exchange) Problema: Single Point of Failure AV AV Gestione di Motori Antivirus multipli Un solo vendor, ma con più tecnologie antivirus AV Internet AV AV AV Exchange Server/ Windows SMTP Server Gestione Centralizz. Antivirus Antispam Policy Motori AV Partner di Antigen Inclusi in Antigen: Opzionali a pagamento (2) Disponibile a breve: MS Antivirus Gestione dei motori AntiVirus: Antigen Bias Settings Motore AV 2 Motore AV 3 Motore AV 1 * I motori antivirus utilizzati non sono sempre gli stessi. Sono scelti dinamicamente tra quelli disponibili. Motore AV 4 Max Certainty: utilizza tutti i motori AV (100%) Favor Certainty: utilizza il 75% dei motori AV disponibili Neutral: usa circa il 50% dei motori AV disponibili Favor Performance: uses 25% dei motori AV disponibili Max Performance: utilizza un solo motore per ogni scansione Gestione dei motori AntiVirus: Antigen Bias Settings Motore AV 2 * I motori antivirus utilizzati non sono sempre gli stessi. Sono scelti dinamicamente tra quelli disponibili. Motore AV 4 Max Certainty: utilizza tutti i motori AV (100%) Favor Certainty: utilizza il 75% dei motori AV disponibili Neutral: usa circa il 50% dei motori AV disponibili Favor Performance: uses 25% dei motori AV disponibili Max Performance: utilizza un solo motore per ogni scansione Scansione: Performance Viene effettuata nello Stack SMTP e all’ingresso dello Store Exchange SMTP: Max Certainty bias per fornire la più alta protezione possibile Store Exchange: Neutral bias per bilanciare sicurezza e performance > REALTIME “In-memory scanning” L’allocazione dinamica della memoria aumenta l’efficenza del server Elimina la necessità fare spooling su disco È possibile aumentare il numero dei thread attivi Scansione SMTP Servizio SMTP Windows Antigen Protocol Event Sink: Controllo connessioni autenticate Antigen Transport Event Sink: Scansione contenuto email Scansione Store Exchange Uso delle VirusScanningAPI 2.5 Antigen Realtime Scan Esegue la scansione delle email prima della loro apertura La scansione avviene all’arrivo dell’email, oppure la prima volta che viene aperta Queue dinamica a priorità Sfrutta la VSAPI Proactive Scan È possibile modificare il numero di thread attivi contemporaneamente Scansione Store Exchange Uso delle VirusScanningAPI 2.5 Antigen Background Scanning Disattivata di default Permette di eseguire la scansione di Singola Mailbox Gruppi di Mailbox Intero Storage Exchange Opzioni possibili: Scansione manuale Scansione schedulata Scansione ripetuta ad ogni update dei motori AV Sfrutta le VSAPI per il Background Scan Demo Scan Options, AntiVirus Engines, General Options Rimozione dei Worm Elimina i messaggi che contengono worm Utilizza la Microsoft Worm List (wormprge.dat) Nè destinatario nè mittente ricevono nulla Inutile tenere in quarantena messaggi con worm Niente di utile nel messaggio Riduzione delle risorse necessarie a gestire i messaggi Creazione lista worm personalizzata Protezione proattiva Uso di filtri sui files (dimensione, tipo, estensione, etc.) Filtri su contenuto mail e files Filtro sul contenuto delle email Ricerca di parole chiave nel testo del messaggio Filtro sugli allegati Blocco sulle estensioni Analisi del contenuto binario del file I file ZIP vengono aperti e richiusi, solo i file bloccati vengono eliminati Creazione di liste di esclusione (whitelisting) Filtri sui files Configurazione dei filtri Antigen blocca i files basandosi sull’estensione o sul contenuto binario Non è possibile bypassare il motore AV semplicemente cambiando l’estensione del file Filtri flessibili basati su estensione e/o contenuto Blocco di tutti i files *.exe Blocco di ogni file eseguibile, qualsiasi sia l’estensione Sequenza delle operazioni Filtro Antispam • Verifica whitelist • Scansione Spam • Filtri RBL Filtro sui Contenuti Scansione Allegati Scansione Corpo mail • Filtro Mittenti/Domini File normali: • Scansione AntiWorm • Filtro sul campo Oggetto della mail • Filtro su parole chiave • Filtro sui nomi dei file • Scansione AntiVirus • Scansione AntiVirus Archivi/.zip Files: • Filtro sui nomi dei file • Esplorazione dell’archivio Demo Content, Keyword e File Filtering, Whitelisting Filtro AntiSpam Advanced Spam Manager è disponibile come opzione separata Utilizza il motore SpamCure di Mail-Filters Basato su signature create ad-hoc da operatori Lavora insieme all’Intelligent Message Filter di Exchange Basato su analisi euristiche Scansione real-time Metodi di rilevazione Spam Motore SpamCure di Mail-Filters: Strumento principale, molto efficace Liste RBL Liste multiple, appoggiate a servizi di terze parti Filtri sul server Mail Mittente, dominio, indirizzo IP Liste personalizzate di allow/block Parole chiave nella mail utilizzate soprattutto per la gestione di regole, meno utili per l’Antispam Motore SpamCure StarEngine – Spam Tricks Analysis and Response Vengono neutralizzati i trucchi degli spammer www.con<random-comments> www.contoso.com to <comments> so.com Il messaggio reale è verificato con le signature antispam Signature: Basate su caratteristiche specifiche del messaggio Identificano lo Spammer, non il singolo messaggio Alta percentuale di messaggi identificati Falsi positivi ridotti, l’approccio basato su signature garantisce grande accuratezza Antigen ASM e Exchange IMF Sullo stesso server, IMF esegue la scansione prima di ASM Entrambi applicano un rating SCL Quello più alto vince, indica una confidenza maggiore La mail che è rifiutata, cancellata o archiviata da IMF non raggiunge ASM Ad esempio, IMF archivia di default i rating SCL 7,8 e 9 IMF Scan ASM Scan ASM Spam: 9 Mail Store IMF SCL 0-6 SCL 7,8,9 Archive Folder Pickup Folder Se l’Admin sposta il messaggio Junk EMail Inbox Gestione SPAM Cartella Junk Mail di ASM È possibile creare un folder gestito da Antigen per ciascun utente dove viene rediretto lo SPAM Ogni utente ha strumenti di Block & Approve Supporta Exchange 5.5, 2000 e 2003 Cartella Junk Mail di Exchange 2003/Outlook Supporto per l’Intelligent Message Filter Supporto per il rating SCL, ASM applica solo due rating SCL: Spam = 9 Non spam = Viene applicato il rating di Exchange Demo Anti Spam, MailHost Filtering, Quick Scan Antigen Rapid Update Sistema di aggiornamento rapido automatizzato Verifica il sito di ciascun Vendor alla ricerca di signature/motori AV aggiornati Scarica gli aggiornamenti Estrae gli aggiornamenti dal package originale Crea un nuovo package “Antigen Engine Update” Esegue test di verifica sul database dei Virus Salva il nuovo package in un sito Microsoft sicuro Aggiornamento dei motori locali Tutti gli aggiornamenti vengono scaricati direttamente dal sito Microsoft, e non dai singoli Vendor Antigen verifica se ci sono aggiornamenti disponibili Intervallo di polling configurabile E’ possibile forzare l’aggiornamento Metodologia di aggiornamento unificata per tutti i motori Antivirus/Antispam Gli aggiornamenti vengono scaricati Il package viene aperto e verificato Il motore AV corrente viene disattivato Il nuovo motore/l’aggiornamento viene installato Il nuovo motore AV viene attivato Aggiornamento via AEM Antigen Enterprise Manager (AEM) permette di scaricare e distribuire nella rete interna i package di aggiornamento Metodo consigliato nel caso esistano più server Antigen La configurazione della frequenza di aggiornamento avviene nel server AEM Riduce il carico di lavoro sui server critici Server Microsoft HTTP or FTP Agent AEM Server Antigen Server Antigen Enterprise Manager Server Antigen Monitoring e Reporting AEM analizza i trend sui virus trovati e l’efficacia di Atigen nel combatterli Dati memorizziati in un database SQL Server o MSDE Fornisce il monitoring centralizzato dei server Singolo server, gruppi di server, azienda Configurazione Alert (SMTP/SNMP traps) Mancato avvio dei motori AV Livelli soglia su virus, spam e filtri Monitoring e Reporting I report includono: I Top X Virus trovati Report sugli aggiornameti dei motori AV e sulla loro versione Report di traffico Report su spam, virus, contenuti e file filtrati Integrazione con MOM Antigen Management Pack per MOM 2005 Funzionalità principali: Attivare gli aggiornamenti dei motori AV Centralizzare le licenze e la loro distribuzione Importare, esportare e applicare i parametri chiave di configurazione Pianificare e avviare le scansioni manuali degli storage Fermare/Avviare i servizi Antigen Integrazione con MOM Antigen Management Pack per MOM 2005 Più di 100 Eventi, Performance Counters e Servizi monitorati Analisi dello stato di Antigen e dei componenti chiave Polling di 5 servizi Antigen per monitorare la funzionalità dei procesi critici Raccolta dati statistici su scansioni, rilevazioni e rimozioni di messaggi/allegati Obiettivi di Antigen Assicurare la protezione dai più recenti pericoli: Virus, Worm, Spam Più motori di scansione, aggiornamento automatico Ridurre il carico di lavoro sui server Exchange riducendo i tempi di attesa Configurazione Bias, Scansione in memoria Fornire una soluzione integrata con funzionalità antivirus/anti-spam/content filtering Integrazione Antigen/ASM/IMF Fornire strumenti di alert e gestione per gli amministratori AEM and MOM © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.