RESUMEN DE TE CNOL OGÍA S: SE GURID AD

Transcripción

RESUMEN DE TECNOLOGÍAS: SEGURIDAD EMPRESARIAL
Symantec™ Mail Security
Appliances de la serie 8200
Información general
Resumen de tecnologías: Symantec Enterprise Security
Symantec™ Mail Security
Appliances de la serie 8200
Contenido
Resumen ejecutivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
Arquitectura e implementación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
Appliance integrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
Facilidad de implementación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
Elevada escalabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
Varios modelos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
Filtrado poderoso y preciso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
Protección contra el correo no deseado (spam) basada en Brightmail . . . . . . . . . . . . . . . . . . . . . . . . 7
Galardonada protección contra virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Filtros y definiciones actualizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
Protección de la infraestructura con el firewall de correo electrónico . . . . . . . . . . . . . . . . . . . . . . .12
Conformidad y cumplimiento de políticas de contenidos de la organización . . . . . . . . . . . . . . . . . .14
Funciones de correo electrónico seguro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
Administración sencilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
Administración centralizada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
Políticas de correo flexibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18
Cuarentena basada en Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
Preferencias del usuario final . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
Informes detallados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
Actualizaciones de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Monitoreo y mantenimiento sólidos del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
Información general de los appliances Symantec™ Mail Security Serie 8200
Resumen ejecutivo
En la mayoría de las organizaciones, el correo electrónico constituye el canal de comunicación
interna y externa más importante. El desafío clave al que se enfrentan los administradores radica
en cómo preservar el valor del correo electrónico ante el continuo aumento de las amenazas a la
seguridad del correo electrónico. El impacto total de las amenazas comunes a la seguridad del
correo electrónico puede valorarse de los siguientes modos:
• Reducción de la productividad del usuario final y consumo de recursos informáticos y de la
infraestructura de correo electrónico causados por el spam
• Daños a los activos y tiempo de inactividad debido a ataques de virus
• Presión reguladora y dentro de la organización para monitorear y controlar el contenido de
correo electrónico entrante y saliente
• Tiempo que necesitan los administradores para implantar y administrar una solución de
seguridad del correo electrónico
Los appliances Symantec™ Mail Security Serie 8200 representan la respuesta de Symantec al
problema de la seguridad del correo electrónico. Estos flexibles appliances proporcionan una
seguridad del correo electrónico precisa, basada en la tecnología líder Brightmail AntiSpam de
Symantec, el líder mundial de la seguridad en Internet. Además de innovadoras tecnologías de
firewall de correo electrónico que reducen los costos de infraestructura de correo electrónico
gracias a la restricción de conexiones no deseadas, estos appliances también ofrecen un conjunto
de poderosas herramientas de conformidad de contenidos. Gracias al factor de tamaño del
appliance, la instalación y administración de los appliances Symantec Mail Security Serie 8200
resulta sencilla y económica.
En este resumen de los productos, se incluyen los siguientes temas:
• Arquitectura e implementación. Una visión general de las opciones de arquitectura e
implementación de los appliances Symantec Mail Security Serie 8200.
• Filtrado poderoso y preciso. Información general acerca de las funciones de filtrado disponibles
con los appliances Symantec Mail Security Serie 8200.
• Administración sencilla. Un resumen de las completas herramientas administrativas que
permiten que los administradores centralicen la administración y el monitoreo del filtrado de
correo electrónico.
2
Para obtener más información sobre los temas relacionados con los appliances Symantec Mail
Security Serie 8200, consulte los siguientes documentos de Symantec, que podrá encontrar en
www.symantec.com.mx/seguridadempresarial/:
• White Paper sobre la seguridad del correo electrónico (en inglés)
• Informe sobre la protección de antispam basada en las tecnologías Brightmail y la tecnología de
respuesta
• Guía de evaluación de los appliances Symantec Mail Security Serie 8200
• Guía de características de los appliances Symantec Mail Security Serie 8200
Arquitectura e implementación
La potencia de los appliances Symantec Mail Security Serie 8200 empieza por su arquitectura, su
enfoque basado en la gateway y su facilidad de instalación.
Appliance integrado
Los appliances integrados Symantec Mail Security Serie 8200 cuentan con todos los elementos de
hardware y software básicos y necesarios para configurar una solución de seguridad del correo
electrónico que sea completa, segura y fácil de instalar. Estos elementos incluyen:
• Hardware. Los appliances Symantec Mail Security Serie 8200 son appliances de servidor
compactos y acoplables basados en Intel. 1U. Construidos con hardware a medida, de alto
rendimiento y eficacia probada, los appliances Symantec Mail Security Serie 8200 cuentan con
numerosas características estándar, como por ejemplo una función de almacenamiento
redundante mediante una unidad RAID. Existe un modelo de alta disponibilidad con fuentes de
alimentación y ventiladores dobles.
• Software. Los appliances Symantec Mail Security Serie 8200 funcionan con un sistema operativo
preinstalado basado en Linux. Además, el software de filtrado y de la plataforma de
administración reside en el appliance. También disponen de todos los agentes transmisores de
correo (MTA) necesarios para permitir la comunicación con el mundo exterior y con los servidores
de correo internos, como Microsoft Exchange. Las futuras actualizaciones de software se aplican
con facilidad, lo que garantiza unas interrupciones mínimas a la hora de instalar actualizaciones
de seguridad.
• Configuración segura. Para mitigar el riesgo que supone tener los servidores de correo
directamente expuestos a Internet, los appliances Symantec Mail Security Serie 8200 están
respaldados por una plataforma segura de tecnologías. El sistema operativo integrado cuenta
con un núcleo bloqueado y su configuración de origen está reforzada frente a las
vulnerabilidades y los ataques más comunes. Por ejemplo, para evitar la explotación por parte de
los hackers, únicamente se incluyen los servicios de mayor importancia y se cierran todos los
puertos que no son necesarios.
3
• Actualizaciones automáticas. Para garantizar una protección completa frente a las amenazas de
correo electrónico más recientes, las defensas de seguridad del correo electrónico se fortalecen
de manera constante en tiempo real con filtros antispam automáticos y definiciones antivirus de
Symantec. Symantec se encarga de todas las actualizaciones de los filtros, con lo que la carga
administrativa del administrador se reduce. El proceso de descarga de filtros cuenta con un
proceso de validación bidireccional para garantizar que los filtros y las definiciones de antivirus
actualizados procedan de Symantec. El filtrado permanece activo incluso cuando el appliance
recibe actualizaciones de los filtros, de modo que la protección sigue siendo completa incluso
durante dichas actualizaciones.
Facilidad de implementación
Los appliances Symantec Mail Security Serie 8200 están diseñados para que residan en el
perímetro de la red de correo electrónico, y actúan como una capa de protección por delante de los
servidores de correo ya existentes, y que se encuentran en un nivel inferior de la red. El sistema
operativo, el software del producto y los MTA necesarios vienen preintegrados en los appliances. De
este modo, los appliances se conectan a la perfección en el entorno existente.
Filtrado entrante y saliente
Tal y como se muestra en la siguiente ilustración, los appliances Symantec Mail Security Serie 8200
normalmente se sitúan en la gateway de Internet, entre los servidores de correo internos y el
firewall externo.
Instalaciones del cliente
Virus de spam
Correo entrante
y saliente
Gateway de correo
Filtro seguro
Transmisión
Appliance
Symantec
Mail Security
Serie 8200
Servidor de correo
(p.ej., Exchange, Domino)
Asunto: <spam>
Modificar
Bandeja de
entrada
4
Debido a que los appliances Symantec Mail Security Serie 8200 funcionan en el nivel más
externo de la gateway, se encargan de procesar el correo electrónico entrante y saliente. Antes de
que el correo electrónico abandone del appliance, debe someterse a múltiples niveles de filtrado de
seguridad. En estos niveles de procesamiento se incluyen comprobaciones del firewall de correo
electrónico basadas en el origen o en la conexión IP, filtrado antispam con tecnología Brightmail, la
galardonada protección antivirus de Symantec, comprobaciones de conformidad de contenidos, y
mucho más. Para garantizar una protección completa frente a las amenazas de correo electrónico
más recientes, las defensas de seguridad del correo electrónico se fortalecen de manera constante
en tiempo real con actualizaciones automáticas de Symantec.
Debido a que Symantec se encarga de realizar todas las actualizaciones de filtros, las
actividades administrativas se reducen a la ejecución de informes para confirmar la eficacia y a la
monitorización del flujo de correo. Sin embargo, si desea disponer de mayor flexibilidad y control,
puede utilizar el conjunto de funciones de administración disponibles. Por ejemplo, puede
establecer una política específica para mensajes que se identifiquen como spam para distintos
grupos de usuarios dentro de la organización.
Información más detallada: Exploradores y Centro de control
Todos los appliances Symantec Mail Security Serie 8200 pueden utilizarse para llevar a cabo
distintas funciones en la organización. En instalaciones de menor tamaño, el mismo appliance
puede encargarse de todas las funciones necesarias. En instalaciones más grandes, se pueden
instalar diversos appliances para que realicen funciones especializadas. Éstas son las funciones
disponibles:
• Explorador dedicado. Realiza el filtrado de correo electrónico. Puede instalar uno o más
appliances exploradores.
• Centro de control dedicado. Administra el sistema. Todas las instalaciones de appliances
Symantec Mail Security Serie 8200 cuentan con un appliance de Centro de control. El appliance
Centro de control, que puede administrar varios appliances exploradores, también alberga la
función de cuarentena opcional. La función de cuarentena almacena los mensajes de spam y
proporciona acceso a los mensajes de spam capturados por parte de los usuarios finales o el
administrador.
• Centro de control y explorador combinados. Realiza ambas funciones. Adecuado para
instalaciones de menor tamaño.
5
Entrada SMTP
HTTP sondeando
actualizaciones de filtros
Salida SMTP
Explorador
Spam
Correo legítimo
Información de
configuración
desde el Centro
de control
Estadísticas e
información
de registro al
Centro de control
Appliance
Usuarios finales
• Inicia sesión de
cuarentena personal
Appliance
Explorador
• Puede funcionar en el mismo appliance que el
Centro de control o en un appliance dedicado
– Motor de filtrado
– Agente de administración que se comunica
con el Centro de control
Appliance
Centro de control
Centro de control
• Centraliza la administración
de todos los exploradores
• Proporciona acceso a la
cuarentena
• Unifica la elaboración de
registros e informes
Appliance
Administrador
• Inicia una sesión del
Centro de control para
administrar y ver el
estado de todos los
exploradores
• Inicia una sesión de
cuarentena exclusiva
para el administrador
(si está activada)
Figura 1. Componentes de software del explorador y del Centro de control
Elevada escalabilidad
En instalaciones más grandes, puede añadir appliances exploradores adicionales, administrados
por un appliance de Centro de control, para ampliar con toda facilidad la instalación de appliances
Symantec Mail Security Serie 8200. En este caso, los appliances exploradores actúan como MTA de
la gateway y procesan el correo entrante para, posteriormente, transferirlo a otros niveles del
sistema de mensajería o al servidor del grupo de trabajo. En la ilustración siguiente se muestra un
ejemplo de una instalación de este tipo.
Para optimizar la disponibilidad, la escalabilidad y el rendimiento:
Instale múltiples appliances que actúen como exploradores remotos.
Administre estos exploradores desde un appliance de Centro de control.
Los Angeles
Nueva York
Londres, RU
Internet
Internet
Internet
Explorador 1
Explorador 3
Explorador 2
Explorador 4
Centro de
control
Servidor de correo 1 Servidor de correo 2
(Exchange)
(Exchange)
Gateway 1
6
Servidor de correo 3
(Domino)
Servidor de correo 4
Gateway 2
En la situación anterior, es posible obtener una mayor optimización del rendimiento mediante la
modificación de la función que desempeñan los exploradores. Por ejemplo, en cada sitio, puede
destinar un explorador dedicado para el filtrado entrante y otro para el filtrado saliente. Además,
es posible que las organizaciones que implanten una zona desmilitarizada (DMZ) en la red prefieran
instalar los appliances exploradores en esta zona. El appliance de Centro de control se situará
detrás del firewall corporativo interno más restringido.
Varios modelos
Para poder satisfacer las necesidades de las organizaciones medianas y grandes, existen dos
modelos de appliances Symantec Mail Security Serie 8200. Ambos modelos cuentan con las
mismas funciones de seguridad de correo electrónico, aunque se diferencian en las
especificaciones de hardware y en el número de usuarios de correo electrónico que admiten.
Modelo
8240
8260
Factor de tamaño
1U
1U
Almacenamiento
2x40 GB
2x73 GB
Rendimiento
100.000 mensajes/hora
250.000-500.000 mensajes/hora
Funciones de
RAID 1
RAID 1
Fuentes de alimentación dobles
disponibilidad
Ventiladores dobles
Usuarios admitidos
Contenido disponible
Suscripciones
100-1.000
Más de 1.000 usuarios
Sólo antispam
Sólo antispam
Sólo antivirus
Antispam y antivirus
Sólo antivirus
Antispam y antivirus
Filtrado poderoso y preciso
Una vez instalado con la función de explorador, el appliance Symantec Mail Security Serie 8200 se
encarga de realizar el filtrado entrante y saliente. En esta sección se describen los distintos niveles
de filtrado de seguridad del correo electrónico que forman parte del explorador.
Protección contra el correo no deseado (spam) basada en Brightmail
El spam, que representa cerca del 70% de todo el tráfico de correo electrónico, asfixia la
infraestructura de mensajería, absorbe los recursos de los servidores y de almacenamiento y
abarrota las bandejas de entrada de los usuarios finales. El spam con contenidos ofensivos o
fraudulentos puede conllevar problemas de responsabilidad legal para las organizaciones. Debido a
los enormes beneficios que pueden obtenerse y a la ineficacia de la legislación, los emisores de
spam seguirán inundando a las organizaciones con correo no solicitado. Como es habitual, el
emisor de correo electrónico continuará ajustando sus tácticas y aumentando el volumen de correo
para lograr eludir los sistemas de defensa que implantan las organizaciones informáticas.
7
La protección antispam de múltiples niveles constituye la piedra angular los appliances
Symantec Mail Security Serie 8200. Impulsado por las tecnologías y las funciones de respuestas
adquiridos de Brightmail, el motor de filtrado cuenta con un nutrido arsenal de técnicas de filtrado,
tal y como se muestra en la ilustración siguiente. Una combinación antispam de este tipo es necesaria
debido a que los ataques de spam complejos requieren múltiples filtros y enfoques específicos.
Basados en las tecnologías antispam y en la capacidad de respuesta líderes del sector de
Brightmail, los appliances Symantec Mail Security Serie 8200 permiten a los administradores:
• Capturar el 95% o más del correo no deseado. La eficacia (es decir, la cantidad de spam que la
solución es capaz de capturar) constituye un factor clave en cualquier solución antispam. A fin de
mantener una eficacia constante, las soluciones antispam deben responder, en todo momento, a
las tendencias, a las categorías y a las tácticas de difusión de spam más recientes. La protección
contra el correo no deseado basada en la tecnología y en la respuesta de Brightmail aprovecha
más de 20 técnicas de filtrado distintas, así como una infraestructura de análisis y respuesta
frente al spam de ámbito mundial. Estos elementos contribuyen a que, día tras día, los
appliances Symantec Mail Security Serie 8200 proporcionen el mejor índice de captura de spam.
• Asegurarse de que el correo legítimo no se vea afectado. Los falsos positivos (los efectos
secundarios de un filtrado antispam demasiado agresivo) provocan problemas empresariales
significativos, como por ejemplo la pérdida de un pedido relevante o de un correo electrónico de
un cliente importante. Si el correo legítimo entra en cuarentena o se ve afectado de cualquier otro
modo por el proceso de filtrado regular, esto constituye un fallo. Los appliances Symantec Mail
Security Serie 8200 integran la única solución antispam con un índice de precisión demostrado del
99,9999%1, lo que equivale a menos de un falso positivo por cada millón de mensajes.
• Detener el spam que no esté en inglés. Symantec calcula que entre el 10 y el 20% del spam en
todo el mundo está escrito en idiomas distintos al inglés, por lo que el correo no deseado que no
esté en inglés representa un problema muy importante para cualquier organización que opere
fuera de los Estados Unidos. Los appliances Symantec Mail Security Serie 8200 se encargan del
problema del spam multilingüe, que cada vez adquiere mayor importancia, de distintos modos.
En primer lugar, aprovechan los centros de operaciones antispam de ámbito mundial, que
mitigan el problema del correo no deseado que se envía desde otros países. También cuentan con
la capacidad exclusiva de identificar el idioma de un mensaje, en caso de que éste esté escrito en
uno de los 11 idiomas reconocidos por el appliance. Las organizaciones pueden decidir (o dejar
que sean los usuarios finales los que tomen la decisión) si desean bloquear automáticamente los
mensajes que estén escritos en unos idiomas determinados.
• Activar la protección y listo. A diferencia de otras soluciones antispam, para las que es necesario
realizar ajustes con frecuencia y entrenar los filtros con regularidad para poder mantener unos
niveles de eficacia y precisión elevados, la protección antispam basada en Brightmail es
completamente automática. Cada 10 minutos, los filtros y las defensas actualizados llegan desde
Symantec y se aplican de forma inmediata en los appliances en la ubicación del cliente.
1
8
"E-Mail Security Solutions Providers Seek to Stop Spam and Viruses at the Perimeter" (Los proveedores de soluciones de seguridad para el
correo electrónico intentan detener los virus y el spam en el perímetro), Yankee Group Report, febrero de 2004
Galardonada protección contra virus
Los virus pueden causar el caos total en una organización. Los daños abarcan desde el fallo del
servidor de correo e interrupciones del sistema, hasta la destrucción de los datos de la
organización.
Desde el punto de vista de la seguridad del correo electrónico, los mundos del spam y los virus
están estrechamente relacionados. Aproximadamente un 80% de los incidentes de virus se inician
a partir de correo electrónico que se entrega por Internet2. Además, la carga útil real de muchos
virus y gusanos transmitidos por correo electrónico incluye software que instala un proxy abierto
en el equipo víctima del ataque. Estos proxies se utilizan para convertir el equipo en un
retransmisor de correo no deseado, que los emisores de spam aprovechan para enviar aún más
spam. Teniendo en cuenta el daño que causan los virus, es de vital importancia contar con una
protección antivirus en el primer punto de entrada a la red: la gateway de correo electrónico.
Los appliances Symantec Mail Security Serie 8200 analizan y detectan los virus gracias a la
integración de la galardonada tecnología antivirus de Symantec. La protección antivirus incluye
actualizaciones automáticas de las definiciones de virus, políticas flexibles para controlar los
mensajes con virus y defensas específicas frente a los gusanos de envío masivo de correo y los
correos electrónicos autogenerados asociados.
El amplio abanico de funciones y tecnologías antivirus proporciona:
• Symantec Security Response proporciona contenido antivirus en tiempo real. Los appliances
Symantec Mail Security Serie 8200 cuentan con el galardonado motor antivirus, respaldado por
Symantec Security Response. En Symantec Security Response, el equipo de expertos más amplio
del sector trabaja para identificar y neutralizar virus antes de que puedan penetrar en la red y
propagarse por toda la compañía.
• Protección de eficacia probada frente a las amenazas más recientes. Los appliances Symantec
Mail Security Serie 8200 recuperan automáticamente definiciones de Respuesta rápida, que por
lo general están disponibles cada hora. Estas definiciones, que se someten a comprobaciones de
confiabilidad básicas por parte de Symantec, están diseñadas para adelantarse a las amenazas
de nueva aparición. Las definiciones de publicación rápida tienen un índice de éxito del 99,98%.
• Motor de análisis y reparación rápido y confiable. La función de análisis utiliza las galardonadas
tecnologías Scan Engine. Este motor, merecedor de numerosos premios, proporciona una
protección contra virus rápida y confiable, gracias al análisis de todo el tráfico entrante y
saliente de correo electrónico de Internet, a través de un sistema de análisis multiproceso.
También repara virus presentes en archivos adjuntos de correo electrónico, incluidos los
formatos de archivo comprimido más utilizados, como por ejemplo zip, MIME/UU, TAR y GZIP,
entre otros.
• Tiempo de actividad máximo durante las actualizaciones de las definiciones. A diferencia de la
competencia, el Scan Engine modular actualiza las definiciones de virus y los motores de análisis
sin tener que volver a instalar el software o reiniciar los servicios. Por lo tanto, no hay ninguna
interrupción en el análisis de virus cuando se obtienen definiciones nuevas.
2
Agosto de 2003. Spam, Viruses, and Content Compliance: An Opportunity to Strategically Respond to Immediate Tactical Concerns. (Spam, virus y
conformidad de contenidos: una oportunidad para una respuesta estratégica a problemas de contenido inmediatos.) META Group White Paper
9
• Heurística y niveles de análisis variables para lograr un análisis más agresivo. Los appliances
Symantec Mail Security Serie 8200 utilizan la tecnología heurística Bloodhound, que detecta las
actividades propias de un virus, a fin de identificar y reparar virus desconocidos. Es posible
ajustar la configuración de la heurística para obtener una identificación de virus más o menos
agresiva. Esta tecnología puede detectar hasta un 90% de los virus de macro nuevos, y hasta un
80% de los virus de archivo ejecutables nuevos y desconocidos, incluidos los códigos móviles
maliciosos.
• Protección contra las bombas de correo. Especifique el tamaño máximo y los niveles de
profundidad del análisis para reducir la exposición a las bombas zip que perjudican el
procesamiento.
• Selección entre distintas acciones. Es posible definir políticas para decidir cómo actuar contra
los mensajes con virus. Por ejemplo, el mensaje se puede limpiar y entregar, se puede entregar
de forma normal, o bien se puede borrar.
• Limpieza de programas de envío de correo masivo. Las funciones de protección contra virus
eliminan automáticamente no sólo el gusano de envío de correo masivo, sino también los correos
electrónicos autogenerados asociados, que pueden llegar a ser varios cientos para cada
destinatario y que no tienen ninguna utilidad.
Filtros y definiciones actualizados
La exclusiva infraestructura de respuesta, ofrecida por Symantec, representa un componente
exclusivo de la arquitectura de los appliances Symantec Mail Security Serie 8200. A fin de
mantenerse por delante de las amenazas a la seguridad del correo electrónico más recientes,
Symantec mantiene centros de detección y respuesta a amenazas repartidos por todo el mundo.
Estos centros especializados y coordinados, conocidos como BLOC y Symantec Security Response,
funcionan de forma permanente y realizan las siguientes funciones vitales:
• Monitoreo de las amenazas en tiempo real por parte del BLOC. Un elemento clave para el BLOC
es la Probe Network, un amplio conjunto de más de dos millones de direcciones de correo
electrónico de señuelo, también conocidas como "honeypots" (tarros de miel, en inglés). Esta red
mundial patentada de cuentas de correo electrónico atrae y recopila grandes cantidades de spam
y amenazas relacionadas; decenas de millones de mensajes de spam pasan por la Probe Network
todos los días. Symantec usa estos señuelos para mantenerse al tanto de las tácticas de emisión
de spam más recientes.
• Definiciones de virus de Symantec Security Response. Para poder ofrecer protección
actualizada y permanente, la protección contra virus de los appliances Symantec Mail Security
Serie 8200 está respaldada por Symantec Security Response. En Symantec Security Response, el
equipo de expertos más amplio del sector trabaja para identificar y neutralizar virus antes de
que puedan penetrar en la red y propagarse por toda la compañía. Symantec Security Response
proporciona respuestas globales rápidas frente a los ataques de virus y una investigación
proactiva sobre futuras amenazas.
10
• Creación de filtros automatizada. Gracias a la utilización de herramientas sofisticadas, al
aprendizaje de los equipos y a los procesos automatizados, el BLOC crea defensas que erradican
los ataques de spam actuales y sus variantes. El índice de precisión casi perfecto de las
funciones de filtrado de correo no deseado se logra gracias a que se utiliza la Probe Network
para crear filtros basados en spam real. Para combatir las amenazas de nueva aparición y el
nuevo spam, el BLOC también desarrolla, ajusta e instala otros filtros más proactivos, como por
ejemplo filtros basados en heurística.
• Implementación de defensas oportunas. Cada 10 minutos, aproximadamente, los filtros
antispam actualizados, junto con otras defensas de seguridad del correo electrónico, se
descargan a través de una conexión segura a los appliances exploradores situados en la
ubicación del cliente, en los que los filtros se activan de inmediato. Para ofrecer una respuesta
frente a los virus, el BLOC se integra totalmente con Symantec Security Response, que
proporciona una protección actualizada y permanente contra a los virus destructivos de rápida
propagación. Las definiciones de virus actualizadas llegan a las ubicaciones de los clientes a
través del mismo mecanismo seguro por el que se transmiten los filtros antispam y los datos de
reputación.
Protección de spam respaldada por el BLOC
Servicios principales en el BLOC
Producción de filtros automatizada
Algunos datos sobre el BLOC
• Agrupación de mensajes
• Validación de filtros
• Generación de filtros
• Distribución de filtros
Verificación e investigación
Los técnicos procesan el correo no
deseado que los métodos automatizados
no pueden gestionar. El componente
humano proporciona una garantía de
calidad y evita los falsos positivos.
Cobertura de la defensa permanente,
contra el correo no
las 24 horas
deseado:
del día, los
7 días de
la semana
Idiomas:
Cuentas señuelo
supervisadas:
12
más de
2 millones
Operaciones permanentes
Spam de señuelo
(honeypot) procesado
al día:
Los técnicos y las herramientas
automatizadas supervisan
constantemente los ataques de
spam y el rendimiento de los filtros
en las instalaciones del cliente, y
realizan ajustes según sea necesario.
Administración de la Probe Network
Administración activa y optimización
de la mayor trampa para amenazas
de spam y correo electrónico.
Internet
Países representados
por la Probe Network™:
decenas
de millones
más de 20
Ubicaciones de los
San Francisco
centros de operaciones:
Dublin
Sydney
Taipei
Figura 2. Protección de spam respaldada por el BLOC
11
La arquitectura de los appliances Symantec Mail Security Serie 8200 representa un ciclo de
transmisión constante de información que empieza y termina en sus instalaciones:
1. En las instalaciones del cliente, el appliance explorador ejecuta filtros que están basados en la
protección actualizada que ofrece el BLOC.
2. El explorador constantemente reenvía información al BLOC sobre la eficacia de los filtros
instalados. Si es necesario, el BLOC realiza ajustes en tiempo real para mejorar la eficacia.
3. Los usuarios presentes en las instalaciones pueden fácilmente enviar a Symantec los mensajes
de spam que han logrado atravesar los filtros, para mejorar de este modo la amplitud y el
alcance de la Probe Network, tan sólo con un clic.
Protección de la infraestructura con el firewall de correo electrónico
Una sólida combinación de protección contra el spam y contra los virus constituye solamente una
de las piezas que configuran una solución de seguridad del correo electrónico completa. Por
distintos motivos, una solución de seguridad del correo electrónico también tiene que poder
reducir el tráfico de correo electrónico entrante no necesario. En primer lugar, el análisis del correo
electrónico para detectar spam y virus es una actividad que, de forma inherente, consume muchos
recursos, con un efecto claro sobre la CPU y otros recursos durante el análisis del contenido de los
mensajes. Cualquier mensaje que deba procesarse una vez pasada la gateway conlleva un impacto
medible en la infraestructura de correo electrónico, en la capacidad de los recursos y en la calidad
del servicio de correo.
La prevención de posibles ataques es otro de los motivos por los cuales es necesario
asegurarse de que determinados mensajes no atraviesen la gateway en primer lugar. Un ejemplo
representativo lo encontramos en los ataques de recolección de directorios, una táctica abusiva
que provoca niveles muy elevados de volumen de correo electrónico y que pone en peligro la
información de directorios de correo electrónico de una organización. En estos ataques, los
emisores de spam envían miles de mensajes vacíos a los servidores de correo para obtener
direcciones de correo electrónico legítimas. Mediante el seguimiento de qué direcciones no se
rechazan, pueden determinar qué direcciones de correo electrónico son válidas para que,
posteriormente, las puedan utilizar en campañas de spam o phishing.
Las mejores soluciones de seguridad del correo electrónico rechazan con precisión los
mensajes no deseados en la gateway, en función de su dirección IP. Estas funciones de
administración de las conexiones SMTP constituyen un método cada vez más eficaz para abordar
los efectos secundarios derivados de un volumen creciente de correo electrónico. Las limitaciones
de muchas otras soluciones de administración de las conexiones SMTP recaen en la baja calidad de
la información sobre el remitente que emplean para bloquear las conexiones. Y lo que es aún peor:
en ocasiones, bloquean el tráfico legítimo. Para que una solución de administración de las
conexiones pueda identificar de forma precisa y confiable a los remitentes de correo electrónico
buenos y malos, debe poder acceder a una gran cantidad de datos relacionados con el remitente.
12
Los appliances Symantec Mail Security Serie 8200 disponen del firewall de correo electrónico,
un conjunto de funciones de administración de conexiones automatizadas y configurables, que se
activan en el mismo momento en el que se detecta una conexión entrante. El firewall de correo
electrónico constituye un primer nivel de defensa y actúa como un "guardián" por delante de los
elementos del motor de filtrado que conllevan un uso más intensivo de la CPU, incluidos los niveles
antispam y antivirus. Se puede configurar automáticamente para que bloquee ataques de spam y
de recolección de directorios, conexiones procedentes de remitentes que Symantec ha identificado
como creadores de spam, y mucho más. Gracias a la Probe Network de cuentas de correo
electrónico de señuelo y a las estadísticas de filtrado procedentes de su base de clientes de
protección antispam, con 300 millones de usuarios, Symantec se encuentra en una posición sin
igual para poder categorizar con toda precisión las fuentes de correo electrónico.
Ataques
Activado
Acción
Ataque de recolección de directorios
Aplazar la conexión SMTP
Ataque de spam
Aplazar la conexión SMTP
Ataque de virus
Rechazar la conexión SMTP
Ataque de remitente malo
Devolver el mensaje
Limitación de los ataques
Limitar todos los ataques
Cuando se produce un ataque, las conexiones procedentes de esas direcciones IP se pueden ralentizar
para penalizar a los equipos emisores.
Para responder a intentos de conexión abusivos o no deseados identificados por el firewall de
correo electrónico, se pueden configurar distintas acciones automáticas. Debido a que estas
acciones se producen antes de que el MTA entrante del appliance Symantec Mail Security Serie
8200 acepte el mensaje, el resultado consiste en una reducción del volumen de correo electrónico
que debe procesarse. Éstas son algunas de las acciones a nivel de conexión que pueden
configurarse:
• Aplazar SMTP. Rechazo temporal que indica al servidor que envía el correo electrónico que debe
volver a intentarlo más tarde.
• Rechazar SMTP. Rechazo permanente del servidor que envía el correo electrónico.
• Limitación del tráfico. Disponible únicamente para los ataques identificados por el análisis de
frecuencia local, esta acción "limita" o ralentiza la velocidad de conexión de fuentes que envíen
correo no deseado o que participen en ataques y reduce la cantidad de tráfico que llega a la
organización, al mismo tiempo que minimiza la carga en los niveles inferiores de la red.
13
Ejemplo: el firewall de correo electrónico en acción
El ejemplo siguiente ilustra el modo en el que el firewall de correo electrónico identifica y se
defiende de forma proactiva contra los ataques de recolección de directorios.
Un máximo de
3 destinatarios
malos por hora
Dirigidos a
destinatarios
que no existen
123.213.132.112
Administrador
123.213.132.112
1. El administrador fija un
umbral.
Con el objetivo de combatir los
ataques de recolección de
directorios, el administrador
especifica el número máximo de
destinatarios malos/desconocidos
que una dirección IP puede tomar
como objetivo durante un intervalo
determinado.
2. El remitente supera el
umbral.
El appliance rechazará las
conexiones procedentes de la
dirección IP del remitente
durante un intervalo especificado.
123.213.132.112
3. El remitente se coloca en la
bandeja de penalización.
El administrador puede configurar
el modo de gestionar los siguientes
mensajes que lleguen de ese
remitente. En este caso, los
mensajes se rechazan antes de
que el MTA los acepte.
4. El periodo de penalización
finaliza.
Una vez que haya transcurrido
el periodo de penalización, las
direcciones IP se eliminan
automáticamente y pueden
enviar correo electrónico.
Otras aplicaciones: también funciona con los ataques de virus y de spam.
Conformidad de contenidos para hacer cumplir las políticas de la organización
Además de detener el spam o correo no deseado y los virus, una solución de seguridad del correo
electrónico también debe controlar el contenido del correo electrónico. Sin un análisis eficaz de
conformidad de contenidos, se pueden enviar correos electrónicos con contenidos confidenciales,
ofensivos o prohibidos fuera de la organización en tan sólo unos segundos. En determinadas
organizaciones, este hecho puede repercutir de forma muy negativa en su competitividad y en su
posicionamiento en el mundo empresarial. Desde un punto de vista interno, muchas organizaciones
se ven obligadas a cumplir su compromiso de mantener un entorno de trabajo agradable. Por
desgracia, un solo correo con contenido pornográfico o desagradable puede dar al traste con ese
objetivo. Además, los administradores de sistemas de mensajería, a menudo, expresan su deseo de
prohibir archivos adjuntos multimedia de gran tamaño para evitar que congestionen el ancho de
banda de la red.
Los appliances Symantec Mail Security Serie 8200 disponen de diversas funciones de
conformidad de contenidos para el correo electrónico. Cuando se usan como parte del proceso de
políticas y de administración de correo, las funciones de conformidad de contenidos proporcionan a
los administradores las herramientas que necesitan para hacer cumplir las políticas corporativas de
correo electrónico, reducir las responsabilidades legales y garantizar el cumplimiento de los
requisitos reglamentarios.
Gracias a las funciones de conformidad de contenidos, es posible:
• Analizar el correo mediante la comparación con diccionarios y listas de palabras clave
predefinidos o personalizados. Esta función permite definir o importar un diccionario
predefinido de palabras o frases clave prohibidas. Esta función puede usarse para asegurar el
cumplimiento de las políticas de contenidos de correo electrónico de la organización.
Por ejemplo, quizá se desee analizar los mensajes entrantes comparándolos con un diccionario
14
de términos ofensivos, ya sea predeterminado o personalizado, para evitar que los empleados
reciban mensajes con contenidos inadmisibles. De forma alternativa, también es posible que se
desee evitar que determinado material sensible salga de la organización, mediante el análisis del
correo saliente, basado en la comparación con una lista de nombres en código de proyectos, de
contenidos del acuerdo de confidencialidad, o bien otra información confidencial.
• Preservar recursos gracias a la administración de archivos adjuntos. La administración de
archivos adjuntos entrantes constituye un método muy eficaz para reducir los recursos de
servidor de correo y de filtrado que se necesitan para procesar los archivos adjuntos no
deseados. Del mismo modo, también es muy importante evitar que dichos contenidos salgan por
la gateway. Los appliances Symantec Mail Security Serie 8200 permiten analizar los correos
electrónicos en busca de archivos adjuntos con atributos específicos, como por ejemplo una
extensión o un nombre de archivo determinados, el tipo MIME, el tamaño, etc. También es
posible configurar acciones específicas; por ejemplo, se pueden eliminar ciertos archivos
adjuntos determinados y enviar el correo electrónico a su destinatario, poner en cuarentena
todos los archivos ZIP, eliminar los archivos de imágenes, o bien filtrar y evitar la entrada de
mensajes con un tamaño excesivo.
• Crear filtros personalizados. Un editor de filtros de contenido fácil de usar permite crear filtros
personalizados de uso general a través de una interfase gráfica. Estos filtros globales instalados
en las instalaciones del cliente examinan todos los elementos del mensaje y pueden usarse para
reforzar el cumplimiento de las políticas de la organización. Los administradores pueden activar
y desactivar filtros específicos, ver su estado de activación y establecer el orden en el que los
filtros se ejecuten, todo ello con suma rapidez. No existe ninguna limitación en el número de
condiciones que se pueden incluir en el filtro de contenidos.
• Adjuntar declinaciones de responsabilidad y anotaciones en los correos electrónicos. La
función de anotación permite añadir texto y pies de página de forma automática en los correos
electrónicos. En los correos electrónicos salientes, un uso común sería incluir una declinación de
responsabilidad legal en cumplimiento con las políticas de la compañía. Las anotaciones también
pueden utilizarse para proporcionar información al destinatario de un correo electrónico
entrante que causó la activación de uno de los filtros del sistema.
Funciones de correo electrónico seguro
Los appliances Symantec Mail Security Serie 8200 también cuentan con otras funciones
relacionadas con la seguridad.
Correo electrónico seguro
Para las organizaciones que desean disponer de conexiones encriptadas entre los servidores de
correo, los appliances son compatibles con las conexiones encriptadas mediante TLS (transport
layer security). Un administrador puede elegir si la encriptación mediante TLS se permite o es
necesaria para todos los appliances presentes en la red. Si se activa TLS, es posible encriptar las
conexiones desde un appliance Symantec Mail Security a otros MTA. Este modo de encriptación
también puede emplearse para las contraseñas y el contenido del Centro de control.
15
Prevención de fraudes
Los mensajes de correo electrónico fraudulentos, una variante peligrosa de los ataques de spam,
son mensajes que parecen provenir del sitio Web o de la dirección de dominio de una organización
y que en un principio parecen legítimos, aunque lo cierto es que no lo son. En realidad, los
creadores de spam secuestran la marca de la organización para captar la atención de clientes
existentes y potenciales, por lo general con el objetivo de obtener información personal (es decir,
"phishing" o estafa electrónica). Tal y como se muestra en la ilustración 3 a continuación, estos
tipos de ataques están aumentando.
4.130 millones
en julio de 2004
4B
3B
2B
1B
0B
Ago.
Sept.
Oct.
Nov.
Dic.
Ene.
Feb.
March
Abr.
Mayo
Jun.
Jul.
Una categoría de spam en aumento: Los mensajes de correo electrónico fraudulentos hoy en
día equivalen al 5% del spam filtrado por Symantec.
Ilustración 3. Número de mensajes de correo electrónico fraudulentos filtrados por Symantec
Los appliances Symantec Mail Security Serie 8200 mitigan el problema del correo electrónico
fraudulento y la falsificación de marcas gracias a:
• La compatibilidad con el marco de políticas de remitentes (SPF). Los appliances Symantec Mail
Security Serie 8200 son compatibles con SPF. Con esta norma, las organizaciones publican una
lista de los servidores de correo electrónico que se han autorizado en el DNS. Los
administradores pueden cerrar las conexiones SMTP procedentes de remitentes cuyas
direcciones IP no se correspondan con el registro adecuado de SPF.
• Filtros de URL antifraude. Debido a que Symantec filtra más del 15% del tráfico de correo
electrónico en todo el mundo (más de 104.000 millones de mensajes de correo electrónico cada
mes), se encuentra en una posición privilegiada para monitorear Internet en busca de fraudes
por correo electrónico dirigidos a compañías de todo el mundo. Aprovechando las ventajas que
brinda esta red de detección, Symantec crea filtros antifraude y anti-phishing en el momento
preciso. Estos filtros se incorporan automáticamente a la protección antispam de los appliances
Symantec Mail Security Serie 8200 para garantizar que los usuarios finales no reciban estos
mensajes.
16
Administración sencilla
Con muchos productos de seguridad del correo electrónico, el trabajo administrativo necesario
hace que el remedio sea peor que la enfermedad. Basados en actualizaciones automáticas de los
filtros que no requieren ningún tipo de intervención, los appliances Symantec Mail Security Serie
8200 pueden funcionar con toda facilidad en el modo "sin intervención". Estos appliances poseen
un nivel de flexibilidad suficiente para los administradores que deseen tener un control detallado
del filtrado de mensajes y de las políticas. Este equilibrio entre sencillez y flexibilidad es posible
gracias al Centro de control, una consola de administración, configuración y generación de
informes basada en Web.
Administración centralizada
Los appliances Symantec Mail Security Serie 8200 cuentan con el Centro de control, una interfase
basada en Web que centraliza todas las tareas administrativas.
Éstas son las dos funciones clave del modelo de administración del Centro de control que se
traducen en un importante ahorro de tiempo:
• Administración global. A través del Centro de control, es posible ver información sobre el estado
del sistema, administrar la cuarentena, modificar parámetros para todos los exploradores y
demás componentes, configurar alertas basadas en sucesos y mucho más, todo ello desde una
interfase intuitiva.
• Administración delegada. Para equilibrar las tareas administrativas, se pueden crear cuentas
adicionales de administrador, y con ello otorgarle a cada administrador el nivel deseado de
derechos de administración para distintos componentes de Brightmail AntiSpam de Symantec.
Por ejemplo, tal vez se prefiera delegar la administración de la cuarentena en otro administrador,
quien sólo podrá ver y modificar los parámetros de la cuarentena.
17
Políticas de correo flexibles
Distintos grupos de usuarios dentro de la organización pueden tener necesidades de filtrado
particulares. La ilustración que aparece a continuación muestra un ejemplo de cómo distintos
grupos necesitan una gestión muy diferente del mismo correo filtrado. Para poder asignar
requisitos de correo electrónico con facilidad y precisión a usuarios individuales y a grupos, es
necesario contar con un sistema de administración de políticas de correo poderoso y flexible.
En esta sección se describe cómo utilizar la administración de los mensajes basada en
políticas para hacerse con el control del tráfico de correo electrónico de la red y se proporciona
más información acerca de los componentes básicos de las políticas de correo electrónico: la
definición de grupos, la amplia variedad de acciones disponibles y las distintas categorías de correo
filtrado.
18
Políticas de filtrado predefinidas y personalizables
La política de filtrado constituye la base de la administración de correo de los appliances Symantec
Mail Security Serie 8200. Las políticas de filtrado definen la acción que debe emprenderse en
función del tipo de correo filtrado por los appliances Symantec Mail Security Serie 8200. En el
ejemplo que aparece a continuación, se muestra una lista de políticas de filtrado para correo
relacionado con virus. Cada política de filtrado puede incluir varias acciones (por ejemplo, añadir
un encabezamiento al mensaje y archivar una copia del mismo) que se realizarán en el mismo
conjunto de mensajes (por ejemplo, los mensajes de spam o los mensajes con virus). Una vez que
se haya creado una política de filtrado general, ésta se puede asignar con facilidad a grupos
definidos por usted.
Definición de grupos sencilla
A la hora de crear distintas políticas de correo, la identificación del usuario al que va afectar la
política constituye un paso clave. Los appliances Symantec Mail Security Serie 8200 facilitan la
tarea de determinar a quién se van a aplicar políticas específicas. Se pueden crear grupos
mediante:
• La sincronización con el directorio corporativo. Si la organización almacena la información
relativa a la cuenta de correo y a la lista de distribución en un directorio LDAP, los appliances
Symantec Mail Security Serie 8200 pueden usar los grupos LDAP ya existentes en la organización
para asignar políticas a miembros del grupo. Por ejemplo, para definir una política para el equipo
de ventas, los appliances Symantec Mail Security Serie 8200 pueden realizar una consulta en su
copia local del directorio empresarial para determinar cuáles son los miembros del equipo de
ventas. Este método reduce el trabajo administrativo constante que supone mantener listas
independientes. Gracias a que los appliances Symantec Mail Security Serie 8200 efectúan la
sincronización LDAP de forma automática, cualquier actualización que se lleve a cabo en los
directorios LDAP estará disponible automáticamente. Entre las funciones basadas en LDAP,
también se incluyen la lista de distribución automática y la expansión de alias.
• La asignación manual de dominios y direcciones de correo electrónico. También se pueden
asignar usuarios y grupos en función de las direcciones de correo electrónico o de los nombres
de dominio (es posible utilizar caracteres comodín). Para lograr una mayor eficacia, también es
posible importar los miembros de un grupo a partir de un archivo de texto.
19
Múltiples categorías de correo
Los appliances Symantec Mail Security Serie 8200 son capaces de clasificar el correo filtrado con
precisión. De este modo, se pueden definir políticas específicas en función de las distintas
categorías de correo electrónico. Estas categorías se resumen en la siguiente tabla.
Categoría
Características de los mensajes
Spam
Se han identificado como mensajes de spam según filtros antispam creados por Symantec.
Sospecha de spam
Posible spam según el abanico de posibilidades configurado por el usuario.
Correo electrónico
procedente de
remitentes bloqueados
Coincide con la consulta realizada en las listas de nombres de dominio, direcciones IP o
listas de terceros especificadas en la lista de remitentes bloqueados.
Virus
Mensajes de correo electrónico infectados con virus.
Gusanos de envío masivo Mensajes de correo electrónico generados por ataques de gusanos de envío masivo.
Mensajes de correo
No se puede analizar debido a restricciones de tamaño u otras variables.
electrónico no analizables
Mensajes de correo
Coincide con los filtros de contenidos creados por el administrador.
electrónico filtrados por
los filtros personalizados
20
Ataque de recolección
de directorios
Se ha marcado porque se ha recibido una gran cantidad de mensajes infectados
procedentes de una dirección IP específica.
Ataque de spam
Se ha marcado porque se ha recibido una gran cantidad de mensajes de spam procedentes
de una dirección IP específica.
Ataque de virus
Se ha marcado porque se está produciendo un intento (mediante el envío masivo de correos
electrónicos al dominio con un número muy elevado de direcciones de destinatarios
generadas) de captura de direcciones de correo electrónico válidas.
Múltiples acciones
Los appliances Symantec Mail Security Serie 8200 permiten elegir entre un amplio abanico de
acciones, que van desde simplemente borrar el mensaje, hasta realizar marcados y anotaciones, e
incluso acciones a nivel de la conexión SMTP. Para conseguir un mayor control y flexibilidad, se
pueden configurar acciones compuestas. Por ejemplo, es posible marcar un mensaje que se
sospecha que es spam con un texto en la línea de asunto y ponerlo en cuarentena.
En la lista siguiente aparecen las acciones disponibles.
Acción
Definición
Anotar
Se modifica para incluir una declinación de
responsabilidad o un pie de página personalizados;
a continuación, se envía al destinatario.
Aplazar
Rechazo temporal que indica al servidor que
envía el correo electrónico que debe volver a
intentarlo más tarde.
Archivar
Se copia y se envía a una única dirección de correo
electrónico, para su incorporación a un sistema
de archivado.
Borrar
CCO
Se borra. No se necesita ningún tipo de
administración o gestión. Para determinar qué
mensajes son spam, la función "filtrar y eliminar"
aprovecha el índice de precisión del 99.9999%
de Symantec.
Acción
Entregar
de forma
normal
Enviar
notificación
Limitar
Devolver
el mensaje
Eliminar el
archivo
adjunto
Se devuelve al remitente con un nuevo mensaje,
en el que se incluye un mensaje personalizado en
el que se informa de que no ha sido posible entregar
el mensaje.
Disponible únicamente para los ataques identificados
por el análisis de frecuencia local, esta acción "limita"
o ralentiza la velocidad de conexión de fuentes que
envíen correo no deseado o que participen en ataques.
Esta acción reduce la cantidad de tráfico que llega a la
organización, al mismo tiempo que minimiza la carga
en los niveles inferiores de la red.
Se limpia de virus y se entrega al destinatario.
Se borran todos los gusanos.
Modificar
Se marca con un encabezado X o una línea de
asunto configurables. Permite la creación de filtros
simples en el cliente para gestionar los mensajes
que Symantec haya procesado.
Colocar en mensaje en una carpeta designada en la cuenta de
una carpeta correo de Exchange o Domino del usuario. No es
necesario que los usuarios ni los administradores
creen filtros en el cliente.
Se envía un correo electrónico con texto
personalizable a una dirección de correo
electrónico especificada.
Limpiar
Se copia y se envía a un usuario específico para
su revisión.
Mediante una regla del servidor, se coloca el
Definición
Se entrega de forma normal. Es útil para realizar
pruebas. Aún es posible generar informes y
estadísticas que reflejen el volumen.
Se envía a la cuarentena basada en Web.
Proporciona información sobre el correo no
Poner en
deseado dirigido a la compañía. Para los
cuarentena usuarios finales, proporciona la tranquilidad
de que no se pierde correo legítimo.
Rechazar
Rechazo permanente del servidor que envía el
correo electrónico.
Reenviar
Se envía el mensaje a una sola cuenta administrativa
para efectuar un análisis adicional. Permite que se
examine la naturaleza de los mensajes de spam
dirigidos a la organización mediante un cliente de
correo electrónico conocido (p. Ej., Outlook).
Se remite al destinatario sin el archivo adjunto
original.
Cuarentena basada en Web
La cuarentena es un área de almacenamiento opcional para los mensajes filtrados por los
appliances Symantec Mail Security Serie 8200. A través de un navegador web normal, los usuarios
pueden iniciar una sesión y revisar los mensajes de spam que el software de Symantec ha puesto
en cuarentena. Los administradores pueden acceder a la cuarentena y configurar sus parámetros
desde el Centro de control.
21
La cuarentena puede constituir una parte importante de la política de administración del correo.
Las organizaciones que cuentan con el área de cuarentena gozan de las ventajas siguientes:
• Mayor confianza de los usuarios. La visualización del spam capturado en la cuarentena central
muestra a los usuarios la eficacia de las medidas de filtrado. Al principio, los usuarios finales
prefieren ver los mensajes que han sido filtrados para asegurarse de que no hayan perdido
correo electrónico legítimo. A medida que se familiarizan con la precisión del producto, llegan a
estar seguros de que el correo legítimo rara vez se pone en cuarentena, si es que ello alguna vez
llega a suceder. En caso de que se produzca un falso positivo, o bien si los usuarios alguna vez
decidieran conservar un mensaje, pueden recuperarlo con unos pocos clics.
• Administración centralizada y sencilla. Después de la personalización inicial, que incluye
especificar el período de retención de mensajes y otros parámetros, no es necesario administrar
la cuarentena. En el caso de que se produzcan falsos positivos, si bien se pueden examinar los
envíos de falsos positivos, no se necesita intervención para enviar la información necesaria a
Symantec para añadir mejoras a los filtros.
• Cargas reducidas en los servidores de correo internos. Los recursos utilizados para la entrega
de correo en los niveles inferiores de la red, para el almacenamiento y para el tráfico de red
interno disminuyen, ya que el spam en cuarentena se detiene antes de que alcance los servidores
de correo.
• Notificación automática para los usuarios. Aunque los usuarios pueden acceder a su cuarentena
personal en cualquier momento, se puede configurar la cuarentena de modo que envíe
resúmenes de correo electrónico a intervalos específicos. En estos resúmenes se enumeran los
nuevos mensajes de spam que han entrado en cuarentena. Los destinatarios del resumen de
cuarentena pueden hacer clic en hipervínculos seguros para liberar o visualizar los mensajes de
spam de forma inmediata, sin tener que iniciar una sesión. Esta función de notificación permite
que los usuarios gestionen el correo no deseado con rapidez y eficacia, en lugar de tener que
ocuparse de él cada día o cada hora.
Correo electrónico de notificación
Liberar mensajes
directamente
desde el correo
electrónico
Ir directamente
a la cuarentena
del usuario final
22
Resumen de cuarentena para [email protected]
Hay 173 mensajes nuevos en su cuarentena de spam
desde que recibió el último resumen de cuarentena de spam.
Estos mensajes se borrarán automáticamente al cabo de 7 días.
Para examinar el texto completo de estos mensajes, vaya a
http://cc.suempresa.com:8080/brightmail
=================MENSAJES EN CUARENTENA NUEVOS=================
De
Asunto
Fecha
Liberar | Ver Michael McGee
Service Provider Weekly - Get 13 Full Pa... Jue,
Liberar | Ver The Memory Place
Memory Price Update for CustomerID:24... Jue,
Liberar | Ver Tameka Floyd
(ninguno)
Liberar | Ver Discountbiz
CorporateTravel Planners, Read All Abou... Jue,
Liberar | Ver DVD Copying Software
Copies Everything - Easy Download or Dis.. Jue,
Jue,
• Mayor información sobre el problema de spam. Los administradores tienen acceso a todos los
mensajes puestos en cuarentena y a los envíos de falsos positivos. La función de búsqueda
incluida permite que los administradores realicen consultas rápidas y examinen en mayor
profundidad el spam dirigido a la organización.
Preferencias del usuario final
Los appliances Symantec Mail Security Serie 8200 brindan a los usuarios la posibilidad de
administrar y personalizar sus funciones de filtrado. Los usuarios inician una sesión en una sección
especial del Centro de control y seleccionan los parámetros adecuados.
Quarantine
User Preferences
Blocked Senders
Allowed Sendcers
Language Settings
Language Settings
View your Language Settings.
Language Settings
Enable Language Preferences
Receive mail in any language:
Only receive mail in the following languages:
Do not receive mail in the following languages:
Languages
Chinese
Dutch
English
Entre las funciones que el usuario final puede personalizar, se incluyen:
• Lista de remitentes bloqueados: los usuarios pueden especificar direcciones que siempre
quedarán bloqueadas. Estas entradas son complementarias a la lista de remitentes bloqueados
definida por los administradores e implantada para toda la compañía.
• Lista de remitentes permitidos: los usuarios pueden designar a remitentes que quedan
excluidos del filtrado antispam. Están entradas tendrán prioridad sobre un veredicto de spam
que haya emitido el explorador.
• Idiomas permitidos: los usuarios pueden especificar los idiomas en los que desean recibir los
correos electrónicos o bien los idiomas en los que no desean recibir correo. Los usuarios pueden
elegir entre 11 idiomas admitidos.
Los administradores pueden controlar (mediante grupos) cuáles de estas preferencias pueden
personalizar los usuarios finales.
Informes detallados
Los appliances Symantec Mail Security Serie 8200 ofrecen más de 50 informes en los que se
resume información estadística detallada sobre el filtrado de entrada y de salida. Los datos de los
informes proporcionan mediciones clave que permiten demostrar la utilidad de los appliances
Symantec Mail Security Serie 8200 como solución de filtrado en las instalaciones del cliente.
También se puede aprovechar la información recopilada sobre estadísticas y tendencias para
23
facilitar la evaluación del filtrado de correo electrónico y del cumplimiento de políticas en las
instalaciones del cliente.
Imprimir
Enviar
Guardar
Destinatarios específicos
Del 7 de noviembre de 2004 a las 4:00 PM al 14 de noviembre de 2004 a las 4:00 PM
2
1,5
1
0,5
0
W
32
.N
sk
et
99
40
e.
m
a
.d
y.P
v
Lo
un
.F
32
m
m
@
n
.H
ja
m
o
.Tr
oo
ad
yd
lo
.M
wn
32
W
W
Do
Detectado
12/11/04
Detectado
Porcentaje de todos los virus/gusanos
Download, Trojan
2 (<1%)
33%
W32.Mydoom.H@mm
2 (<1%)
33%
W32.FunLove.4099
1 (<1%)
17%
W32.Netsky.P.dam
1 (<1%)
17%
Virus/Gusano
Los informes ofrecen las funciones siguientes:
• Informes detallados. Creación de listas de los usuarios que reciben mayor cantidad de spam, de
los remitentes más abusivos y otros informes. Con esta información, los administradores pueden
tomar medidas proactivas, tales como bloquear dominios específicos o educar a los empleados
sobre cómo evitar el spam.
• Estadísticas unificadas en la hora local. Análisis del rendimiento unificado del filtrado para todos
los exploradores e investigación de los ataques de virus y spam dirigidos a la organización.
Cualquiera que sea la ubicación de los exploradores, los datos de los informes se presentan en la
zona horaria local para que su consulta resulte más práctica.
• Exportar. Exportación de los datos de los informes para poder usarlos con cualquier software de
informes o de hoja de cálculo, para su análisis en mayor profundidad.
• Generación y entrega flexibles. Programación de informes que se enviarán a intervalos
especificados.
24
En la tabla siguiente se resumen los informes disponibles. Para obtener más información, consulte
la guía de características de los appliances Symantec Mail Security Serie 8200.
Área de informes
General
Informes disponibles
Información general, tamaño medio de los mensajes, tamaño total de los
mensajes, número de mensajes, número de destinatarios, dominios de
remitentes más frecuentes, remitentes más frecuentes, remitentes específicos,
dominios HELO de los remitentes más frecuentes, conexiones IP de los
remitentes más frecuentes, dominios de los destinatarios más frecuentes,
destinatarios más frecuentes y destinatarios específicos.
Spam
Información general, dominios de remitentes más frecuentes, remitentes más
frecuentes, remitentes específicos, dominios HELO de los remitentes más
frecuentes, conexiones IP de los remitentes más frecuentes, dominios de los
destinatarios más frecuentes, destinatarios más frecuentes y destinatarios
específicos.
Virus
Información general, dominios de remitentes más frecuentes, remitentes
más frecuentes, remitentes específicos, dominios HELO de los remitentes más
destinatarios más frecuentes, destinatarios más frecuentes, destinatarios
específicos y virus y gusanos más frecuentes.
Conformidad de contenidos Información general, dominios de remitentes más frecuentes, remitentes
más frecuentes, remitentes específicos, dominios HELO de los remitentes más
destinatarios más frecuentes, destinatarios más frecuentes y políticas más
frecuentes.
Ataques
Información general, remitentes de ataques de recolección de directorios más
frecuentes, remitentes de ataques de virus más frecuentes y remitentes de
ataques de spam más frecuentes.
Autenticación del remitente Información general, remitentes intentados más frecuentes, remitentes no
intentados más frecuentes, remitentes satisfactorios más frecuentes y
remitentes erróneos más frecuentes.
Conexiones SMTP
Información general, conexiones satisfactorias más frecuentes, conexiones
erróneas más frecuentes, conexiones rechazadas más frecuentes y conexiones
limitadas más frecuentes.
Cuarentena
Actualizaciones de softwares
Los appliances Symantec Mail Security Serie 8200 disponen de un método muy sencillo para
mantener el sistema operativo, los MTA y el software de apoyo siempre actualizados. El proceso de
actualización se realiza con un solo clic y garantiza que la seguridad de los sistemas sea la más
25
elevada posible en todo momento, con lo que se atenúa el riesgo de que existan fallos de seguridad
susceptibles de ser explotados.
La función de actualización del software permite llevar a cabo las siguientes operaciones con toda
facilidad:
• Comprobar las actualizaciones disponibles. Se puede ver la versión actual del software del
sistema y, si están disponibles, solicitar actualizaciones del mismo.
• Controlar qué appliances deben actualizarse. Se puede controlar qué appliances reciben las
actualizaciones. Cuando las mejoras, actualizaciones y funciones de seguridad pertinentes están
disponibles, los appliances Symantec Mail Security Serie 8200 específicos pueden actualizarse
con tan sólo un clic.
• Actualización en un paso. En lugar de tener que actualizar los distintos componentes (como por
ejemplo el sistema operativo, el software de apoyo, los controladores y los demás componentes)
uno por uno, el proceso de actualización de los appliances Symantec Mail Security permite que la
actualización completa del sistema se realice en un solo paso. Una vez que se haya iniciado la
actualización, ya no es necesaria la intervención del administrador.
• Reducir el tiempo de inactividad. Las actualizaciones y mejoras se descargan de forma rápida y
segura a través de una conexión de red segura. Una vez que el appliance se haya reiniciado, ya
está listo para filtrar el correo.
Monitoreo y mantenimiento sólidos del sistema
Para que el monitoreo del sistema resulte más sencillo, los appliances Symantec Mail Security Serie
8200 cuentan con una serie de prácticas herramientas gracias a las cuales es posible:
• Ver el estado de todos los appliances presentes en la red. Se puede ver el estado detallado de
todos los exploradores configurados y de la cuarentena desde una ubicación central en el Centro
de control. En la página de estado se enumeran los exploradores configurados de la red, junto
con los demás componentes asociados.
• Examinar los registros. Con el objetivo de facilitar el diagnóstico de los errores que se produzcan
y el seguimiento de los distintos aspectos del sistema durante su funcionamiento, todos los
exploradores mantienen una base de datos de información de registro. El Centro de control
unifica estos registros en un formato que se puede consultar con mucha facilidad, en distintos
niveles de detalle. Los administradores también pueden designar el tamaño máximo y el período
de retención de entradas en la base de datos de registros y guardar los registros en archivos de
texto para realizar un análisis con mayor profundidad.
• Configurar alertas basadas en sucesos. Los appliances Symantec Mail Security Serie 8200
generan alertas cuando se producen determinadas situaciones de funcionamiento. Los
appliances Symantec Mail Security Serie 8200 pueden enviar alertas por correo electrónico
automáticamente a los administradores o a otras personas cuando los componentes no
respondan o no funcionen correctamente, cuando los filtros sean más antiguos que una hora
especificada, o en función de otros factores desencadenantes.
26
Conclusiones
Los appliances Symantec™ Mail Security Serie 8200, basados en la tecnología líder Brightmail
AntiSpam de Symantec (líder mundial en seguridad de la información), proporcionan la mayor
precisión en la seguridad del correo electrónico*. La tecnología Brightmail AntiSpam utiliza más de
20 técnicas de prevención del spam o correo no deseado para lograr unos índices de eficacia frente
al spam del 95%, así como el índice de precisión más elevado del sector frente a los falsos
positivos (99,9999%). Los Brightmail Logistics Operations Centers (BLOC™) globales de Symantec
analizan el correo no deseado en todo el mundo, y cada 10 minutos ofrecen actualizaciones
automáticas y seguras de los filtros de spam para contribuir a frustrar los posibles ataques. El
análisis en tiempo real, mediante las galardonadas tecnologías de Symantec AntiVirus™, ofrece
protección contra las amenazas de correo electrónico, al mismo tiempo que la función de limpieza
de envíos masivos elimina automáticamente los mensajes relacionados con los gusanos de envío
masivo de correo.
Las innovadoras tecnologías de firewall de correo electrónico, que cuentan con una poderosa
combinación basada en la administración de las conexiones SMTP y la detección de ataques,
reducen los costos de la infraestructura de correo electrónico, ya que limitan las conexiones
procedentes de servidores emisores de spam. Gracias al factor de tamaño del appliance y al
sencillo mecanismo de actualización de software para el sistema operativo, los MTA y el software
de apoyo, la instalación y la administración se llevan a cabo con facilidad.
Desde una única consola basada en Web, los administradores pueden aplicar distintas
políticas fácilmente para diferentes usuarios y grupos, al mismo tiempo que mejoran sus
conocimientos de las tendencias y las estadísticas de ataques, y personalizan y monitorean todos
los appliances de seguridad del correo electrónico. Las funciones de conformidad de contenidos
permiten que los administradores controlen el contenido de los correos electrónicos entrantes y
salientes, de modo que puedan garantizar el cumplimiento de las políticas de contenido internas
o reguladoras. Los usuarios pueden controlar sus parámetros personales de spam a través de las
preferencias del usuario.
La serie dispone de dos modelos para satisfacer las necesidades de las organizaciones
medianas y grandes con mayor eficacia. Además, la solución está respaldada por Symantec
Security Response, la organización líder mundial en investigación y soporte contra virus y
seguridad de Internet.
27
Acerca de Symantec
Symantec es el líder mundial
en seguridad de la información
y ofrece una amplia gama de
software, appliances y servicios
diseñados para ayudar a los
usuarios individuales, a las
pequeñas y medianas
empresas y a las grandes
empresas a proteger y
administrar su infraestructura
de TI. Norton™, la marca de
productos de Symantec, es el
líder mundial en soluciones de
seguridad de consumidor y de
resolución de problemas. Con
sede central en Cupertino,
California (EE.UU.), Symantec
opera en más de 35 países.
Para obtener más información,
visite el sitio
www.symantec.com.mx
SYMANTEC CORPORATION
SEDE MUNDIAL
20330 Stevens Creek Blvd.
Cupertino, CA 95014 U.S.A.
1 800 441-7234
1 541 334-6054
www.symantec.com
SYMANTEC AMÉRICA LATINA
9155 South Dadeland Blvd.,
Suite 1100
Miami, FL 33156
Teléfono: 305-671-2300
Fax: 305-671-2350
http://www.symantec.com/la/
http://www.symantec.com.mx/
Symantec opera a nivel mundial en más de 35 países. Para más
información sobre las oficinas y los números de contacto en los
diferentes países, consulte nuestro sitio Web: www.symantec.com
Symantec y el logotipo de Symantec son marcas
comerciales registradas en los Estados Unidos por
Symantec Corporation. Las otras marcas y productos son
marcas comerciales de sus respectivos titulares. Toda la
información técnica que Symantec Corporation pone a
su disposición corresponde a una labor registrada por
Symantec Corporation y su propietario es Symantec
Corporation. SIN GARANTÍAS. La información técnica se
proporciona tal cual y Symantec Corporation no otorga
ninguna garantía, ni en cuanto a su exactitud, ni a su
uso. Cualquiera que sea el uso que se haga de la
documentación técnica o de la información aquí
contenida se hace a riesgo del usuario. La
documentación puede incluir inexactitudes técnicas o de
otra índole, así como errores tipográficos. Symantec se
reserva el derecho de realizar cambios sin previo aviso.
Copyright © 2005 Symantec Corporation. Todos los
derechos reservados. 01/05
WP-00059-SL

RESUMEN DE TE CNOL OGÍA S: SE GURID AD

Transcripción

Documentos relacionados

Alertaron a colombianos sobre amenazas cibernéticas