Cisco Support Community Expert Series Webcast

シスコサポートコミュニティ
Live Expert Webcast
Cisco ESA スキャンエンジンの仕組みについて
秦昭 (Zhao Qin)
シスコテクニカルサポート
カスタマーサポートエンジニア
2014年 5 月 13日
ご参加ありがとうございます
本日の資料はこちらからダウンロードいただけます
https://supportforums.cisco.com/ja/document/12197211
CSC トップページか
らWebcast を
クリック
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
2
シスコサポートコミュニティ Live Expert Webcast
本日のスピーカーの紹介
秦昭 (Zhao Qin)
シスコテクニカルサポート
カスタマーサポートエンジニア
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
3
アジェンダ

Email セキュリティ概要

Reputation Engine

CASE Engine


Marketing Detection 機能
Intelligent Multi-Scan 機能

Outbreak Filter

AMP Client
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
4
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
5
メール送受信の流れ

DNS
recipient.com
mx.recipient.com
mail.sender.com
インタネット

Envelope
Header
Body
To: [email protected]
[email protected]
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
IN A
mx.recipient.com
2.2.2.2
mx. recipient.com
1.1.1.1
SMTP
クライアント
IN MX

2.2.2.2
SMTP
サーバ
Cisco ESA

exchange.recipient.com

[email protected]
6
SMTP セッション
mail.sender.com
192.168.1.2
Envelope
Headers
Body
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
1.
SYN
2.
ACK
3.
4. << 220 mx.recipient.com ESMTP
>>
<<
>>
<<
>>
<<
>>
<<
>>
>>
>>
>>
>>
>>
>>
>>
>>
<<
>>
<<
SYN/ACK
mx.recipient.com
192.168.3.4
HELO mail.sender.com
250 mx.recipient.com
MAIL FROM: <[email protected]>
250 sender <[email protected]> ok
RCPT TO: <[email protected]>
250 recipient <[email protected]> ok
DATA
354 go ahead
From: Sender <[email protected]>
To: Recipient <[email protected]>
Subject: Overslept Again! :-(
Date: Mon, 5 March 2013 20:57:13 -0700
X-SpamScore: 100
I screwed up my alarm again and I'm going to be late to
this morning’s meeting. Can you cover for me?
.
250 ok
QUIT
221 mx.recipient.com
7
ESA 上のメールフロー
REPUTATION
FILTERS
MESSAGE
FILTERS
ANTI-SPAM
ANTI-VIRUS
AMP
CONTENT
FILTERS
OUTBREAK
FILTERS
ASYNCOS™ MTA PLATFORM
•
•
•
•
Reputation Filters
Anti-Spam
AMP (Advanced Malware Detection)
Outbreak Filters
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
8
用語と定義

Reputation Filters
IP アドレスの評価情報により、メール送信サーバをグループ分けする機能

Anti-Spam
メールのコンテンツ情報により、スパムメールを識別する機能

Marketing Detection
マーケティングメールを検知する機能

Intelligent Multi-Scan
複数ベンダーのアンチスパム技術の長所を集めて検知精度を高める機能

Outbreak Filters
不審なメールを隔離し、アンチウィルスのパターンアップデートがリリース
されるまでの時間を稼ぎ、不審なURL へのアクセスをブロックする機能

AMP （Advanced Malware Protection）
添付ファイルのハッシュ情報により、ファイルのリスクを評価する機能
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
9
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
10
Reputation Filters の概要
REPUTATION
FILTERS
MESSAGE
FILTERS
ANTI-SPAM
ANTI-VIRUS
AMP
CONTENT
FILTERS
VIRUS
OUTBREAK
FILTERS
ASYNCOS™ MTA PLATFORM
• Reputation Filters はスパム対策のフロントライン
• SensorBase によるメールサーバに対する信用格付け
• 約120,000 ISP/会社/組織からの統計情報をベースにしている
• 非常にハイパフォーマンスなアンチスパム技術
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
11
SensorBase ネットワーク
150個以上のパラメータ
• 苦情報告
• スパム・トラップ
リアルタイムの防御能力
• メール編集ツール情報
• ワールドワイドのメー
ル通信量のデータ
• URL リスト
• ボットネットリスト
• ウェブ・クローラー
SensorBase
データ
統計分析
モデリング
SBRS スコア
–10 〜 +10
• IPブラックリスト&
ホワイトリスト
SBRSの評価対象：IP アドレス
• その他の情報
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
12
SBRS スコアの説明
このIPアドレスはスパマーが所要し
ているか、オープンリレーになって
おり、大量のスパムメールの苦情
が報告されている。確実にスパム
メールを送信する。
-10
スパムトラップに捕らわ
れたり、多くの苦情が
報告されたり、オープン
リレーリストに登録され
ているIPアドレス。ほぼ
確実にスパムを送信す
る。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
-5
ひとつ以上のブラックリ
ストに登録されたり、ス
パムトラップや苦情の
報告があるIPアドレス。
送信する大多数のメー
ルはスパム。
0
Dialup などの動的IPアド
レス、もしくはスパムとみ
られる通信が観測された
IPアドレス。スパムの可
能性がある。
一定時間の通
信履歴があり、
苦情はあまり
多くない
+5
企業が所有するIP アド
レスとして知られており、
かつ長期間の通信履歴
があり、苦情情報もない
+10
長期間の通信
履歴があり、苦
情も殆ど無い
13
SBRS のベスト・プラクティス
スコアにより送信元アドレスをグループ分け
•
•
•
•
•
アグレッシブなポリシーは誤検知の可能性を高める
Whitelist にはよく知られていて信頼される送信者を入れる
SBRS スコアは動的な情報なので、Whitelist に含めないように
特別な事情がない限り、デフォルトプロフィール（モデレート）を推奨
SBRS スコアを持たない送信者を Suspectlist に入れる
送信者グループ
Blacklist Suspectlis
t
Unknownli
st
Whitelis
t
コンサーバティブ
–10 〜 –
4
–4 〜 –2
–2 〜 10
—
モデレート（デフォルト
）
–10 〜 –
3
–3 〜 –1
–1 〜 10
—
アグレッシブ
–10 〜 –
2
–2 〜 0
0 〜 10
—
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
14
repeng の趣旨と沿革
AsyncOS では本来メールフロー処理に SBRS サービスを組み込んでいたが、
 SBRS サービスの機能が拡張しやすくなる
 AsyncOS のアップグレード無しで SBRS サービスを改善する
 SBRS サービスを切り離し、メールフロー処理をより効率化する
ために、
2011年 AsyncOS 7.6 にて repeng プロセスを導入。
o v1.0: 単独プロセス repeng を導入
o v1.1: IPv6 アドレスに対する SBRS スコア取得が可能
o v1.2: SBNP データの取得方法を改善
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
15
repeng アーキテクチャ
Updateサーバ
SBRSサーバ
SBNPサーバ
ボットネット
企業
プロバイダー
インタネット
Incomingメール
各種アップデート
SBRSスコア
SBNPデータ
Listener
メールフロー
Updater
Reputation
Engine
ローカル
ルールDB
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
プロセス
間の通信
CASE
Workqueue
ESA
16
repeng による SBRS スコア取得
メールフロー
repeng
SBRSサーバ
SYN を受信
<クエリ>: IP, PTR 情報
<クエリ>
SBRS: 5.0
HELO を受信
SBRS: 5.0
一回目のクエリでセッションが破棄
されなければ、二回目のクエリがあ
る
<クエリ>: HELO 情報 + etc
<クエリ>
Final SBRS: 5.0
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
SBRS: 5.0
二回目のスコアが違う場合、
送信者グループを評価し直す
17
SBRS スコアのパケットキャプチャ

Domain Name System (query)
 Queries


SBRSサーバへの認証用ハッシュ
1-0a52172a3ce91ccb93fae88aad31e9af.1#4.2#3.#6.1#0.v1x2s.rfadfe2ko9.senderbase.org: type TXT, class IN

Name: 1-0a52172a3ce91ccb93fae88aad31e9af.1#4.2#3.#6.1#0.v1x2s.rf-adfe2ko9.senderbase.org

Type: TXT (Text strings)

Class: IN (0x0001)
問い合わせするIP:1#0.#6.2#3.1#4
Domain Name System (response)

Answers

1-0a52172a3ce91ccb93fae88aad31e9af.1#4.2#3.#6.1#0.v1x2s.rf-adfe2ko9.senderbase.org: type TXT, class IN

Name: 1-0a52172a3ce91ccb93fae88aad31e9af.1#4.2#3.#6.1#0.v1x2s.rf-adfe2ko9.senderbase.org

Type: TXT (Text strings)

Class: IN (0x0001)

Time to live: 16 minutes, 40 seconds

Data length: 48

TXT Length: 47

TXT: |0=-10.0|1=0.0|2=0.9966|3=0.5|7=CblPbl|10=4,31|
スコア -10.0、スパマーのアドレス
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
18
repeng が正常動作しない場合

SBRS スコアを取得できなくなる

DNSクエリのタイムアウトによるメール受信遅延
<mail_log>
Thu Feb 20 04:15:24 2014 Info: ICID 32621632 ACCEPT SG
UNKNOWNLIST match sbrs[none] SBRS unable to retrieve
ironport.example.com> sbstatus
SenderBase Host Status
Status as of:
Host success/fail:
Thu Feb 20 05:06:52 2014 JST
fail
SBRS Status
Status as of:
Host success/fail:
Thu Feb 20 05:06:52 2014 JST
fail
SenderBase Network Participation Status
Time of last SenderBase upload: never
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
19
repeng が正常動作しない場合の原因と対策
原因：

CSCzv76406 (AsyncOS 8.0.2-048で修正) プロセスモニタリングの不具合
Make Repeng watchdog more robust to take care of Repeng restarts

CSCzv77030 (repeng 1.1.0-021で修正) 高負荷時の不具合
High ICID rates result in no SBRS scores

CSCzv50610 (repeng 1.1.0-024で修正) アップグレードスクリプトの不具合
phoebe/upgrades/2.0/upgrade.sh not creating /usr/repeng/tmp director...
対策：
1.
コマンドラインで ‘repengupdate force’ を実行
2.
ESA を再起動する
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
20
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
21
Anti-Spam の概要
REPUTATION
FILTERS
MESSAGE
FILTERS
ANTI-SPAM
ANTI-VIRUS
AMP
CONTENT
FILTERS
OUTBREAK
FILTERS
ASYNCOS™ MTA PLATFORM
• Anti-Spam エンジン:
• 複数のエンジン：Cisco提供(CASE Engine), 3rd Party提供(Cloudmarkなど)
• エンジンは単独で機能するが、エンジン間でも連携可能(Intelligent Multi-Scan)
• スパム閾値を設定する
• 閾値によって spam と suspected spam を分ける
• 取れるアクション：drop, forward, tag, archive, quarantine
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
22
CASE アーキテクチャ
Updateサーバ
SBRSサーバ
SBNPサーバ
ボットネット
企業
プロバイダー
インタネット
Incomingメール
各種アップデート
SBRSスコア
SBNPデータ
Listener
メールフロー
Updater
Reputation
Engine
ローカル
ルールDB
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
プロセス
間の通信
CASE
Workqueue
ESA
23
CASE によるスパム解析
HOW?
•スパム作成ツールで作成し
た痕跡が見られる
WHO?
WHAT?
• 最近メール送信し始めた
IPアドレス
• ダイヤルアップ接続のIP
アドレスから送信している
• ロシアの IPアドレスから送
信している
• 画像ファイルのみのメール
• ランダムなドット (“.”) がメ
ールに含まれる
•スパムトラップで捉えた複
数のメールとほぼ同一なカ
ラースキーム
WHERE?
WWW.SPAMMER.COM
判定
Positive Spam
Suspect Spam
Clean Message
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
>90
>50
< = 49
24
CASE ルールタイプ
Structural Rules
• メールの構造
ヘッダー、メタデータ、添付の有無、サイズ、…
Content Rules
• メールの内容
特定キーワード、画像、言語、エンコード、…
Web Repuation DB
• ボディーにある URL のレピュテーション情報
Mail Reputation
• 送信元のIP アドレス SBRS スコア
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
25
CASE の Early Exit 処理
ヘッダー
スコアの閾値超過、スパムと断定
ボディー
URL
以降のルールを
バイパスする
メタデータ
CASE ルールセット(イメージ図)
<Early Exit>
パフォーマンス向上の観点で、メールコンテンツを
フルにスキャンせず、スパムと断定できる時点で
ルールマッチングを中止
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
26
マーケティングメール検知
マーケティングメールの特徴
• 送信元（ドメイン、アドレスなど）情報を隠蔽・改ざんしない
• 基本的に事前登録が必要
• ユーザが配信停止できる
Clean
Suspected
Spam
Marketing
Spam
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
27
CASE の判定フロー
CASE スコア
(1-100)
> 90 ◯
☓
> 50 ◯
☓
Marketing検知が無効
◯
☓
Marketing検知ルールにヒット
☓
◯
Spam
Suspected
Spam
Clean
Marketing Mail
Clean
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
28
Anti-Spam 関連ヘッダーを活用する
ヘッダー
フォーマット
使用方法
X-IronPort-Anti-Spam-Result:
AISrAr..
TAC トラブルシューティング用
X-IronPort-Anti-Spam-Filtered:
true
メールが Anti-Spam 機能で処理
したかを確認する
Definite spam
header
X-advertisement: spam
テストで Spam と検知させる
Suspect spam
header
X-advertisement: suspect
テストで Suspected spam と検
知させる
Marketing Mail
header
X-advertisement: marketing
テストで Marketing メールと検
知させる
Tracker header
Status header
Definite spam
body
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
XJS*C4JDBQADN1.NSBN3*2ID テストでメール本文に追加して
Spam と検知させる
NEN*GTUBE-STANDARDANTI-UBE-TEST-EMAIL*C.34X
29
IMS(Intelligent Multi-Scan)
Intelligent Multi-Scan
3rd-Party
Engine A
3rd-Party
Engine B
3rd-Party
Engine C
CASE Engine
各Engine の設計が異なる。
それぞれの長所を集めて
高いスパム検知率と少ない誤検知を両立
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
<効果例>
スパム検知率を
94%から96%に
増やすだけで、
スパムが3割減少
30
IMS feature key の組み合わせ
所有するキー
IMS CASE
Cloudmark
CASE +
Cloudmark
IMS +
CASE
IMS +
Cloudmark
IMS
◯
◯
☓
☓
☓
☓
IMS,
CASE
◯
◯
☓
☓
☓
☓
IMS,
Cloudmark
◯
◯
◯
◯
☓
☓
IMS,
CASE,
Cloudmark
◯
◯
◯
◯
☓
☓
IMS = Cloudmark + CASE (multiscan モード)
CASE + Cloudmark = Cloudmark + CASE (standalone モード)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
31
CASE ルールアップデート
CASE Engine。
更新時にCASE エンジンの再起動が必要
CASE Engine の正常動作に必要なツール。
更新時にCASE エンジンの再起動が必要
CASE のルール。
更新時にエンジンの再起動が必要ない
アップデートは、Updater プロセスにより、
Update サーバから定期的に自動ダウンロードされる。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
32
CASE （アップデートによる）再起動時のスキャン処理

問題: CASE のプロセスが再起動中に、AsyncOS が CASE にメールをス
キャンさせるとどうなりますか。
回答: AsyncOS は、CASE の再起動が完了して該当メールのスキャン処
理が終わるまで待ちます。

問題：メールのスキャン・タイムアウトまで、CASE の再起動が完了しな
かったらどうなりますか。
回答：メールがタイムアウトとマークされ、アンチスパムでスキャンせず次
の処理に渡されます。

問題：CASE がメールスキャン中に再起動されたらどうなりますか。
回答：AsyncOS が CASE プロセスが異常停止したと認識し、該当メール
に対してアンチスパムのスキャンをやり直します。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
33
CASE （アップデートによる）再起動時のスキャン処理

問題: CASE のプロセスが再起動中に、AsyncOS が CASE にメールを
スキャンさせるとどうなりますか。
回答: AsyncOS は、CASE の再起動が完了して該当メールのスキャン処
理が終わるまで待ちます。

問題：メールのスキャン・タイムアウトまで、CASE の再起動が完了しな
かったらどうなりますか。
回答：メールがタイムアウトとマークされ、アンチスパムでスキャンせず
次の処理に渡されます。

問題：CASE がメールスキャン中に再起動されたらどうなりますか。
回答：AsyncOS が CASE プロセスが異常停止したと認識し、該当メール
に対してアンチスパムのスキャンをやり直します。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
34
CASE 誤検知の是正
CASE による誤検知は、ESA 通過後のメールサンプルを下記へ転送すると、
手動レビューにより検知ルールが更新され、再発防止につながる。

Spam メールを見逃した場合



Non-Spam メールを Spam と検知した場合

[email protected]

Marketing メールを Spam と検知した場合もこのアドレスに転送する
Marketing メールを見逃した場合


[email protected]
[email protected]
Non-Marketing の Clean メールを Marketing と検知した場合

[email protected]
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
35
ユーザ毎の Safelist と Blocklist
• Safelist
• ユーザが信頼されるアドレスとドメインを指定する
• 該当するメールは Anti-Spam スキャンをバイパスする
• Anti-Spam 以外のスキャンは引き続き行われる
• Blocklist
管理者が個別に Safelist と Blocklist を
バックアップする必要がある。
※1. スパマーがアドレスやドメインのスプーフィングを
行うため、Blocklist によるスパム防止効果が弱い。
※2. SLBL に関する脆弱性
Masquerading or
LDAP Masquerading
LDAP Routing
Message Filters
per-user safelist / blocklist
Anti-Spam
Anti-Virus
AMP
Process Mail
Content
Filters
Work Queue
Outbreak Filters
Per-Policy Scanning
• ユーザがアドレスやドメインのメールをスパムに指定す
る
• 該当のメールは ESA に Spam とマークされる
• 管理者がメールを隔離もしくは削除することを決める
LDAP Recipient Acceptance
(Work Queue time)
RSA DLP Engine
(outbound)
Work Queue
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140319-asyncos
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
36
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
37
Outbreak Filters の概要
REPUTATION
FILTERS
MESSAGE
FILTERS
ANTI-SPAM
ANTI-VIRUS
AMP
CONTENT
FILTERS
OUTBREAK
FILTERS
ASYNCOS™ MTA PLATFORM
• Outbreak Filters は未知の脅威を対処
1. 標的型攻撃のヒューリスティック分析
2. 被疑メッセージを動的に隔離
3. 埋め込み URL へのアクセスを制限する
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
38
メール攻撃のトレンド
社員A
社員C
CEO
CFO
社員B
大量
少量
過去
現在
標的型フィッシング
画像ファイル悪意ある添付ファイル
.jpg
.exe, .xls, .pdf
スパム
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
カスタムURL
ウィルスアウトブレイク
フィッシング
39
Outbreak Filters の沿革
年
AsyncOS
2005
4.0
Virus Outbreak Filter 機能が発足。
添付ファイルの種類に着目したルール
2005
4.5
添付ファイルのサイズ、名前などの特徴も
解析パラメータに含む。
2010
7.1
隔離からリリース後のリスキャン機能の改善
2011
7.5
- Outbreak Filter に改名
- URL 書き換え機能追加
2014
8.5
- X-IronPort-Outbreak-ヘッダーの追加
- Subjectの書き換え
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
機能
40
Outbreak Filter の主要機能
時間稼ぎ
• 疑わしいメッセージ
• 全ての脅威(スパム、フィッシング、標的型)
リダイレクト
書き換え
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
• シスコのウェブプロキシを経由し
て不審URL へアクセスさせる
• メッセージ内容(件名)
• 免責事項
41
Outbreak と Adaptive ルール
Outbreak ルール
例
Adaptive ルール
例
添付ファイル種類
.jpg, .exe, .zip
ファイル拡張子と
種類の不一致
doc なのに実際は
zip ファイル
ファイル名
“Hello”, “pho t o”
ファイル名にスペ
ース
“hell o”
添付ファイルサイ
ズ
40-45 kb, 20-40 kb
ファイル名に複数
の拡張子
“hello.doc.exe”
ファイルの暗号化
Encrypted ZIP and
DOC files
ファイル名にメー
ルアドレス
“hello@nowhere.
doc”
メール内のURL
http://thisisviral.co
m/
不審なヘッダー
Sophos AV シグネ
チャー
Sophos IDE
version
Date ヘッダーは
かなり過去か将来
の時間
SBRS スコア
IP の評判スコア
一過性
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
継続性
42
Outbreak スレットレベル
スレット
レベル
サマリ
詳細
1
Low
大量発生ファイルはウィルスの可能性がある
2
Low/Medium
大量発生したファイルはウィルスである
3
Medium
確認された拡散中のウィルス
4
High
広範囲に拡散中または危険性の高いウィル
ス
5
Extreme
非常に広範囲に拡散中、または広範囲に拡
散中かつ危険性の高いウィルス
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
43
アウトブレイク検知の流れ
SensorBase ネットワーク
“正常時は1時間に10回ほ
ど .pif ファイルを観測”
“.pif ファイル
が90% 増加した”
Outbreak Filters は
SensorBase スレッ
ト・レベル情報を元
に受信メールのリス
クを評価
1
Low
2
Low / Med
3
Med
4
High
5
Extreme
.pif ファイルを
含むメールは
Threat = 3
スレット・レベル
を計算し直す
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
SensorBase の統計データを活かして、平均的
にウィルスシグネチャーのリリースより 13時
間も早くアウトブレイクを検知する。
44
シスコの迅速なアウトブレイク検知
http://www.senderbase.org/static/malware/
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
45
継続的なルールアップデートによる時間稼ぎ
SOPHOS
McAfee
Anti-Virus
Outbreak Filters
Anti-Virus
Outbreak Filter
Quarantine
シグネチャーにマッチしないため、メールが AntiVirus を通過
RULE-V1：ZIP ファイルに EXE を含むメールのスレットレベルを上げる
という Outbreak Filter にマッチし、メールが隔離される
RULE-V2：ZIP ファイルに 36 KB以上のサイズのEXE を含む
RULE-V1 にマッチするが、RULE-V2 にマッチしないメールがリリースされる
RULE-V3：ZIP ファイルに 50KB〜55KBのサイズかつ ‘price’という名前のEXE を含む.
RULE-V2 にマッチするが、RULE-V3 にマッチしないメールがリリースされる
Sophos と McAfee のシグネチャーが更新されたので、RULE-V4によりこれまで隔離
されたメールを全部リリースして、再スキャンさせる
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
46
不審URL のリダイレクト
Cisco SIO
Verdict: Suspect IP / URL
Action: Send to Cloud
http://secure-web.cisco.com/
Verdict: Malicious Content
Action: STOP
1. メール内の URL に対して、CASE がOutbreak ルールを元にスレットレベルを計算
2. 設定したスレットレベルに達すると、（予め指定したbypass するドメイン以外
の）全URLが書換えられる
3. プロキシ経由で表示したページにあるURL は、引き続きプロキシにリダイレクト
される
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
47
URL リダイレクト後の動き
ユーザがURL書換え
済みのメールを受信
ユーザがそのURLを
開く
悪意あるコンテンツ
不審なファイル
不審なページ
プロキシが
アクセスを拒否
プロキシが
警告を表示
プロキシ経由して
引き続きアクセス可能
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
ユーザが
接続中止
ユーザが
接続継続
ページを
閉じる
ファイル
転送
プロキシから切断する
と、保護されなくなる
48
Outbreak Filter ワークフロー
削除・隔離
など
Virus
Anti-Spam
Anti-Virus
Not
Virus
隔離時間がExpire、
または手動リリース
Yes
OF に
スキャン済
No
Yes
VTL が
閾値以下
No
Outbreak隔
離
配送
ルールアップデート
Yes
件名・ヘッダー・URL・フッター
Exit 条件
を満たす
Yes
No
書換え
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
49
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
50
AMP の概要
REPUTATION
FILTERS
MESSAGE
FILTERS
ANTI-SPAM
ANTI-VIRUS
AMP
CONTENT
FILTERS
OUTBREAK
FILTERS
ASYNCOS™ MTA PLATFORM
• Advanced Malware Protection (AMP) マルウェア対策
• ESA がマルウェアを検知できるようになる
• 既存のMcAfee と Sophos はウィルスを検知する
• AMPはクラウドベースの検知技術
• サンドボックス技術で 0-Day 攻撃を検知
• 過去に検知漏れていたマルウェアを追跡する
• AsyncOS 8.5.5 以降でサポート
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
51
AMP の主要機能
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
File
Reputation
ファイルのSHA256ハッシュを
クラウドにクエリし、スコアを取得
File
Sandboxing
ファイルをクラウドにアップロードし、
挙動を解析する
File
Retrospection
過去にクエリされたファイルの判定が
変わったら、ユーザに通知する
52
AMP のアーキテクチャ
AMPクラウド
SHA256でクエリ
AMP
クライアント
キャシュ
(レピュテーション)
レピュテーション・スコア
15分毎のハートビート
レトロスペクティブ情報
ESA
レピュテーションの
アップデート
未知ファイルのアップロード
サンドボックス
※ ハートビートの間隔はデフォルトで 15分ですが、設定可能。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
53
AMP の判定フロー
AMPクライアント
AMPクラウド
ESAの判定
Verdict Score
既知の
ファイルの
AMP
SHA256ハッシュ
サービス
clean
malicious 1→59
ファイル
60→100
verdict unknown
未知の
ファイル
(file unknown)
サンドボックスに
アップロード？
はい
いいえ
スキャンできない
(unscannable)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
clean
malicious
clean + アップロード
clean
unscannable
54
複数添付ファイルのメールに対する判定
添付ファイル
１
添付ファイル
２
メールに対する判
定
Malicious
Clean
Malicious
Malicious
Unscannable
Malicious
Unscannable
Clean
Unscannable
※ 優先順位:
Malicious > Unscannable > Verdict unknown > File unknown > Clean
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
55
レトロスペクティブ情報の更新
ESA
AMPクラウド
<Query>, sha256: ab6…d
Verdict: Clean
.
.
.
<Heartbeat Request>
ab6..d の判定が
変わった
<Retrospective Update>, (sha256: ab6…d, malicious)
アラート送信
+
レポート生成
管理者が Message Tracking で ab6…d という
ファイルを受信したユーザを特定し、対策する
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
56
AMP ログのサンプル
<mail_log: malicious file>
Tue Apr 22 15:42:11 2014 Info: MID 927 Message is Malicious, Details: attachment 'malware.flv'
SHA 3344f78d18cc103e462800b6adf105c464167323ca8069fbb91d45390a306ef3 verdict positive
Tue Apr 22 15:42:11 2014 Info: Message aborted MID 927 Dropped by amp
<mail_log: clean file>
Tue Apr 22 15:52:34 2014 Info: MID 936 AMP verdict clean
<amp_log: unscannable>
Tue Apr 22 17:21:04 2014 Info: amp File reputation query initiating. File Name = ’test.txt', MID = 961,
File Size = 4506 bytes, File Type = text/plain
Tue Apr 22 17:21:24 2014 Warning: amp The file reputation service in the cloud is unreachable.
Tue Apr 22 17:21:24 2014 Info: amp Response received for file reputation query. File Name =
‘test.txt', MID = 961, Disposition = unscannable, Malware = None, Reputation Score = 0, sha256 =
ed0bdb526ae58aa5291e019bae53f00e24e4868254e1a9c5916beae5314c255b, upload_action = 0
<amp_log: file unknown, clean + upload>
Tue Apr 22 15:51:54 2014 Info: amp Response received for file reputation query. File Name =
’Warning.txt', MID = 932, Disposition = file unknown, Malware = None, Reputation Score = 0,
sha256 = 500f006b8a15fca5d8bbe60111393fdee88184dd0e793f29a181033d23aebbc8,
upload_action = 1
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
57
Content Filter で AMP Maliciousファイルを隔離
AMP が追加するヘッダー
•
•
•
X-Amp-Result
•
clean
•
malicious
•
unscannable
X-Amp-Original-Verdict
•
file unknown
•
verdict unknown
X-Amp-File-Uploaded
(set to ‘true’ is one of the
attachment is uploaded)
•
true
•
false
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
58
AMP 機能の制限事項（現時点）

File Reputation は多数のファイル・タイプをサポートするが、File
Analysis (sandboxing) は Windows 実行ファイル(.exe) のみサ
ポートする。

圧縮ファイル(zipなど)は、未解凍のままでハッシュを計算し
Reputation スコアをクラウドに問い合わせる。圧縮ファイルの
中にあるファイルは個別にチェックされていない。

File Analysis でアップロードするファイルサイズは 20KB 以上
2MB 以下に制限される。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
59
Outbreak
FIlters Rules
Updates
Cisco SIO
Dropped: Emails with
known bad file reputation
attachments
Updates
DNS
Query
SBRS
Reputation
File
Reputatio
n
File
Reputation
• Known File ReputationUpdate
• Retrospection data
File Analysis
Signature
Updates for
Malware
Scanner
SBRS
Servers
AMP を加えた最新の
ESA メール・パイプライ
ン
Sandboxing
FireAMP
Unknown files are uploaded to VRT
sandboxing
Content Filters
Anti-Spam
Outbreak Filters
Clean emails
delivered
Signature-Based
Malware Scanners
Defang URL
bad senders
blocked
Redirect CWS
spam
dropped
© 2013-2014
Cisco and/or its affiliates. All rights reserved.
C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Replace URL
with Text
signature-based
malware dropped
Drop or Quarantine, etc
URL
Rendered
Safe and
Delivered
60
ESA メール・パイプライン
Host Access Table
(HAT)
LDAP Recipient Acceptance
(Work Queue time)
Encryption
Masquerading or
LDAP Masquerading
Virtual Gateways
LDAP Routing
Delivery Limits
Received Header
Default Domain
Received: Header
Message Filters
Domain Map
per-user safelist / blocklist
Alias Tables
SMTP Call-Ahead
AMP
Process Mail
Work Queue
Content
Filters
DKIM Verification
Outbreak Filters
SPF/SIDF Verification
RSA DLP Engine
(outbound)
Work
Queue
LDAP Recipient Acceptance
Accept Mail
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
SMTP
Receive
Process
Mail
Quarantine
Domain-Based Routing
Per-Policy Scanning
Anti-Virus
SMTP Server
Domain-Based Limits
Anti-Spam
Recipient Access Table
(RAT)
Global Unsubscribe
DKIM Signing
Bounce Profiles
SMTP client
SMTP
Delivery
Deliver Mail
61
Q&A
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
62
CSC からのお知らせ
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
63
エキスパートに質問 with Zhao Qin
今日聞けなかった質問は、今回のエキスパートが担当の
エキスパートに質問（ 5月14日～ 5月25日まで開催）へ
お寄せください！
https://supportforums.cisco.com/ja/discussion/12197216
Webcastの内容やQ&Aドキュメントは、本日より 5 営業日
以内にこのサイトへ掲載いたします。
https://supportforums.cisco.com/ja/community/5356/w
ebcast
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
64
シスコサポートコミュニティ Live Expert Webcast
次回のお知らせ
2014年 7月1日
ルーター関連
午前10時～11時半
詳細やご登録は CSC トップページのバナーや
Webcastサイトをご利用ください
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
65
ソーシャルメディアを使って
シスコサポートコミュニティと繋がろう
http://www.facebook.com/CiscoSupportCommunityJapan
https://twitter.com/cscjapan
https://www.youtube.com/user/CSCJapanModerator
http://itunes.apple.com/us/app/cisco-technical-support/id398104252?mt=8
http://www.linkedin.com/groups/CSC-Cisco-Support-Community-3210019
Newsletter Subscription:
https://tools.cisco.com/gdrp/coiga/showsurvey.do?surveyCode=589&keyCode=146298_2&PHYSI
CAL%20FULFILLMENT%20Y/N=NO&SUBSCRIPTION%20CENTER=YES
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
66
コンテンツの評価
1 ) ログイン
2 ) 星印にカーソルを合わせてクリック
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
67
他言語のサポートコミュニティ
https://supportforums.cisco.com
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
言語選択のプルダウンを変更
68
シスコ認定ラーニングパートナー
スペシャリゼーション
ラーニングパートナー
リンク
データセンター
NGN-SF
http://ngn-sf.co.jp/
データセンター
ネットワンシステムズ
https://www.netone.co.jp/academy/index.h
tml
コラボレーション
グローバルナレッジ
http://www.globalknowledge.co.jp/
• シスコ認定ラーニングパートナーでは皆様のソリューションを最適化
するために、Ciscoの認定したカリキュラムを使ったトレーニングを提供
しております。
• また、シスコ認定ラーニングパートナーの中でも、シスコスペシャラ
イズドパートナーは特にその専門分野においてのスキルを認められた
パートナーのみが授与される認定資格となっております。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
69
Thank you for Your Time
アンケートにもご協力ください