Après Cisco WSA la solution de proxy web, nous allons parler cette semaine de Cisco ESA.
Pour réaliser ce post j’ai eu le plaisir d’interviewer Frédéric Her, expert Cisco sur ces solutions.
ESA (Email Security Appliance) c’est quoi ?
C’est la passerelle leader sur le marché pour la sécurité de la messagerie. Elle permet de sécuriser efficacement les messages entrants ainsi que les messages sortants. L’interface d’administration pour ESA et WSA est commune.
ESA s’intègre avec Cisco Security Intelligence Operations (CSIO) pour fournir une sécurité optimale et en temps réel.
En plus de la gestion efficace des messages entrants, ESA fournit des services spécifiques pour les messages sortants en intégrant notamment un moteur de DLP (Data Loss Prevention), un moteur de chiffrement, ainsi que des fonctionnalités spécifiques pour permettre à nos clients de ne pas se retrouver blacklistés.
Cette solution centralisée permet de prendre en charge tout le trafic de messagerie d’une entreprise avec un nombre limité de boitiers matériels ou d’instances virtuelles.
Quelles sont les fonctions principales ?
–> Fonctions de base: anti spam et antivirus s’appuyant sur des moteurs de contrôle de contenu et sur des signatures
–> Fonctions évoluées et différenciantes: un filtrage en temps réel par notes de réputation et des “Outbreak filters” permettant la détection d’une pièce jointe suspecte (non connue par les anti-virus) dans un message, mais aussi la ré-écriture d’une URL suspecte dans un mail afin de protéger l’utilisateur qui cliquerait sur l’URL. Ceci permet de se protéger intelligemment contre les risques des attaques ciblées sans risquer de générer des faux positifs.
Exemple: une entreprise peut enlever dans tous types de messages, et pas nécessairement des spams, les urls qui appartiennent à une catégorie définie comme non désirée (jeux,…). Les technologies utilisées sont identiques à celle utilisées pour WSA et CWS et ne nécessitent néanmoins pas l’ajout de licences spécifiques pour ESA.
Quoi de neuf avec la dernière version de ESA ?
Avec la dernière version 8.5.5 de ESA, le moteur AMP (Advanced Malware Protection) vient renchérir la solution. La technologie AMP devient un moteur complémentaire dans ESA en plus de l’anti-virus, de l’antispam et des outbreak filters.
–> Lorsqu’un message est reçu et qu’il contient une pièce jointe avec un hash connu de la base AMP, ce dernier va fournir une note de réputation au fichier (selon son niveau de dangerosité). Le fichier ne va pas être envoyé chez Cisco mais traité localement par le boitier ESA.
–> en revanche, lorsqu’un fichier n’est pas connu de la base AMP, il est alors possible d’ envoyer son hash dans le Cloud Cisco afin qu’il soit examiné via des technologies de sandboxing/heuristiques.
–> de plus, AMP fait de l’analyse retrospective, permettant ainsi à un fichier détecté comme non malicieux dans un premier temps, d’avoir un verdict différent dans un deuxième temps. Cette information sera alors envoyée à la solution ESA, permettant ainsi à l’administrateur de savoir qu’un message délivré précédemment possède une pièce jointe infectée. Une action de “remédiation” de la part de l’administrateur pourra alors être effectuée.
En résumé, qu’est ce qui différencie ESA des autres solutions du marché ?
– Le système d’exploitation optimisé AsyncOS
– Une intégration avec Cisco SIO et un filtrage en temps réel par notes de réputation
– Un traitement antispam qui ne nécessite pas d’administration et qui ne génère pas de faux positifs
– Les outbreak filters pour les pièces jointes et les URLs
– Le moteur AMP
– Le moteur DLP et le moteur de chiffrement intégrés
Plus d’ informations sur les nouvelles versions de WSA et ESA dans des posts à venir.