Mars 2015 Hvordan velge Email Security Service? GUIDE Utarbeidet av SaaS Security as Egil Løseth
e-post sikkerhet har allerede vært benyttet i mange år som tjeneste fra skyen av både små og store virksomheter. I denne gjennomgangen skal vi se på hvilke vurderinger en kunde eller en forhandler bør gjøre før løsning velges. Rapporten er laget for å være så lettlest og forståelig som mulig så den går derfor ikke ned på detaljnivå. I hovedsak ser denne mot en online e-post sikkerhetstjeneste (cloud) men mange av punktene kan også vurderes i en egen eller en hostet gateway løsning (SW). Til slutt i dokumentet kommer en oppstilling i matriseform der du kan sammenligne eksisterende eller planlagt systemer. Et eget punkt nedenfor er også satt opp for forhandlere som vurderer løsninger for sine kunder. Det finnes i dag hundrevis av ulike slike tjenester på markedet. Hvordan skal man kunne skille dem fra hverandre. Prisene varierer også fra noen få kroner pr bruker eller e-postadresse pr måned til 50-60 kroner. De fleste tjenestene gir deg som regel grei antivirus og antispam funksjonalitet. Så sammenligningen bør gjerne skje på andre områder. Hvilke funksjoner gir tjenestene i tillegg som virksomheten har behov for eller kan dra nytte av? Kan e-post tjenesten løse andre behov og gjøre oss mindre sårbare for nedetid? Hvilken beskyttelse gir løsningen mot målrettede nettfiskeangrep? Kan løsningen beskytte mot at virksomhetskritisk og sensitiv informasjon fra å forlate virksomheten Som en god generell indikator på løsningen du ønsker å se på kan man lese allerede publiserte rapporter og analyser fra anerkjente og nøytrale analyseselskaper. Siste rapport finner du her: http://www.proofpoint.com/id/gartner-email-security-magic-quadrant/ Antispam og antivirus De fleste systemer gir en god beskyttelse mot antispam og de ulike produsentene har sine unike teknologier som skal stoppe spam utfra innhold, avsender, stikkord, bildeanalyse osv. Se gjerne på løsningens % spamdeteksjon, falsk-positive mm I tillegg må løsningen ha et online karanteneområde der brukeren og en administrator kan gjøre enkel administrasjon. I tilegg må brukeren få karantenerapporter på e-post der han kan enkelt løse ut karantenesatte e-post og/eller whiteliste avsendere uten å logge seg på senteret. I karantenemailen er det også greit å ha en knapp der bruker kan forespørre en ny fersk karantenemail uten å måtte logge seg inn i sin karanteneportal. Brukerne må også kunne forhåndsvise deler av meldingen i karantene hvis han er usikker på klassifisering av innholdet. Som antivirusmotor bør benyttes en eller helst flere av de mest anerkjente som F-Secure, Norman, Symantec, Sophus el. Anti-nettfiske Målrettet nettfiske er en av de største trusler vi står overfor i dag. Slike angrep er ofte vanskelig å
identifisere og det er ofte opp til selve mottakeren å klassifisere trusselen siden sentrale systemer ikke slår inn. Å klikke på en link i en nettfiskemail gir en nedlasting av malware i bakgrunnen som gir angriper full kontroll med maskinen til bruker. Angriper kan se skjermbilder, tastetrykk, se passord og kreditttkort info, sende falske meldinger til bruker, angripe andre maskiner i nettverket, inngå i angrep på eksterne maskiner og masseangrep (DDOS) mm Nye teknikker gjør det nå mulig å stoppe slike trusler effektivt. En slik måte er sanntids KLIKK-beskyttelse. Med denne funksjonen vil alle linker eller regelutvalgte linker åpnes i produsentens datasenter for analyse i samme øyeblikk som bruker trykker på den. Dette bør skje uten merkbar forsinkelse for bruker. Denne bør også ha sandbox funsjoner som dekker nye trusler det ikke er signatur for. Rapportering Virksomhetens ledelse må kunne få automatiserte rapporter tilsend på e-post i ønsket format som viser siste tids statistikker over spam-mengde, virus stoppet, båndbreddeforbruk, mest bånbreddekrevende brukere, mest spam pr bruker med mer. Administrasjon Det må være et online webbasert konsoll for administrasjon av tjenesten. Regler som settes må tre i kraft umiddelbart uten ventetid og må kunne settes opp svært granulert. Logg må vise sanntid status slik at feilsøking kan skje uten ventetid. Brukere må kunne legges til automatisk gjennom SMTP Discovery, legges til manuelt, importeres fra en fil, eller bruker/grupper må kunne synkroniseres ut fra katalogtjenester som f.eks AD. Brukerne må kunne få flere statusnivåer. F. eks vanlig bruker og "Stille bruker". Stille bruker får aldri meldinger fra systemet og det er normalt administrator eller en forhandler som administrerer karantene. Det bær være flere administratorroller for differensiert tilgang. En brukerrolle må også kunne skapes og redigeres for å bestemme hva brukeren skal ha tilgang til. SLA og ytelse Produsentene oppgir gjerne sin SLA og denne ligger ofte på bedre enn 99,999 % oppetid. Det betyr i praksis at løsningen aldri er nede, noe som også bygges opp gjennom dublerte datasentre. Like viktig er hvor lang tid benytter e-posten for å passerer løsningen. De fleste garanterer meldingene i snitt prosessert mindre enn 1 minutt. Normalt vil det som oftest prosesseres på sekunder. En enkel test kan man gjøre selv ved en test å sende en e-post fra f. eks sin private Gmail konto inn til virksomheten og se tidsforbruket. Samme kan man gjøre ved å sende en utgående melding. Datasenter og lagring I hvilke land er virksomheten e-posten når den passere sikkerhetsløsningen er avgjørende for lovverket og regler knyttet datalagring. For virksomheter i Norge og ellers i Europa vil datasenter dette området bli omfattet av EU/EØS regler, noe som er sterkt å anbefale. Benytter man datasenter utenfor denne regionen vil det aktuelle landets regler gjelde, såfremt de ikke dekkes av regulativer som f.eks Safe Harbour.
Sertifiseringer og konfidensialitet Hvilke sertifiseringene har produsenten som gir meg sikkerhet for mine data/e-post når det passerer produsenten? Dette vil også regulere ansattes tilgang til datasentraler hos produsenten og hvilke sikkerhet det er knyttet mot behandling av kunders data. Og hva skjer med logger og data når man ikke lengre er kunde hos denne produsenten? Office 365 Office 365 gir bare en begrenset antispam og antivirus funksjonalitet, og dekker ikke andre sikkerhetstrusler som nettfiske og målrettet nettfiske mm. Det er heller ikke noe sentralt sikkerhetssystem der man kan sette regler for innhold og sikkerhet. Det finnes ikke sentral logg eller rapporter. I tillegg har ikke Office 365 100 % oppetid, noe som gjør bla nødwebmail til en attraktiv funksjon. Dermed har man i det minste e-post tilgjengelig. I tillegg er det begrenset tid med lagring av e-post på Office 365 (ofte 2 år) som gjør gir et behov for ekstern arkivering i inntil 10 år ihht ulike regulativer. I tillegg vil spamhåntering på Office 365 utgjøre en ekstra risiko siden også nettfiske og andre tussel e- post havener i junk mail mappen. Dette gir en ekstra risiko for at bruker tror falske e-post er klassifisert feil og likevel velger å klikke på linker, og dermed lar seg lure. Nyttige tilleggsfunksjoner Sammen med selve e-postsikkerhetsløsningen levere også noen produsenter funksjoner som virksomheten kan ha behov for som kan løse også andre behov og også redusere konsekvenser med nedetid på systemer. Dette dreier seg gjerne om forretningskontinuitet noe som vil si at løsningen kan gi reservefunksjoner i de tilfeller der interne e-postsystemer er utilgjengelig eller å gjenskape tapte/mistede e-post. Men også andre svært smarte og nyttige funksjoner finnes. Det er under dette området man finner du store forskjellene mellom produsentene. Og også kunder med Office 365 vil ha nytte av mange av disse ekstrafunksjonene. - Emergeny Inbox (nødwebmail) Løsningen gir alle ansatte webmail i tilfelle e-postserver er nede eller Office 365 er utilgjengelig. Dermed kan ansatte jobbe tilnærmet normal i tilfelle interne eller eksterne e-post problemer i virksomheten. For at brukerne skal slippe for mange loginid bør denne funksjonen ligge lett tilgjengelig i brukerens online karantenestasjon. - E-post RePlay Med gjensending av tapte e-post kan brukeren selv sende tapte e-post til seg på nytt. Denne funksjonen ligger i brukernes online karantene der bruker vil se siste tids e-post. Brukerne går enkelt i sin karantenestasjon og velger e-post som ønskes sendt på nytt. Denne funksjonen vil
også kunne benyttes på selskapsbasis noe som gir ekstra beskyttelse mot tapte e-post ved krasj på e-postserver. Her kan alle e-post til hele virksomheten sendes på ny fra f.eks. siste døgn. - E-mail spooling og failover Er e-post server nede eller av en eller annen grunn utilgjengelig må e-post kunne lagres midlertidig i e-postsikkerhetstjenesten. Når e-post server igjen er operativ må tjenesten starte straks og automatisk å sende oppmagasinert e-poster. - Kryptering av e-post klient-klient I dag tilbyr mange produsenter kryptering mellom mailserverne (TLS), men svært få tilby kryptering mellom klienter som en del av e-postsikkerhetsservice. Med denne får brukerne normalt en nedtrekksmeny i Outlook hvor bruker kan velge å kryptering og krypteringsnivå. Mottaker får normalt en e-post med melding om at han har en kryptert melding som kan leses online/lastes ned. Brukerne logger seg på og sammen med en dekryteringsnøkkel mottatt på SMS eller annet, kan den krypterte meldingen leses. - Overføring av svært store filer på e-post Denne funksjonen gir brukerne mulighet for å sende svært store filer på mange GB via e-post. Brukeren får normalt en ekstra knapp i Outlook, som benyttes for å sende store filer. Mottaker får en e-post med en sikker weblink for å kunne laste ned filene (https) Dermed går sending utenom e-postservere og deres størrelsesbegrensning, normalt 10-20 Mb. - Data Loss Prevention (DLP) Med denne funksjonen kan man sette regler på hvilken informasjon som skal kunne sendes ut fra virksomheten. Det kan være stikkord, filtyper, filnavn, kredittkortinfo mm. Med denne sikrer virksomheten seg mot at interne og sensitive data kommer på avveie. Man kan også sette automatiserte regler der elementer ikke bare stoppes, men velge å kryptere innholdet. F.eks persondata som f.eks lønnslipper krypteres automatisk. Dette er også offentlige krav i flere tilfeller. Et DLP system tilbyr en rekke forhåndsdefinerte identifikatorer som gjør det enkelt å og raskt til å sette opp treffsikre regler. F.eks personnummer, sertifikatkortnummer mm - E-postarkivering E-postarkivering gir virksomheten et eksternt e-postarkiv i inntil 10 år både på inngående og utgående e-post. Et slikt arkiv vil kunne fremskaffe tapte e-post på sekunder. Et viktig element at brukere ikke skal kunne ha tilgang/slette e-post. Og arkivet må også kunne arkivere både e-post og vedlegg. Forhandlere Forhandlere trenger et multitenant administrasjonssystem hvor det finnes automatiserte funksjoner for
å håndtere kunder separat. Alle kunder må kunne administreres fra en felles innlogging hvor alle kunder ligger i en tre-struktur lett tilgjengelig. Det må være mulig for forhandler å tilby flere produktpakker til sine kunder med ulikt innhold slik at de dekker kundens behov. Det må være enkelt og raskt å bytte mellom de ulike produktpakker. Hver kunde skal administreres separat hver for seg med de innstillinger, produktpakke, logg og rapporter. Noen leverandører tilbyr også grensesnitt for automatiserte utrullinger fra felles styringssystem, samt alarmer og varsling mot dette. Nye kunder må kunne legges til på minutter uansett størrelse og administrasjonskonsollet må være intuitivt og lett forståelig. Har kunde flere domener må alle disse kunne legges inn i kundeportal. Det må være flere nivåer av administratorer slik at f. eks en type bare har tilgang til forhandlers portal og et annet nivå også kundene. Automatisk rapporter og varsler må kunne sendes til kundene og til seg selv. Og løsningen må kunne legge til brukerkontoer automatisk med at systemet er intelligent eller en AD sync, slik at det blir minst mulig administrasjon. Det bør være mulig for forhandler å enkelt dra ut statistikk på antall kunder aktive, antall nye kunder, nye bruker, totalt antall brukere pr produktpakke med mer. Rapporter bør kunne også kunne lastes ned i Excel format eller lignende. Det bør mulighet for månedlige betaling der forhandler betaler for det totale antall brukere som finnes på de ulike produktpakker på kundenivå. Det bør være mulig å la kunder prøve tjenesten uten kostnad. Løsningen må være konkurransedyktig på pris mot ledende aktører i segmentet og sett i forhold hvilke funksjonalitet og unike funksjoner den gir. Matrise Analyse Under finnes en matrise som sammenligner Proofpoint med andre systemer. Proofpoint har ligget som leder Gartners Group magiske kvadrant 3 år på rad og er naturlig å sammenligne løsninger med. Kryss av og markerer i høyre kolonne for svar. e-post system analyse System X Funksjoner Datasentre i EU Frankfurt+Amsterdam Antivirus/Antispam Antispam Falsk postive 1/300.000
Antivirus motor Innholdsfiltrering Arkivering Regelaktivering Policy på brukernivå Brukere med og uten melding/karantene Logg/rapport/scedulert Utgående filtrering Zero Hour filtering Office 365 støtte Emergency Inbox (nød-webmail) Instant Replay (gjensende tapte e-post) DLP (hindre sensitive data forlate virksomheten) Click Protection (linkanalyse ved klikk. mot nettfiske) Spooling (magasinerer e-post hvis e-postserver nede) Kryptering TLS (mailserver-mailserver) Kryptering e-post klient-klient Overføring av store filer med e-post MLX (robotklassifiering av innhold) MultiTenacy (multinivå portal forhandler) SW Gateway og hosted gateway tilgjengelig Brukeraktivering Prisbelønt system og produsent F-secure mfl Sanntid ja (roadmap) (roadmap) (roadmap) Oppetid og SLA 99.999 % Gjennomstrømningshastighet e-post Logging Loggsøk Spesiallaget administrasjon for forhandlere Pris fra kr pris til kr Faktura pr mnd på brukerantall Upfront kostnader Branding forhandler operatørsenter Flere nivåer og fleksible pakker Annet Om SaaS Security SMTP discovery, AD, CSV, Postini, manuell Normalt <3 sec. i gjennomsnitt Sanntid Sanntid Avtalelengde avtales med forhandler Ingen, kostnadsfritt SaaS Security as er Norsk distributør av sikkerhetssystemer til spesialiserte forhandler over hele Norge og i Sverige. Sikkerhetssystemene leveres som software gateways eller fra nettskyen som Security- Software-as-a-service og DRaaS Diaster recovery Service. Selskapet har distribusjonsavtaler med Egress, Proofpoint, Secpoint, Plan B og Safenet. Hovedområdene er e-postkryptering, e-postsikkerhet, DLP, e- postarkivering, Disaster-Recovery-as-a-Service, 2-faktor multitoken brukerautentisering som en tjeneste
og sikkerhetsanalyse/testing. SaaS Security as videreselger alle produktene 100 % gjennom forhandlere over hele Norge og avholder viktige seminarer som "Reselling the cloud" og "Cloud Security Day" Forretningsområder Safenet: 2-faktor brukerautentisering som en tjeneste med fri token mix, apps, SMS, SW, HW, Smartkort, Grid med mer. Sw eller cloud. Nr.1 i analyseselskapet Gartner Groups magiske kvadrant for sterk brukerautentisering. Proofpoint: E-post sikkerhetstjeneste, e-post arkivering, foretningskontinuitet med mer. Cloud, SW gateway eller hostet gateway- Sw eller cloud. Nr.1 i analyseselskapet Gartner Groups magiske kvadrant for sterk SW Security Gateways. Egress : Kryptering av e-post og andre media for sikker deling av sensitive data med 3.part, inkl. bruks- og rettighetskontroll. SW gateway, hosted gateway eller cloud. Vinner i UK IT Awards 2013 Plan B : Disastser-Recovery-as-a-Service (DRaaS). Appilance snapshopper virksomhetenes servere og kjører i gang serveren i Plan B sitt datasenter på 15 minutter når det oppstår en data-katastrofe eller uventet nedetid i virksomheten. SecPoint : Online sikkerhetssjekk av alle virksomhetens IT-objekter som vises ut mot Internett. Software lastes også ned fra operatørsenteret i skyen for å sikkerhetsscanne objekter i det interne nettverket. SaaS Websecurity Service: Webfilter for produktivitetsøkning, sikkerhet og for å håndheve virksomhetens policy for websurfing. Operatørsenter i skyen. Fungerer like godt for PC som er i eller utenfor nettverket. Ingen SW på PC. Om Egil Løseth Egil Løseth har mer en 20 års erfaring med Internettsikkerhet i Norge, gjennom IT-sikkerhetsdistributørene Trygg Data og SaaS Security. Mer info på http://www.saassecurity.no og post@saassecurity.no
SaaS Security as Utarbeidet av Egil Løseth. (send gjerne kommentarer til forbedringer og endringer til egil@saassecurity.no) Videre bruk av tekst eller deler av tekst i kommersielt formål er ulovelig uten skiftelig ig avtale. For bruk i presse/media må kilde oppgis og det må linkes til websiden.