Durante esta semana, dentro un plan de formación en tecnologías Exchange se van a dar dos formaciones muy interesantes que tienen que ver con Forefront y la seguridad de Exchange Server. Estas dos formaciones son en Madrid, dentro del calendario de Hands On Lab y son:

HOL-EXC34 Microsoft Exchange Server 2010: Seguridad, control de información y cumplimiento legal
Madrid, miércoles, 25 de Mayo de 08:30 a 14:30
Hoy en día las organizaciones se ven obligadas a cumplir multitud de normativas, leyes, directivas, etc. Además de preservar cada vez más el control sobre las comunicaciones, evitar la fuga de información y poder realizar procesos de auditoría. Exchange Server 2010 proporciona nuevas funcionalidades que facilitan las labores de control y cumplimiento legal. En este Hands On Lab se analizan se aprenden a instalar los mecanismos de control de información necesarios para cumplir con la legislación y normativas internas, sin alterar el funcionamiento habitual de la organización.
Más informacion: Registro y Temario completo

HOL-EXC35 Auditoría y Análisis Forense de Correo Electrónico con Exchange Server
Madrid, viernes, 27 de Mayo de 08:30 a 14:30
En este Hands On Lab, los asistentes aprenden a identificar los encabezados SMTP y rastrear mensajes de correo electrónico, así como habilitar funcionalidades de control y registro en Exchange Server 2010 para propósitos de auditoría. Destinado a auditores, consultores, responsables de seguridad y administradores de Exchange.
Más informacion: Registro y Temario completo

 

Tal vez, por repetitivo, ya que en los tests de Marzo Forefront Protection 2010 for Exchange ya fue el primero, pueda parecer que no tiene tanto valor, pero eso no es así. Conseguir el Award en los tests AntiSpam 100 de Virus Bulletin no es nada fácil. Para lograrlo hay que sacar una puntuación por encima del 96% con la exigente fórmula que mide el ratio de correo Spam Detectado (SC: Spam Caught) y el ratio de Falsos Positivos (FP: False Positive). Estos resultados se convinan en la fórmula que da el resultado final: Resultado = SC - (3 X FP).


Galardón VBAntiSpam100

Entre los que se han presentado a las pruebas de Julio hay marcas tan famosas y prestigiosas como McAffe, Kaspersky, F-Secure, Shopos o BitDefender, lo que hace entender un poco la importancia de estas pruebas. Sin embargo, el producto que ha obtenido menos Falsos Positivos y ha detectado más correos de Spam, ha sido, una vez más Forefront Protection 2010 for Exchange.


Resultados vb100 AntiSpam de Julio de 2010

El informe de resultados puede obtenerse en la siguiente URL: Resultados vbAntiSpam 100 Julio 2010. Además, en la página de recursos de Forefront Protection 2010 for Exchange estamos acumulando una buena cantidad de recursos para que, en vuestra organización, obtengáis unos resultados igual de exitosos a la hora de detectar y eliminar el correo no deseado, al tiempo que circula con normalidad el correo legítimo.
 

Microsoft, dentro de la iniciativa Business Ready Security, acaba de lanzar el entorno de pruebas BRS 3.0b. Este entorno está formado por un conjunto de máquinas configuradas para poder realizar sobre ellas diferentes laboratorios - actualmente cinco -. Como se puede ver en la imagen siguiente, el entorno cuenta con 13 máquinas virtuales, en formato VHD.


Figura 1: Máquinas virtuales del entorno BRS

Tal como se observa en el gráfico, entre las 13 máquinas podemos encontrar instalaciones de Forefront Protection for Exchange, Forefront Protection for SharePoint, Forefront Client Security, Actice Directory Federation Services, Active Directory Right Management Services, Forefront Threat Management Gateway 2010, Forefront Identity Manager, Forefront Unified Access Gateway, y, por supuesto, todos los produtos asociados para poder probarlos, es decir:

- Servidor Active Directory.
- Servidor de MS Office SharePoint Server 2007
- Servidor de MS Exchange Server 2010.
- Clientes Windows en la red interna y remotos.

Sobre este entorno, hay 5 laboratorios que pueden realizarse, sobre estas disciplinas:

• Mensagería segura.
• Entornos colaborativos seguros.
• Seguridad en el puesto de trabajo.
• Protección de la informaicón.
• Gestión de identidad y acceso.

A lo largo de sucesivos artículos, desde Seguros con Forefront, iremos desgranando todos los aspectos de los diferentes laboratorios que pueden realizarse. Desde el proceso de instalación, hasta las prácticas que se pueden realizar en cada uno de los entornos.

Puedes descargar todo el manterial de este entorno desde la siguiente URL: Business Ready Security Demo Lab.
 

En Seguros con Forefront ya comentamos el informe que publicó Microsoft referente a seguridad, el Security Intelligence Report 8, referido a 2009. El el post anterior vimos los datos referidos al malware, pero en este caso queremos centrarnos en los datos relativos al Spam.

Para tomar estos datos se utilizaron las estadísticas generadas por MS Forefront Online Protection for Exchange, es decir, la solución antimalware/antispam de Microsoft Forefront para los servicios en la nube de Microsoft Exchange. Esto son los datos:

Spam por tipos: Suben las estafas del nigeriano

En la siguiente gráfica se pueden ver lo tipos de correos electrónicos marcados como Spam detectados por los servicios FOPE. En ellos se puede ver como los timos dirigidos, conocidos como la estafa 419 o el Nigeriano. Este tipo de correos intentan engañar a los receptores de los mismos para sacarles dinero. Como se puede apreciar, en segundo lugar está la publicidad basada únicamente en una imagen y en tercer lugar los realtivos a promoción de productos sexuales y de farmacia, tipo Viagra.


Figura 1: Evolución de los tipos de correos Spam

Paises generadores de Spam

Otro de los datos que ofrece el estudio es referente a los principales paises generadores de Spam. Como se puede ver, Estados Unidos sigue siendo el primer generador de correos Spam a gran distancia del resto de los paises. Hay que tener en cuenta que los principales clientes de MS Forefront Online Protection for Exchange son empresas americanas y, por tanto, los datos pueden estar mediatizados.


Figura 2: Top 5 de paises generadores de Spam

Spam generado por Botnets

El último apunte que ofrece el informe relativo al Spam tiene que ver con las botnets. Muchas de estas redes están siendo utilizadas para generar Spam, así el informe cruza la IP que envía spam con la base de datos de direcciones IP reportadas como infectadas por determinados tipos de botnets para obtener el siguiente gráfico.


Figura 3: Botnets generadoras de Spam

En él se puede apreciar como Rustok y Bagle-cd son las botnets que más Spam han generado en el año 2009.
 

De las capacidades que ofrece Powershell a un administrador de Microsoft Forefront Protection for Exchange 2010, la obtención de datos de incidentes ocurridos para tratamiento posterior puede resultar muy interesante. El problema que se plantea es que puede ser tal la cantidad de información que se recupera que se hace difícil su posterior análisis. Para ello, el sistema de comandos powershell proporciona el cmdlet Get-FseIncident sobre el que, trabajando con los diferentes formatos de representación de los datos, puede obtenerse información muy interesante si se criba convenientemente.

El comando básico “Get-FseIncident | Out-Host –paging” permite extraer la información general de las incidencias.


Figura 1: Recuperación de información general de incidencias

Una información más detallada sin ningún tipo de formato puede obtener a través de la sentencia “Get-FseIncident | format-list”.


Figura 2: Representación de incidentes detallados

En el caso de querer recuperar la información formateada en modo tabla por la pantalla, se puede utilizar la siguiente sintaxis:

“Get-FseIncident | format-table dato1, dato2, dato3, …"

En el siguiente ejemplo se solicitan los siguientes datos de las incidencias: fecha de la misma, categoría, usuario y nombre.


Figura 3: Obtención de datos determinados de incidencias

La potencia de Powershell, permite el tratamiento de los datos obtenidos, correlacionarlos con otros o bien pueden ser empleados con otras sentencias mediante sistema de scripting.