Merhaba, (daha önce attığım mesaj çoğu kişinin junk folder'ına düşmüş sanırım, gmail üzerinden tekrar atıyorum)
ürün seçerken aşağıdaki kriterlere dikkat etmek gerektiğini düşünüyorum(engelleme odaklı olduğumuzu varsayarak): - mail trafiğinin sandbox entegrasyonu: ürün kendisi mta olarak çalışıyor mu, yoksa ayrıca bir smtp gateway ürünü almanızı mı şart koşuyor? smtp trafiğini dinleyerek sanbox yapan çözüm yetersiz kalacaktır çünkü TLS bağlantılarını dinleyemeyecektir. - http(s) trafiğinin sandbox entegrasyonu: yapınızda http(s) trafiğini proxy üzerinden sağlıyorsanız ve ssl inspection yapıyorsanız alacağınız üründe de ssl inspection yapmanız gerekecek. ayrıca ürünün kategori bazlı ssl inspection bypass yapabiliyor olması lazım(bu size fazladan bir url filtering lisansı almanızı gerektirecektir). Eğer yapınızda harici bir proxy yoksa ve url filtering işlemini FW üzerinde yapıyorsanız işiniz daha kolay çünkü 2 kez ssl inspection yapma ihtiyacınız olmayacak. - desteklenen dosya tipleri: sizin için hangi tip dosyaların analiz edilmesi kritik ona göre ürünleri eleyebilirsiniz. - whitelist/blacklist: üründe hem whitelisting hem de blacklisting özelliği olması gerekli. ürünün benign olarak gördüğü fakat gerçekte zararlı olan bir dosyanın blackliste alınarak engellenmesi, aynı şekilde zararlı olmayan fakat zararlı gibi görünen bir dosyanın da whitelist'e alınabilmesi ihtiyacı çıkacaktır diye düşünüyorum. - exception yönetimi: üründe en az source/destination bazlı exception olması gerekir. exception yapmak her ne kadar risk oluştursa da sandbox ürünlerinin kapasitesi sınırlı olduğundan sürekli kaynak tüketimine sebep olan belirli source/destination'ların(hem web, hem email tarfında) bypass edilmesi ihtiyacı doğacaktır. - Endpoint AV/Sandbox: Endpoint tarafında kullanılacak ürünün exploit protectiona sahip olması büyük bir avantaj. EMET gibi free bir çözümle de exploit protection sağlanabilir fakat EMET'in yönetim, log ve raporlama tarafında bir şey sunduğunu görmedim. Ayrıca endpoint tarafına alınacak ürün davranış analizi yapabilmeli, usb gibi kaynaklardan gelen dosyaları sanbox ürününe(cloud ya da on-premise) submit edebilmeli. Palo Alto için anti-spam özelliği var denmiş, böyle bir özellik bulunmuyor. Saygılar, Mehmet
------------------- Uygulamalı Ağ Güvenliği Eğitimi 06-08 Mayıs 2016 - ISTANBUL -------------------
