Date post: | 01-Jan-2016 |
Category: |
Documents |
Upload: | emerson-sloan |
View: | 40 times |
Download: | 0 times |
Symantec Brightmail Antispam
Jaroslav Techl
ABAKUS Distribution, a.s.
ATC Symantec
Realita spamování u nás
3
Stav spamu – v průměru 66% jsme naměřili v ČR
Průměrné stavy po měsících: Listopad 2004 52%
Prosinec 2004 71%
Leden 2005 82%
Z toho bylo zamořeno červy: Listopad 2004 7% z celkového objemu (tj. 3928 zpráv)
Prosinec 2004 3% z celkového objemu (tj. 1981 zpráv)
Leden 2005 1% z celkového objemu (tj. 8 zpráv)
(Výsledek za leden je zkreslen tím, že jsme testovali účinnost firewallů před antispamovou bránou.)
Naše pozice v antispamu
5
Co je Symantec Brightmail Antispam 6.0?
Vedoucí antispamové řešení na trhu Pracuje na vstupním bodu poštovní infrastruktury
Nyní dodáváno globálním leaderem informační bezpečnosti
Založeno na technologii zakoupené společnosti Brightmail
Nejppokroočilejší anti-spamová technologie Zachycuje až 96% spamové pošty
Neblokuje legitimní poštu (dosažitelná přesnost až 99.9999%)
Aktualizuje spamové filtry každých 10 až 15 minut !
Výkonná a flexibilní správa z centra Administrace přes webové rozzhraní
Skupinové politiky pro přizpůsobení filtrů
Centrální správa a grafický reporting
Architektura a nasazení
7
Základní pohled na architekturu
Na straně Symantec U zákazníka
Až 25% pošty v Internetu!
Aktualizace od 10 minut
8
Architektura Symantec Brightmail Anti-Spam 6.0 u zákazníka
9
Analýza SPAMu: centra BLOC
10
Analýza SPAMu: zkušební síť
• Shromažďuje obrovská množství pošty pro spam analýzu
• Poskytuje varování přes spam útoky a jinými hrozbami v reálném čase
• Doručuje spam a falšovanou poštu do center BLOC, kde je analyzována a zpracována
• Agreguje statistiky o celkovém poštovním provozu, dovoluje měřit úrovně spamování
• Patentová ochrana: Symantec je držitelem unikátního patenru na spam honey-pot
• Globální pokrytí: Zahrnuje adresy od ISP a velkých korporací v Americe, regionu EMEA a APAC
• Mimořádný rozsah: Přes 2 miliony klamných mailových adres a domén. Spolu se vzorky spamové pošty od zákazníků kontrolujeme přes 300 milionů poštovních adres
• Zákazníci vytvářejí nové adresy, které směrují poštu do center Symantec/Brightmail
• Adresy jsou navrhovány tak, aby přitahovaly spammery a jsou široce publikovány
Základní funkce Proč je to unikátníJak to pracuje
Způsoby a metody filtrování
12
Obrana proti Spamu: víceúrovňový přístup
13
Fitrování dle identity a reputaci
• Identita: Určení domény, IP adresy nebo poštovní adresy odesílatele příchozí zprávy
• Reputace: Monitoring chování odesílatele a zdroje pošty s cílem určit poměr mezi legitimní poštou a spamem posílaným z daných adres
• Spolehlivost: Každý počítač v Internetu má unikátní IP adresu
• Obtížné oklamání: I když spammeři mohou snadno podvrhnout adresu odesílatele ([email protected]), nemohou snadno maskovat IP adresu odesílajícího stroje
• Problém otevřených relayí: Spammeři mohou používat otevřené relaye, které jsou vlastnictvím odesílatelů legitimní pošty
• Kvalita: Seznamy musí být extrémně přesné a často aktualizované, aby se mohly vypořádat se spammery
Co to je Výhody Výzvy
14
Co se děje na pozadí reputací?
15
Služba reputací: první linie obrany
Reputation Service
• Seznam otevřených proxy: zahrnuje stroje infikované nebezpečným kódem
• Seznam podezřelých: včetně strojů, jejichž pošta je vysoce spammová
• Seznam bezpečných: zahrnuje stroje, které neodesílaly spam
Dostupné seznamy
• Symantec trvale analyzuje reputaci IP adres, které odesílají poštu
• Symantec/Brightmail Scanner se rozhoduje buď v úplné nebo částečné závislosti na reputaci IP adresy odesílatele
• Služba plně integrována do Symantec /Brightmail Anti-Spam
Jak to pracuje
16
Filtrování podle reputace: výhoda pro zákazníka
• Patentovaná testovací síť proaktivně odhaluje otevřené proxy
• Ignoruje otevřené relaye, snižuje pravděpodobnost falešných detekcí
• Filtruje individuální servery, ne farmy
• Každou hodinu je vytvářen kompletně nový seznam
• Centra BLOC automaticky verifikují, zda jsou IP adresy otevřenými proxy
• Nové seznamy jsou každou hodinu automaticky znovu aktualizovány
• Nasazení je možné kdykoliv (restrikce nejsou omezeny pouze na poštovní gatewaye)
• Jediné řešení s aktualizovanými filtry na bázi reputace
• Nesrovnatelně vyšší přesnost a 2x vyšší výkonnost oproti standardním DNS lookup metodám
Přesnost Automatizace Flexibilita a rychlost
17
URL odkazy ve spamových zprávách
• Spammeři ve zvýšené míře užívají URL odkazy v poště
• 90% spamové pošty obsahuje URL odkaz, který může uživatel použít
Proč?
Spam URL Filtry
1. BLOC extrahuje v testovací síti URL od spamu
2. BLOC vytváří seznam URL od spammerů
3. URL odkazy jsou testovány, aby se zjistilo, zda je za nimi webový server spammerů
4. URL odkazy jsou stahovány do scannerů na straně zákazníka
5. E-mail se spam URL je blokován
Hrozba
Spammeři vydělávají velké peníze generováním webového provozu nebo
vybízením uživatelů k nákupům
Odezva
18
Spam URL Filtry: výhoda pro zákazníka
• Práce v reálném čase s dynamickými daty z testovací sítě – žádné „zatuchlé“ seznamy s filtry
• Přes 20.000 aktivních URL odkazů v seznamu
• Nové URL filtry jsou nasazovány každou hodinu
• Detekce falšovaných URL odkazů
• Rychlá kontrola shody u jednoduchých URL
• Pokročilá, heuristická analýza URL shody
• Zvláště efektivní proti URL odkazům typu „mailto:“
• Jen samotný spam URL filtr zachycuje přes 70% spamové pošty
• Vysoce účinné proti širokému rozsahu spamových zpráv
Trvalá aktualizace Flexibilita a rychlost Účinnost
19
Technologie antispamových signatur
• První generace technologie signatur
• MD5 hash na těle zprávy
• Zachycuje všechny identické zprávy, mající shodný MD5 hash
Hash na zprávě
• Patentované signatury pro zachycení “nejasných” shodností s tělem zprávy
• Identifikují mutace a náhodná generování používaná spammery k obejití filtrů
• Zachycují specifické útoky (a jejich variace) přímo ve fázi jejich rozvoje
BrightSig2
• Třetí generace technologie signatur
• Extrahuje přesné signatury MIME obsahu (např. pornografické obrázky, klamnou grafiku nebo i červy)
• Filtruje spam přílohy, současně povoluje průchod legitimním přílohám
Signatury příloh
20
Signatury příloh: poslední generace
21
Taktika spammerů: obejití filtrů falšováním HTML kódu
Jednoduchý způsob, kterým může spammer zařídit náhodné generování obsahu zpráv
Zprávy s HTML mutacemi jsou velmi obtížně zachytitelné filtry
22
Heuristické filtrování
Hledá víceré vlastnosti spamu Každá vlastnost „získává“
určitý počet bodů Body se postupně sčítají Je-li dosaženo SPAM skóre,
je zpráva blokována
Výhody Dobré pro boj se zcela
novými spam záplavami
Nevýhody Detekce může být delší Spammeři zprávy často testují proti některým heuristickým enginům ještě
předtím, než záplavu spustí Heuristiky musí být „trénovány“, aby zachytily spam (často za cenu zvýšení
počtu falešně blokovaných zpráv)
23
Heuristické filtrování: přednosti Symantecu
Z podstaty věci samé je většina heuristik konkurentů kompromisem mezi účinností, přesností a výkonností
• Heuristika není naší primární antispamovou technologií, ale je pouze doplňkem
• Je použita až při neúčinnosti všech jiných filtrů
• Je proto navržena pro 5-10% celkové účinnosti systému
• Používá kompilovaný kód, který je 2-4x rychlejší než kód interpretovaný
Přesnost a rychlost
• Heuristika je automaticky trénována centry BLOC na straně Symantecu, a to s využitím testovací sítě a legitimní pošty
• Administrativní zátěž je dále snižována pomocí automatické aktualizace
Žádné „trénování“
24
• Jazykově agnostická – technologie filtrování
• Jazykově specifická – heuristika
• Zeměpisně založené – filtrování reputace
• Language ID pro velkou skupinu jazyků
• Filtrování jazyka “per user“
• Globální pokrytí BLOC
US
EMEA
APAC
• Jazykové schopnosti analytiků BLOC (plynně hovoří většinou světově používaných jazyků – dokonce i česky a slovensky)
Filtrování na bázi jazyka
Okolo 10% spamové pošty je v jiném než anglickém jazyku
Symantec umí zákazníka chránit před ne-anglickým spamem
Technologie filtrování Expertíza / zdroje
25
Příklad: Filtrování a identifikace jazyka „per-user“
26
Nebezpečný obsah: další velká hrozba
Antivirová detekce na bázi Symantec Scan Engine Detekuje viry a červy ve zprávách a jejich přílohách
Červy jsou ze zpráv automaticky vymazávány
Antivirové definice jsou aktualizovány společně s antispamovými pravidly
K dispozici je oddělené i dodatečné licencování
27
Zákaznické filtry: silný doplněk
Umožňují správcům, aby filtrovaly jiné, než spamové zprávy Vytvoření gobálních, na serverech založených filtrů pomocí editoru
Custom Filters
Víceré podmínky a skanovací kritéria:
• IP Addresy
• Odesílatel, příjemce, From, To, CC
• Pole záhlaví
• Tělo
• Velikost
• MIME záhlaví
Volitelné akce se zprávami
28
Podpora platforem a poštovních serverů
Sendmail 8.12Solaris 8Solaris 9
Solaris
Sendmail 8.12Enterprise Linux ES 3.0Enterprise Linux AS 3.0
Linux (Red Hat)
Microsoft IIS SMTP*Exchange 2000Exchange 2003
Windows 2000 ServerWindows Server 2003
Windows
Podpora MTAVerzePlatforma
* Další MTA, včetně Exchange 5.5 a Domino, jsou podporována v konfiguraci typu relay.
Minimální zátěž správců
30
Globální správa a okamžitý celkový přehled
Centralizovaná správa vícenásobných serverů Statistiky logů za jednotlivé nebo agregované skanery Konsolidované reporty za všechny skanery
31
Jednoduché nastavení přes Control Center
Seznam blokovaných uživatelůSeznamu povolených adres Skórování účinnosti obsahových filtrů
Aktivace filtrování podle reputacíAktivace kontroly jazky
• Vložený Tomcat • Vložené MySQL• Vlastní software
– Webové stránky– SMTP Listener– Revize a vymazání– Upozornění
Kompletní řešení
Migrace nastavení předchozích verzí
Varování před událostmi
Konsolidované reportyKonsolidované pohledy na individuální logy
Skupinové politiky
Nastavení a přístup ke karanténě
Nastavení Brightmail skanerůIdentifikace externích mail serverů
Nastavení privilegií administrátorů
Antivirová kontrola
Vytvoření obsahových filtrů zákazníka
Změna LDAP nastavení
32
Skórování spamu
Každá spam zpráva ma skóre
Zprávy přes 90 dostávají verdikt spam
Administrátor může měnit a ladit skórování spamu
Administrátor může definovat „spodní hranici“ skóre pro podezřelé zprávy
Akce a nastavení jsou definována v rámci skupinových politik
33
Skupinové politiky: rozsah
• Všechny poštovní domény
• Sub domény
• Individuální uživatelé
• Podpora výběru typu „wildcart“
Různí členové skupin
• Spam
• Podezření na Spam
• Blokovaný odesílatel
• Povolený odesílatel
• Virus
• Červ
6 kategorií pošty
• Vymazání
• Označení těla zprávy
• Označení záhlaví zprávy
• Forward na poštovní adresu
• Uložení na disk
• Normální doručení
6 typů verdiktu
34
Komunikace HTTPS mezi skanery a Control Center HTTPS mezi správci, koncovými uživateli a Control Center (volitelné)
Privilegia administrátorů Podpora vícerých typů privilegií
Různá privilegia pro různé administrátory
(někteří pouze přistupují ke karanténě,
jiní mohou měnit nastavení serverů...)
Autentikace koncového uživatelepřes LDAP do: Active Directory
Exchange
SunOne
Control Center – bezpečnost správy
35
LDAP: schopnosti a výhody
Expanze poštovních aliasů Karanténa dělá automatický resolving
všech aliasů a doručuje zprávy na karanténní účty tak, jak přísluší výchozím poštovním adresám
Karanténa může přistupovat k LDAP adresářům, jako jsou: Active Directory (Exchange 2000 a
Exchange 2003) Exchange 5.5 Sun ONE Directory Server
Přizpůsobitelné atributy LDAP: Nastavení dotazů do LDAP je plně
přizpůsobitelné. Atributy dotazů lze kombinovat tak, aby byly ve shodě se schématem Vašeho LDAP adresáře.
36
Systémová varování
Okamžitá upozornění při výskytu určitých provozních podmínek
Zasílá varovné maily správcům nebo jiným pracovníkům
Aplikovatelné podmínky: Některá z komponent neodpovídá
nebo nepracuje
Antispamové filtry jsou starší, než je definovaný časový úsek pro aktualizaci
Antivirové definice jsou starší, než je definovaný časový úsek pro aktualizaci
Karanténa má málo diskového prostoru
Na co si dát pozor u antispamu?
38
Ptejte se na: míru přesnosti!
Kritérium 1: Přesnost a správnost
Jenom zachytit spam samo o sobě nestačí Zachycení spamu a přesnost antispamu – obojí musí být hodnoceno
současně
Přesnost je často důležitější než účinnost (blokování legálních zpráv je nejčastějším důvodem krachu antispamových projektů)
Mezi dodavateli jsou právě v oblasti přesnosti největší rozdíly !!!
Blokování legálních zpráv vytváří stejně velký problém jako spam Uživatelé nejsou schopni dohledat poštu a bojují proti antispamu
Správci pošty, případně helpdesk řeší laviny eskalací
Dochází k obchodním ztrátám kvůli výpadku v doručování
39
Ptejte se na: měřitelnou účinnost !
Kritérum 2: Skutečná účinnost
Vícenásobné technologie zaručí kompletní ochranu před spamem Žádná anti-spamová technologie není „kouzelným tlačítkem“
Různé filtry jsou efektivní proti různým typům spamu
Spammer musí překonat každý filtr víceúrovňového řešení
Inovace a globální pokrytí Potřeba konstatní inovace je definována tím, že antispam musí být
stále o krok před spammery
Schopnost účinně filtrovat ne-anglické jezyky, včetně nativní podpory českého jazyka
40
Ptejte se na: Minimální administraci !
Kritérium 3: Administrativní zátěž
Správce pošty a antispamu už nejsou “paní na hlídání” Automatické aktualizace filtrů
Není nutné žádné ladění a „učení“ heuristiky
Nainstaluj a běž – dělat něco jiného
Symantec vytváří filtry v režimu 24x7x365
Automatické řešení falešných blokací
Vysoké nároky na správu představují největší část „neviditelných“ nákladů na antispamová řešení
41
42
43
Děkuji za pozornost
http://www.abakus.cz/aaa/antispam.zip