Symantec Brightmail Antispam

Jaroslav Techl

techl@abdist.cz

ABAKUS Distribution, a.s.

ATC Symantec

Realita spamování u nás

3

Stav spamu – v průměru 66% jsme naměřili v ČR

Průměrné stavy po měsících: Listopad 2004 52%

Prosinec 2004 71%

Leden 2005 82%

Z toho bylo zamořeno červy: Listopad 2004 7% z celkového objemu (tj. 3928 zpráv)

Prosinec 2004 3% z celkového objemu (tj. 1981 zpráv)

Leden 2005 1% z celkového objemu (tj. 8 zpráv)

(Výsledek za leden je zkreslen tím, že jsme testovali účinnost firewallů před antispamovou bránou.)

Naše pozice v antispamu

5

Co je Symantec Brightmail Antispam 6.0?

Vedoucí antispamové řešení na trhu Pracuje na vstupním bodu poštovní infrastruktury

Nyní dodáváno globálním leaderem informační bezpečnosti

Založeno na technologii zakoupené společnosti Brightmail

Nejppokroočilejší anti-spamová technologie Zachycuje až 96% spamové pošty

Neblokuje legitimní poštu (dosažitelná přesnost až 99.9999%)

Aktualizuje spamové filtry každých 10 až 15 minut !

Výkonná a flexibilní správa z centra Administrace přes webové rozzhraní

Skupinové politiky pro přizpůsobení filtrů

Centrální správa a grafický reporting

Architektura a nasazení

7

Základní pohled na architekturu

Na straně Symantec U zákazníka

Až 25% pošty v Internetu!

Aktualizace od 10 minut

8

Architektura Symantec Brightmail Anti-Spam 6.0 u zákazníka

9

Analýza SPAMu: centra BLOC

10

Analýza SPAMu: zkušební síť

• Shromažďuje obrovská množství pošty pro spam analýzu

• Poskytuje varování přes spam útoky a jinými hrozbami v reálném čase

• Doručuje spam a falšovanou poštu do center BLOC, kde je analyzována a zpracována

• Agreguje statistiky o celkovém poštovním provozu, dovoluje měřit úrovně spamování

• Patentová ochrana: Symantec je držitelem unikátního patenru na spam honey-pot

• Globální pokrytí: Zahrnuje adresy od ISP a velkých korporací v Americe, regionu EMEA a APAC

• Mimořádný rozsah: Přes 2 miliony klamných mailových adres a domén. Spolu se vzorky spamové pošty od zákazníků kontrolujeme přes 300 milionů poštovních adres

• Zákazníci vytvářejí nové adresy, které směrují poštu do center Symantec/Brightmail

• Adresy jsou navrhovány tak, aby přitahovaly spammery a jsou široce publikovány

Základní funkce Proč je to unikátníJak to pracuje

Způsoby a metody filtrování

12

Obrana proti Spamu: víceúrovňový přístup

13

Fitrování dle identity a reputaci

• Identita: Určení domény, IP adresy nebo poštovní adresy odesílatele příchozí zprávy

• Reputace: Monitoring chování odesílatele a zdroje pošty s cílem určit poměr mezi legitimní poštou a spamem posílaným z daných adres

• Spolehlivost: Každý počítač v Internetu má unikátní IP adresu

• Obtížné oklamání: I když spammeři mohou snadno podvrhnout adresu odesílatele (help@citibank.com), nemohou snadno maskovat IP adresu odesílajícího stroje

• Problém otevřených relayí: Spammeři mohou používat otevřené relaye, které jsou vlastnictvím odesílatelů legitimní pošty

• Kvalita: Seznamy musí být extrémně přesné a často aktualizované, aby se mohly vypořádat se spammery

Co to je Výhody Výzvy

14

Co se děje na pozadí reputací?

15

Služba reputací: první linie obrany

Reputation Service

• Seznam otevřených proxy: zahrnuje stroje infikované nebezpečným kódem

• Seznam podezřelých: včetně strojů, jejichž pošta je vysoce spammová

• Seznam bezpečných: zahrnuje stroje, které neodesílaly spam

Dostupné seznamy

• Symantec trvale analyzuje reputaci IP adres, které odesílají poštu

• Symantec/Brightmail Scanner se rozhoduje buď v úplné nebo částečné závislosti na reputaci IP adresy odesílatele

• Služba plně integrována do Symantec /Brightmail Anti-Spam

Jak to pracuje

16

Filtrování podle reputace: výhoda pro zákazníka

• Patentovaná testovací síť proaktivně odhaluje otevřené proxy

• Ignoruje otevřené relaye, snižuje pravděpodobnost falešných detekcí

• Filtruje individuální servery, ne farmy

• Každou hodinu je vytvářen kompletně nový seznam

• Centra BLOC automaticky verifikují, zda jsou IP adresy otevřenými proxy

• Nové seznamy jsou každou hodinu automaticky znovu aktualizovány

• Nasazení je možné kdykoliv (restrikce nejsou omezeny pouze na poštovní gatewaye)

• Jediné řešení s aktualizovanými filtry na bázi reputace

• Nesrovnatelně vyšší přesnost a 2x vyšší výkonnost oproti standardním DNS lookup metodám

Přesnost Automatizace Flexibilita a rychlost

17

URL odkazy ve spamových zprávách

• Spammeři ve zvýšené míře užívají URL odkazy v poště

• 90% spamové pošty obsahuje URL odkaz, který může uživatel použít

Proč?

Spam URL Filtry

1. BLOC extrahuje v testovací síti URL od spamu

2. BLOC vytváří seznam URL od spammerů

3. URL odkazy jsou testovány, aby se zjistilo, zda je za nimi webový server spammerů

4. URL odkazy jsou stahovány do scannerů na straně zákazníka

5. E-mail se spam URL je blokován

Hrozba

Spammeři vydělávají velké peníze generováním webového provozu nebo

vybízením uživatelů k nákupům

Odezva

18

Spam URL Filtry: výhoda pro zákazníka

• Práce v reálném čase s dynamickými daty z testovací sítě – žádné „zatuchlé“ seznamy s filtry

• Přes 20.000 aktivních URL odkazů v seznamu

• Nové URL filtry jsou nasazovány každou hodinu

• Detekce falšovaných URL odkazů

• Rychlá kontrola shody u jednoduchých URL

• Pokročilá, heuristická analýza URL shody

• Zvláště efektivní proti URL odkazům typu „mailto:“

• Jen samotný spam URL filtr zachycuje přes 70% spamové pošty

• Vysoce účinné proti širokému rozsahu spamových zpráv

Trvalá aktualizace Flexibilita a rychlost Účinnost

19

Technologie antispamových signatur

• První generace technologie signatur

• MD5 hash na těle zprávy

• Zachycuje všechny identické zprávy, mající shodný MD5 hash

Hash na zprávě

• Patentované signatury pro zachycení “nejasných” shodností s tělem zprávy

• Identifikují mutace a náhodná generování používaná spammery k obejití filtrů

• Zachycují specifické útoky (a jejich variace) přímo ve fázi jejich rozvoje

BrightSig2

• Třetí generace technologie signatur

• Extrahuje přesné signatury MIME obsahu (např. pornografické obrázky, klamnou grafiku nebo i červy)

• Filtruje spam přílohy, současně povoluje průchod legitimním přílohám

Signatury příloh

20

Signatury příloh: poslední generace

21

Taktika spammerů: obejití filtrů falšováním HTML kódu

Jednoduchý způsob, kterým může spammer zařídit náhodné generování obsahu zpráv

Zprávy s HTML mutacemi jsou velmi obtížně zachytitelné filtry

22

Heuristické filtrování

Hledá víceré vlastnosti spamu Každá vlastnost „získává“

určitý počet bodů Body se postupně sčítají Je-li dosaženo SPAM skóre,

je zpráva blokována

Výhody Dobré pro boj se zcela

novými spam záplavami

Nevýhody Detekce může být delší Spammeři zprávy často testují proti některým heuristickým enginům ještě

předtím, než záplavu spustí Heuristiky musí být „trénovány“, aby zachytily spam (často za cenu zvýšení

počtu falešně blokovaných zpráv)

23

Heuristické filtrování: přednosti Symantecu

Z podstaty věci samé je většina heuristik konkurentů kompromisem mezi účinností, přesností a výkonností

• Heuristika není naší primární antispamovou technologií, ale je pouze doplňkem

• Je použita až při neúčinnosti všech jiných filtrů

• Je proto navržena pro 5-10% celkové účinnosti systému

• Používá kompilovaný kód, který je 2-4x rychlejší než kód interpretovaný

Přesnost a rychlost

• Heuristika je automaticky trénována centry BLOC na straně Symantecu, a to s využitím testovací sítě a legitimní pošty

• Administrativní zátěž je dále snižována pomocí automatické aktualizace

Žádné „trénování“

24

• Jazykově agnostická – technologie filtrování

• Jazykově specifická – heuristika

• Zeměpisně založené – filtrování reputace

• Language ID pro velkou skupinu jazyků

• Filtrování jazyka “per user“

• Globální pokrytí BLOC

US

EMEA

APAC

• Jazykové schopnosti analytiků BLOC (plynně hovoří většinou světově používaných jazyků – dokonce i česky a slovensky)

Filtrování na bázi jazyka

Okolo 10% spamové pošty je v jiném než anglickém jazyku

Symantec umí zákazníka chránit před ne-anglickým spamem

Technologie filtrování Expertíza / zdroje

25

Příklad: Filtrování a identifikace jazyka „per-user“

26

Nebezpečný obsah: další velká hrozba

Antivirová detekce na bázi Symantec Scan Engine Detekuje viry a červy ve zprávách a jejich přílohách

Červy jsou ze zpráv automaticky vymazávány

Antivirové definice jsou aktualizovány společně s antispamovými pravidly

K dispozici je oddělené i dodatečné licencování

27

Zákaznické filtry: silný doplněk

Umožňují správcům, aby filtrovaly jiné, než spamové zprávy Vytvoření gobálních, na serverech založených filtrů pomocí editoru

Custom Filters

Víceré podmínky a skanovací kritéria:

• IP Addresy

• Odesílatel, příjemce, From, To, CC

• Pole záhlaví

• Tělo

• Velikost

• MIME záhlaví

Volitelné akce se zprávami

28

Podpora platforem a poštovních serverů

Sendmail 8.12Solaris 8Solaris 9

Solaris

Sendmail 8.12Enterprise Linux ES 3.0Enterprise Linux AS 3.0

Linux (Red Hat)

Microsoft IIS SMTP*Exchange 2000Exchange 2003

Windows 2000 ServerWindows Server 2003

Windows

Podpora MTAVerzePlatforma

* Další MTA, včetně Exchange 5.5 a Domino, jsou podporována v konfiguraci typu relay.

Minimální zátěž správců

30

Globální správa a okamžitý celkový přehled

Centralizovaná správa vícenásobných serverů Statistiky logů za jednotlivé nebo agregované skanery Konsolidované reporty za všechny skanery

31

Jednoduché nastavení přes Control Center

Seznam blokovaných uživatelůSeznamu povolených adres Skórování účinnosti obsahových filtrů

Aktivace filtrování podle reputacíAktivace kontroly jazky

• Vložený Tomcat • Vložené MySQL• Vlastní software

– Webové stránky– SMTP Listener– Revize a vymazání– Upozornění

Kompletní řešení

Migrace nastavení předchozích verzí

Varování před událostmi

Konsolidované reportyKonsolidované pohledy na individuální logy

Skupinové politiky

Nastavení a přístup ke karanténě

Nastavení Brightmail skanerůIdentifikace externích mail serverů

Nastavení privilegií administrátorů

Antivirová kontrola

Vytvoření obsahových filtrů zákazníka

Změna LDAP nastavení

32

Skórování spamu

Každá spam zpráva ma skóre

Zprávy přes 90 dostávají verdikt spam

Administrátor může měnit a ladit skórování spamu

Administrátor může definovat „spodní hranici“ skóre pro podezřelé zprávy

Akce a nastavení jsou definována v rámci skupinových politik

33

Skupinové politiky: rozsah

• Všechny poštovní domény

• Sub domény

• Individuální uživatelé

• Podpora výběru typu „wildcart“

Různí členové skupin

• Spam

• Podezření na Spam

• Blokovaný odesílatel

• Povolený odesílatel

• Virus

• Červ

6 kategorií pošty

• Vymazání

• Označení těla zprávy

• Označení záhlaví zprávy

• Forward na poštovní adresu

• Uložení na disk

• Normální doručení

6 typů verdiktu

34

Komunikace HTTPS mezi skanery a Control Center HTTPS mezi správci, koncovými uživateli a Control Center (volitelné)

Privilegia administrátorů Podpora vícerých typů privilegií

Různá privilegia pro různé administrátory

(někteří pouze přistupují ke karanténě,

jiní mohou měnit nastavení serverů...)

Autentikace koncového uživatelepřes LDAP do: Active Directory

Exchange

SunOne

Control Center – bezpečnost správy

35

LDAP: schopnosti a výhody

Expanze poštovních aliasů Karanténa dělá automatický resolving

všech aliasů a doručuje zprávy na karanténní účty tak, jak přísluší výchozím poštovním adresám

Karanténa může přistupovat k LDAP adresářům, jako jsou: Active Directory (Exchange 2000 a

Exchange 2003) Exchange 5.5 Sun ONE Directory Server

Přizpůsobitelné atributy LDAP: Nastavení dotazů do LDAP je plně

přizpůsobitelné. Atributy dotazů lze kombinovat tak, aby byly ve shodě se schématem Vašeho LDAP adresáře.

36

Systémová varování

Okamžitá upozornění při výskytu určitých provozních podmínek

Zasílá varovné maily správcům nebo jiným pracovníkům

Aplikovatelné podmínky: Některá z komponent neodpovídá

nebo nepracuje

Antispamové filtry jsou starší, než je definovaný časový úsek pro aktualizaci

Antivirové definice jsou starší, než je definovaný časový úsek pro aktualizaci

Karanténa má málo diskového prostoru

Na co si dát pozor u antispamu?

38

Ptejte se na: míru přesnosti!

Kritérium 1: Přesnost a správnost

Jenom zachytit spam samo o sobě nestačí Zachycení spamu a přesnost antispamu – obojí musí být hodnoceno

současně

Přesnost je často důležitější než účinnost (blokování legálních zpráv je nejčastějším důvodem krachu antispamových projektů)

Mezi dodavateli jsou právě v oblasti přesnosti největší rozdíly !!!

Blokování legálních zpráv vytváří stejně velký problém jako spam Uživatelé nejsou schopni dohledat poštu a bojují proti antispamu

Správci pošty, případně helpdesk řeší laviny eskalací

Dochází k obchodním ztrátám kvůli výpadku v doručování

39

Ptejte se na: měřitelnou účinnost !

Kritérum 2: Skutečná účinnost

Vícenásobné technologie zaručí kompletní ochranu před spamem Žádná anti-spamová technologie není „kouzelným tlačítkem“

Různé filtry jsou efektivní proti různým typům spamu

Spammer musí překonat každý filtr víceúrovňového řešení

Inovace a globální pokrytí Potřeba konstatní inovace je definována tím, že antispam musí být

stále o krok před spammery

Schopnost účinně filtrovat ne-anglické jezyky, včetně nativní podpory českého jazyka

40

Ptejte se na: Minimální administraci !

Kritérium 3: Administrativní zátěž

Správce pošty a antispamu už nejsou “paní na hlídání” Automatické aktualizace filtrů

Není nutné žádné ladění a „učení“ heuristiky

Nainstaluj a běž – dělat něco jiného

Symantec vytváří filtry v režimu 24x7x365

Automatické řešení falešných blokací

Vysoké nároky na správu představují největší část „neviditelných“ nákladů na antispamová řešení

41

42

43

Děkuji za pozornost

http://www.abakus.cz/aaa/antispam.zip