1 / 44

Symantec Brightmail Antispam

ABAKUS Distribution , a.s. ATC Symantec. Symantec Brightmail Antispam. Jaroslav Techl techl@abdist.cz. Realita spamování u nás. Stav spamu – v průměru 66% jsme naměřili v ČR. Průměrné stavy po měsících: Listopad 2004 52% Prosinec 2004 71% Leden 2005 82%

emerson-sloan
Download Presentation

Symantec Brightmail Antispam

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ABAKUS Distribution, a.s. ATC Symantec Symantec Brightmail Antispam Jaroslav Techl techl@abdist.cz

  2. Realita spamování u nás

  3. Stav spamu – v průměru 66% jsme naměřili v ČR • Průměrné stavy po měsících: • Listopad 2004 52% • Prosinec 2004 71% • Leden 2005 82% • Z toho bylo zamořeno červy: • Listopad 2004 7% z celkového objemu (tj. 3928 zpráv) • Prosinec 2004 3% z celkového objemu (tj. 1981 zpráv) • Leden 2005 1% z celkového objemu (tj. 8 zpráv) (Výsledek za leden je zkreslen tím, že jsme testovali účinnost firewallů před antispamovou bránou.)

  4. Naše pozice v antispamu

  5. Co je Symantec Brightmail Antispam 6.0? • Vedoucí antispamové řešení na trhu • Pracuje na vstupním bodu poštovní infrastruktury • Nyní dodáváno globálním leaderem informační bezpečnosti • Založeno na technologii zakoupené společnosti Brightmail • Nejppokroočilejší anti-spamová technologie • Zachycujeaž 96% spamové pošty • Neblokuje legitimní poštu (dosažitelná přesnost až 99.9999%) • Aktualizuje spamové filtry každých 10 až 15 minut ! • Výkonná a flexibilní správa z centra • Administrace přes webové rozzhraní • Skupinové politiky pro přizpůsobení filtrů • Centrální správa a grafický reporting

  6. Architektura a nasazení

  7. Základní pohled na architekturu U zákazníka Na straně Symantec Až 25% pošty v Internetu! Aktualizace od 10 minut

  8. Architektura Symantec Brightmail Anti-Spam 6.0 u zákazníka

  9. Analýza SPAMu: centra BLOC

  10. Analýza SPAMu: zkušební síť Základní funkce Jak to pracuje Proč jeto unikátní • Shromažďuje obrovská množství pošty pro spam analýzu • Poskytuje varování přes spam útoky a jinými hrozbami v reálném čase • Doručuje spam a falšovanou poštu do center BLOC, kde je analyzována a zpracována • Agreguje statistiky o celkovém poštovním provozu, dovoluje měřit úrovně spamování • Zákazníci vytvářejí nové adresy, které směrují poštu do center Symantec/Brightmail • Adresy jsou navrhovány tak, aby přitahovaly spammery a jsou široce publikovány • Patentová ochrana: Symantec je držitelem unikátního patenru na spam honey-pot • Globální pokrytí:Zahrnuje adresy od ISP a velkých korporací v Americe, regionu EMEA a APAC • Mimořádný rozsah:Přes 2 milionyklamných mailových adres a domén. Spolu se vzorky spamové pošty od zákazníků kontrolujeme přes 300 milionů poštovních adres

  11. Způsoby a metody filtrování

  12. Obrana proti Spamu: víceúrovňový přístup

  13. Fitrování dle identity a reputaci Co to je Výhody Výzvy • Identita:Určení domény, IP adresy nebo poštovní adresy odesílatele příchozí zprávy • Reputace:Monitoring chování odesílatele a zdroje pošty s cílem určit poměr mezi legitimní poštou a spamem posílaným z daných adres • Spolehlivost:Každý počítač v Internetu má unikátní IP adresu • Obtížné oklamání:I když spammeři mohou snadno podvrhnout adresu odesílatele (help@citibank.com), nemohou snadno maskovat IP adresu odesílajícího stroje • Problém otevřených relayí:Spammeři mohou používat otevřené relaye, které jsou vlastnictvím odesílatelů legitimní pošty • Kvalita:Seznamy musí být extrémně přesné a často aktualizované, aby se mohly vypořádat se spammery

  14. Co se děje na pozadí reputací?

  15. Služba reputací: první linie obrany Jak to pracuje Reputation Service Dostupné seznamy • Symantec trvale analyzuje reputaci IP adres, které odesílají poštu • Symantec/Brightmail Scanner se rozhoduje buď v úplné nebo částečné závislosti na reputaciIP adresy odesílatele • Služba plně integrována do Symantec /Brightmail Anti-Spam • Seznam otevřených proxy:zahrnuje stroje infikované nebezpečným kódem • Seznam podezřelých:včetněstrojů, jejichž pošta je vysoce spammová • Seznam bezpečných:zahrnuje stroje, které neodesílalyspam

  16. Filtrování podle reputace: výhoda pro zákazníka Přesnost Automatizace Flexibilita a rychlost • Patentovaná testovací síť proaktivně odhaluje otevřené proxy • Ignoruje otevřené relaye, snižuje pravděpodobnost falešných detekcí • Filtruje individuální servery, ne farmy • Každou hodinu je vytvářen kompletně nový seznam • Centra BLOC automaticky verifikují, zda jsou IP adresy otevřenými proxy • Nové seznamy jsou každou hodinu automaticky znovu aktualizovány • Nasazení je možné kdykoliv (restrikce nejsou omezeny pouze na poštovní gatewaye) • Jediné řešení s aktualizovanými filtry na bázi reputace • Nesrovnatelně vyšší přesnost a 2x vyšší výkonnost oproti standardním DNS lookup metodám

  17. URL odkazy ve spamových zprávách Hrozba Odezva • Spammeři ve zvýšené míře užívají URL odkazy v poště • 90% spamové pošty obsahuje URL odkaz, který může uživatel použít • Proč? • Spam URL Filtry • BLOC extrahuje v testovací síti URL od spamu • BLOC vytváří seznam URL od spammerů • URL odkazy jsou testovány, aby se zjistilo, zda je za nimi webový server spammerů • URL odkazy jsou stahovány do scannerů na straně zákazníka • E-mail se spam URL je blokován Spammeři vydělávají velké peníze generováním webového provozu nebo vybízením uživatelů k nákupům

  18. Spam URL Filtry: výhoda pro zákazníka Trvalá aktualizace Flexibilita a rychlost Účinnost • Práce v reálném čase s dynamickými daty z testovací sítě – žádné „zatuchlé“ seznamy s filtry • Přes 20.000 aktivních URL odkazů v seznamu • Nové URL filtry jsou nasazovány každou hodinu • Detekce falšovaných URL odkazů • Rychlá kontrola shody u jednoduchých URL • Pokročilá, heuristická analýza URL shody • Zvláště efektivní proti URL odkazům typu „mailto:“ • Jen samotný spam URL filtr zachycuje přes 70% spamové pošty • Vysoce účinné proti širokému rozsahu spamových zpráv

  19. Technologie antispamových signatur Hash na zprávě BrightSig2 Signatury příloh • První generace technologie signatur • MD5 hash na těle zprávy • Zachycuje všechny identické zprávy, mající shodný MD5 hash • Patentované signatury pro zachycení “nejasných” shodností s tělem zprávy • Identifikují mutace a náhodná generování používaná spammery k obejití filtrů • Zachycují specifické útoky (a jejich variace) přímo ve fázi jejich rozvoje • Třetí generace technologie signatur • Extrahuje přesné signatury MIME obsahu (např. pornografické obrázky, klamnou grafiku nebo i červy) • Filtruje spam přílohy, současně povoluje průchod legitimním přílohám

  20. Signatury příloh: poslední generace

  21. Taktika spammerů: obejití filtrů falšováním HTML kódu • Jednoduchý způsob, kterýmmůže spammerzařídit náhodné generování obsahu zpráv • Zprávy s HTML mutacemi jsou velmi obtížnězachytitelné filtry

  22. Heuristické filtrování • Hledá víceré vlastnosti spamu • Každá vlastnost „získává“ určitý počet bodů • Body se postupně sčítají • Je-li dosaženo SPAM skóre, je zpráva blokována • Výhody • Dobré pro boj se zcelanovými spam záplavami • Nevýhody • Detekce může být delší • Spammeři zprávy často testují proti některým heuristickým enginům ještě předtím, než záplavu spustí • Heuristiky musí být „trénovány“, aby zachytily spam (často za cenu zvýšení počtu falešně blokovaných zpráv)

  23. Heuristickéfiltrování: přednosti Symantecu • Z podstaty věci samé je většina heuristik konkurentů kompromisem mezi účinností, přesností a výkonností Přesnost a rychlost Žádné „trénování“ • Heuristika není naší primární antispamovou technologií, ale je pouze doplňkem • Je použita až při neúčinnosti všech jiných filtrů • Je proto navržena pro 5-10% celkové účinnosti systému • Používá kompilovaný kód, který je 2-4x rychlejší než kód interpretovaný • Heuristika je automaticky trénována centry BLOC na straněSymantecu, a tos využitím testovací sítě a legitimní pošty • Administrativní zátěž je dále snižována pomocí automatické aktualizace

  24. Filtrování na bázi jazyka • Okolo 10% spamové pošty je v jiném než anglickém jazyku • Symantec umí zákazníka chránit před ne-anglickým spamem Technologie filtrování Expertíza / zdroje • Jazykově agnostická– technologie filtrování • Jazykově specifická – heuristika • Zeměpisně založené – filtrování reputace • Language ID pro velkou skupinu jazyků • Filtrování jazyka “per user“ • Globální pokrytí BLOC • US • EMEA • APAC • Jazykové schopnosti analytiků BLOC (plynně hovoří většinou světově používaných jazyků – dokonce i česky a slovensky)

  25. Příklad: Filtrování a identifikace jazyka „per-user“

  26. Nebezpečný obsah: další velká hrozba • Antivirová detekce na bázi Symantec Scan Engine • Detekuje viry a červy ve zprávách a jejich přílohách • Červy jsou ze zpráv automaticky vymazávány • Antivirové definice jsou aktualizovány společně s antispamovými pravidly • K dispozici je oddělené i dodatečné licencování

  27. Zákaznické filtry: silný doplněk • Umožňují správcům, aby filtrovaly jiné, než spamové zprávy • Vytvoření gobálních, na serverech založených filtrů pomocíeditoru Custom Filters • Víceré podmínky a skanovací kritéria: • IP Addresy • Odesílatel, příjemce, From, To, CC • Pole záhlaví • Tělo • Velikost • MIME záhlaví • Volitelné akce se zprávami

  28. Podpora platforem a poštovních serverů Platforma Verze Podpora MTA Windows Windows 2000 Server Windows Server 2003 Microsoft IIS SMTP* Exchange 2000 Exchange 2003 Solaris Solaris 8 Solaris 9 Sendmail 8.12 Linux (Red Hat) Enterprise Linux ES 3.0 Enterprise Linux AS 3.0 Sendmail 8.12 * Další MTA, včetně Exchange 5.5 aDomino, jsou podporována v konfiguraci typu relay.

  29. Minimální zátěž správců

  30. Globální správa a okamžitý celkový přehled • Centralizovaná správa vícenásobných serverů • Statistikylogů za jednotlivé nebo agregované skanery • Konsolidované reportyza všechny skanery

  31. Kompletní řešení • Vložený Tomcat • Vložené MySQL • Vlastní software • Webové stránky • SMTP Listener • Revize a vymazání • Upozornění Jednoduché nastavení přes Control Center Seznam blokovaných uživatelů Seznamu povolených adres Skórování účinnosti obsahových filtrů Aktivace filtrování podle reputací Aktivace kontroly jazky Antivirová kontrola Vytvoření obsahových filtrů zákazníka Skupinové politiky Nastavení privilegií administrátorů Konsolidované reporty Konsolidované pohledy na individuální logy Varování před událostmi Změna LDAP nastavení Nastavení a přístup ke karanténě Migrace nastavení předchozích verzí Identifikace externích mail serverů Nastavení Brightmail skanerů

  32. Skórování spamu • Každá spam zpráva ma skóre • Zprávy přes 90 dostávají verdikt spam • Administrátor může měnit a ladit skórování spamu • Administrátor může definovat„spodní hranici“ skóre pro podezřelé zprávy • Akce a nastavení jsou definována v rámci skupinových politik

  33. Skupinové politiky: rozsah Různí členové skupin 6 kategorií pošty 6 typů verdiktu • Všechny poštovní domény • Sub domény • Individuální uživatelé • Podpora výběru typu „wildcart“ • Spam • Podezření na Spam • Blokovaný odesílatel • Povolený odesílatel • Virus • Červ • Vymazání • Označení těla zprávy • Označení záhlaví zprávy • Forward na poštovní adresu • Uložení na disk • Normální doručení

  34. Control Center – bezpečnost správy • Komunikace • HTTPS mezi skanery a Control Center • HTTPS mezi správci, koncovými uživateli a Control Center (volitelné) • Privilegia administrátorů • Podpora vícerých typů privilegií • Různá privilegia pro různé administrátory (někteří pouze přistupují ke karanténě, jiní mohou měnit nastavení serverů...) • Autentikace koncového uživatele přes LDAP do: • Active Directory • Exchange • SunOne

  35. LDAP:schopnosti a výhody • Expanze poštovních aliasů • Karanténa dělá automatický resolving všech aliasů a doručuje zprávy na karanténní účty tak, jak přísluší výchozím poštovním adresám • Karanténa může přistupovat k LDAP adresářům, jako jsou: • Active Directory (Exchange 2000 a Exchange 2003) • Exchange 5.5 • Sun ONE Directory Server • Přizpůsobitelné atributy LDAP: • Nastavení dotazů do LDAP je plně přizpůsobitelné. Atributy dotazů lze kombinovat tak, aby byly ve shodě se schématem Vašeho LDAP adresáře.

  36. Systémová varování • Okamžitá upozornění při výskytu určitých provozních podmínek • Zasílá varovné maily správcům nebo jiným pracovníkům • Aplikovatelné podmínky: • Některá z komponent neodpovídá nebo nepracuje • Antispamové filtry jsou starší, než je definovaný časový úsek pro aktualizaci • Antivirové definice jsou starší, než je definovaný časový úsek pro aktualizaci • Karanténa má málo diskového prostoru

  37. Na co si dát pozor u antispamu?

  38. Kritérium 1: Přesnost a správnost • Jenom zachytit spam samo o sobě nestačí • Zachycení spamu a přesnost antispamu – obojí musí být hodnocenosoučasně • Přesnost je často důležitější než účinnost (blokování legálních zpráv je nejčastějším důvodem krachu antispamových projektů) • Mezi dodavateli jsou právě v oblasti přesnosti největší rozdíly !!! • Blokování legálních zpráv vytváří stejně velký problém jako spam • Uživatelé nejsou schopni dohledat poštu a bojují proti antispamu • Správci pošty, případně helpdesk řeší laviny eskalací • Dochází k obchodním ztrátám kvůli výpadku v doručování Ptejte se na:míru přesnosti!

  39. Kritérum 2: Skutečná účinnost • Vícenásobné technologie zaručí kompletní ochranu před spamem • Žádná anti-spamová technologie není „kouzelným tlačítkem“ • Různé filtry jsou efektivní proti různým typům spamu • Spammer musí překonat každý filtr víceúrovňového řešení • Inovace a globální pokrytí • Potřeba konstatní inovace je definována tím, že antispam musí být stále o krok před spammery • Schopnost účinně filtrovat ne-anglické jezyky, včetně nativní podpory českého jazyka Ptejte se na:měřitelnou účinnost !

  40. Kritérium 3: Administrativní zátěž • Správce pošty a antispamu už nejsou “paní na hlídání” • Automatické aktualizace filtrů • Není nutné žádné ladění a „učení“ heuristiky • Nainstaluj a běž – dělat něco jiného • Symantec vytváří filtry v režimu 24x7x365 • Automatické řešení falešných blokací • Vysoké nároky na správu představují největší část „neviditelných“ nákladů na antispamová řešení Ptejte se na:Minimální administraci !

  41. Děkuji za pozornosthttp://www.abakus.cz/aaa/antispam.zip

More Related