Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Mýty a reality bezpečnosti Jaroslav Techl ABAKUS Distribution, a.s.

Podobné prezentace


Prezentace na téma: "Mýty a reality bezpečnosti Jaroslav Techl ABAKUS Distribution, a.s."— Transkript prezentace:

1 Mýty a reality bezpečnosti Jaroslav Techl ABAKUS Distribution, a.s.

2 2 – Téměř všechny větší společnosti se ocitají bez perimetru Částečně se jedná o důsledky diverzifikace obchodních aktivit Masové užívání přenosných počítačů přináší zcela zásadní rizika Naprostá většina útoků je aplikačních a přichází povolenými porty Ze zvýšeného „virového šumu“ vyrůstají nebezpečné útoky, realizované pomocí replikujících se červů Nebezpečné kódy zneuživají zranitelností a hackují sítě zákazníků Jsou vykrádána citlivá data, která jsou odesílána neznámým příjemcům Téměř všechny „pokročilé“ červy byly spojeny s trojskou logikou Dochází k ochromujícím DDoS útokům ne zvenčí, ale zevnitř sítí Kompromitace zevnitř jsou stále více záměrem vnějších útočníků Čeho jsme stále více svědky?

3 3 – Proč se to děje s takovým úspěchem? Příčinou nejsou jen úspěšní útočníci, ale také neúspěšní obránci, podléhající řadě bezpečnostních mýtů.

4 4 – 1. mýtus – „Technologie rozhoduje“ Rozhodují lidé! Zranitelný software tady bude a výrobce to nevyřeší. Útočníci tady také budou a budou kompetentní. Zvyšujte tedy svoji kompetenci rychleji. Základem je znát, ne domnívat se! Myslet, znamená nevědět. Naprosté většině úspěšných útoků předcházejí nezpozorovaná nebo ignorovaná varování Přes pokles tempa vzniku nových zranitelností zůstává stále frekvence na úrovni 73/týden (statistika CERT za rok 2003) Očekávat, že tuto záplavu zvládnou provozně orientovaní správci bez nástrojů je zcela iluzorní a nerealistické Většina útoků nevyžaduje žádnou nebo jen minimální interakci s uživatelem. Ten jim nezabrání. Proti profesionálovi musí stát profesionál.

5 5 – Realita – inkubační doba zranitelností

6 6 – 2. mýtus – „Vždyť jsou to jen viry!“ Nejčastěji Vás ohrožují replikující se „kódy – hackeři“ Napadení typicky přichází po vně povolených portech nebo zevnitř sítě Jsou atakovány zranitelnosti a standardně otevřené porty nechráněných služeb Vlastní smtp enginy v těle kódu vedou k anonymnímu vykrádání informací Souběh skanů a nelegálních smtp transakcí zapříčiňuje DDoS útok zevnitř Koncový uživatel je čistou obětí, nikoliv „spolupachatelem“ škod Drtivá většina těchto kódů v sobě obsahuje nebo umožňuje trojskou logiku Samotné antiviry (bez ohledu na výrobce) často nemohou útoku účinně zabránit

7 7 – Realita – kombinované hrozby

8 8 – Rozsah napadených platforem Compaq OpenVMS Compaq True64 Unix Cray UNICOS Entegrity DCE/DCF for Linux, True 64 Unix Entegrity PC-DCE for Windows HP Advanced Security for VP HP-UX, Solaris HP-UX HP OpenView Operations, VP Manager IBM DCE Windows, AIX, Solaris MS Windows 2000 Advanced Server, Data Center, Professional MS Windows XP Home, Professional

9 9 – Blaster: Co to bylo? Červ, který se chová jako naprogramovaný hacker Spustitelný kód je tajně umístěn do počítače Dorazí jako deformovaná zpráva přes port 135 (DCOM RPC) Důvody jeho úspěšnosti Využití známé zranitelnosti Microsoft RPC. —Shodí službu a vloží deformovanou zprávu do systému Port 135 je v interních sítích typicky ponecháván otevřený, výsledkem je interní DDoS Port 135 je používán pro Win management, i v případě osobních firewallů bude často přístupný Infikovaný stroj se restartuje předtím, než může být zaveden patch Vzniká plných 27 dní před vyrobením patche

10 10 – 3.mýtus – „Jsme přece za firewallem“ Jste si jisti slůvkem „za“? Značná část vlastních uživatelů pracuje velmi frekventovaně mimo perimetr —Mobilní pracovníci s notebooky, palmy apod. —Absence osobních firewallů (zejména kvůli slabinám v administraci) —Korporativní firewally stojí pouze na připojeních k Internetu —Povolené porty a služby, které jsou vynuceny obchodními činnostmi Značnou část externích subjektů pouštíme velmi frekventovaně za perimetr —Obchodní partneři, zákazníci, dodavatelé, veřejnost —Servisní pracovníci, vývojáři, testovací práce, pilotní projekty —Outsourcing a diverzifikace činností uvnitř korporací Proč tedy mnoho těchto útoků přes Váš firewall prošlo? —Část jich propouštíte podle vlastních pravidel (až 80% útoků je aplikačních) —IDS systémy nejsou nasazovány tak, aby prohloubily perimetr směrem dovnitř —To, že se útoky za firewallem projevily, neznamená, že skrze něj přišly

11 11 – Realita – nejčastěji skanované porty

12 12 – 4. mýtus – „IDS – to je, co frčí!“ Co je to síťové IDS založené na signaturách útoků? Signaturové IDS je svým mechanismem de facto blízké „packetovému antiviru“ Vysoká aktualizační zátěž (není signatura, není detekce) Existuje asi 3000 známých útoků vs. současné IDS jsou schopny uplatnit 600 signatur Nulová účinnost v nulových dnech vs. simulace účinnosti honbou za známými útoky Vysoký počet falešných hlášení a snadná možnost zneužití zvenčí Proč mají výrobci síťových IDS tak malou instalovanou bázi? Každé reálně nasazené IDS zakládá problém typu „24x7x365“ Minimální podpora agregací a korelací útoků vs. statisíce izolovaných událostí Vysoká pracnost odlišení falešných hlášení od skutečných síťových útoků Finální rozčarování pak vede k tomu, že mnohé systémy končí opět v krabici na skříni Detekce anomálií v protokolech a provozu, využívající signatur jen doplňkově Použití výkonných agregačních a korelačních enginů – incidenty

13 13 – Realita – omezení signaturových systémů GET default. ida ?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858 %ucbd3 %u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0 Content-type: text/xmlContent-length: 3379 ネネ ` ・ フ・ dg6 dg ・ 鞜 h 劫 \PU 恪・ PU ・燕 XU ・ 斑 = 版ヘカノ燕 T 丘 ×0 ・ ・ ヌ F0 ・ ・ CodeRedII ・ $U 、 Yj 劫 pPu€U ーサ タ tK3 ロ U ・ 3' u? ヌ・ ヌ・ ヌ・ 畿 € 怨 d 劫 hPj 劫 `Pj jU 屠 Th~f€u€U 、 Y ・ u1 X- モ j h ・ P u€U ャ = ・ uj j 劫 \Pu€U ィ u€U エ鱸サ ゚ w ・ ・ xu サ ` ・ 掬 $dg ・ Xa ・ dg6 dg ・ f ・ MZ u 繼 K t6Ff×,,u217 ・ミ 5 ミ h jj U5 リ ・ テ ・・・・・・・・・ \EXPLORER.EXE SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon SFCDisable ・ SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots /Scripts /MSADC /C /D c:\,,217 d:\,,217 ・・・・・ ・・・・・・・ u'j ・ jV オ LU ネ FOu ナオ LU トテ € 珒・・テ a ノツ

14 14 – 5. mýtus – „Více výrobců = více jistoty!“ Ani kombinace technologií různých výrobců nemusí být všelékem Kombinace různých produktů od různých výrobců má své kouzlo (například v případě heuristické kontroly antivirů) Přináší však řadu úskalí – různá správa, rozdílná aktualizace, občasné konflikty na stejných systémech Mezníkem je často velikost společnosti – važte proti sobě výhodu různosti a problém neovladatelnosti Náklady na integraci často překračují náklady na produkty Základním problémem integrace není to, „aby si produkty navzájem rozuměli“ Jde o to, aby lidé rozuměli tomu, „co se ve všech těch produktech současně děje“ Účinnost je založena na informaci, na jejímž základě se rozhodnu a správně konám Často neplatí, že kombinace „toho nejlepšího“ dává něco „ještě lepšího“

15 15 – Realita – Jak pejsek s kočičkou vařili dort

16 16 – 6. mýtus – „Hacker je technický genius“ Sociální techniky jsou stále velmi účinné a měli by být prověřovány Technické zranitelnosti svých systémů můžete relativně snadno zjišťovat, už jste někdy zavolali koncovému uživateli Základní školení bezpečnostních praktik by nemělo být dlouhodobě obcházeno (Enterprise Security Awareness Program) I nízká kvalifikace může stačit při velké důvěře nebo neomezené příležitosti Sociálně založený hacking přichází často i zevnitř (rozdílná motivace) James Bond na střeše nepřistane, stále je jednodušší dát někomu peníze Snažte se personálními opatřeními snížit fluktuaci klíčových pracovníků Fluktuace se typicky týká shodných nebo podobných oborů – Vaši lidé přijdou ke konkurenci Omezujte obtížně kontrolovatelné technologie (plošné přístupy přes ODBC, klíčová data ve sdílených adresářích...)

17 17 – 7. mýtus – „Všichni si rozumíme“ Sociální techniky jsou stále velmi účinné a měli by být prověřovány V čem spočívá podstata lidské komunikace a v čem je její problém? Strana, která „kóduje“ používá jiný klíč, než strana, která „dekóduje“ —Různá úroveň znalostí a kvalifikace —Různé zkušenosti a představy o sdíleném obsahu Mnoho scénářů úspěšných útoků počítá s tímto faktem !!! Než se lidé dohodnou, často již není na čem se dohadovat Fingované útoky proti IDS odvádějící pozornost bezpečnostních specialistů Kombinované útoky různůmi červy ve stejném čase nebo v těsné souslednosti Různé projevy téhož na různých úrovních —Jak to vidíme „my od firewallu“ —Helpdesk už má zase problémy s aplikací —Správce něco udělal s přístupy...

18 18 – Hlavní zásady účinné bezpečnosti Příčinou nejsou jen úspěšní útočníci, ale také neúspěšní obránci I bezpečnostní specialisté často redukují bezpečnost na technologii Zásadně je podceňována hodnota přesných informací a včasných varování Naprostá většina společnostní používá pouze kombinaci firewall/antivirus Převážná většina firewallů nepracuje na aplikační vrstvě a není schopna rekonstruovat pakety na vnitřních rozhraních Základním problémem jsou lidé, jejich informovanost, komunikace, rozhodnutí a akce Ze zvýšeného „virového šumu“ vyrůstají nebezpečné útoky, realizované pomocí replikujících se červů Nebezpečné kódy zneuživají zranitelností a hackují sítě zákazníků Jsou vykrádána citlivá data, která jsou odesílána neznámým příjemcům Téměř všechny „pokročilé“ červy byly spojeny s trojskou logikou Dochází k ochromujícím DDoS útokům ne zvenčí, ale zevnitř sítí Investujte do zhodnocení dat, která již máte a do schopnosti řídit odezvu

19 19 – Realita v České republice včera Antivirové záznamy celkem Antivirové záznamy HTTP/FTP Provoz na perimetru Útoky podle typu ne jen AV

20 20 – Stav spamu – v průměru 66% jsme naměřili v ČR Průměrné stavy po měsících: Listopad % Prosinec % Leden % Z toho bylo zamořeno červy: Listopad 20047% z celkového objemu (tj zpráv) Prosinec 20043% z celkového objemu (tj zpráv) Leden 20051% z celkového objemu (tj. 8 zpráv) (Výsledek za leden je zkreslen tím, že jsme testovali účinnost firewallů před antispamovou bránou.)

21 21 – Údaje spamové sondy po měsících

22 22 – Podrobnější pohled po týdnech

23 23 – Virová zátěž ve spamu po měsících

24 24 – Viry a červy ve spamu po týdnech

25 Architektura a nasazení řešení Symantec

26 26 – Základní pohled na architekturu Na straně Symantec U zákazníka Až 25% pošty v Internetu! Aktualizace od 10 minut

27 27 – Architektura Symantec Brightmail Anti-Spam 6.x u zákazníka

28 28 – Analýza SPAMu: centra BLOC

29 29 – Analýza SPAMu: zkušební síť Shromažďuje obrovská množství pošty pro spam analýzu Poskytuje varování přes spam útoky a jinými hrozbami v reálném čase Doručuje spam a falšovanou poštu do center BLOC, kde je analyzována a zpracována Agreguje statistiky o celkovém poštovním provozu, dovoluje měřit úrovně spamování Patentová ochrana: Symantec je držitelem unikátního patenru na spam honey-pot Globální pokrytí: Zahrnuje adresy od ISP a velkých korporací v Americe, regionu EMEA a APAC Mimořádný rozsah: Přes 2 miliony klamných mailových adres a domén. Spolu se vzorky spamové pošty od zákazníků kontrolujeme přes 300 milionů poštovních adres Zákazníci vytvářejí nové adresy, které směrují poštu do center Symantec/Brightmail Adresy jsou navrhovány tak, aby přitahovaly spammery a jsou široce publikovány Základní funkceProč je to unikátníJak to pracuje

30 Způsoby a metody filtrování

31 31 – Obrana proti Spamu: víceúrovňový přístup

32 32 – Fitrování dle identity a reputaci Identita: Určení domény, IP adresy nebo poštovní adresy odesílatele příchozí zprávy Reputace: Monitoring chování odesílatele a zdroje pošty s cílem určit poměr mezi legitimní poštou a spamem posílaným z daných adres Spolehlivost: Každý počítač v Internetu má unikátní IP adresu Obtížné oklamání: I když spammeři mohou snadno podvrhnout adresu odesílatele nemohou snadno maskovat IP adresu odesílajícího stroje Problém otevřených relayí: Spammeři mohou používat otevřené relaye, které jsou vlastnictvím odesílatelů legitimní pošty Kvalita: Seznamy musí být extrémně přesné a často aktualizované, aby se mohly vypořádat se spammery Co to jeVýhodyVýzvy

33 33 – Co se děje na pozadí reputací?

34 34 – Služba reputací: první linie obrany Reputation Service Seznam otevřených proxy: zahrnuje stroje infikované nebezpečným kódem Seznam podezřelých: včetně strojů, jejichž pošta je vysoce spammová Seznam bezpečných: zahrnuje stroje, které neodesílaly spam Dostupné seznamy Symantec trvale analyzuje reputaci IP adres, které odesílají poštu Symantec/Brightmail Scanner se rozhoduje buď v úplné nebo částečné závislosti na reputaci IP adresy odesílatele Služba plně integrována do Symantec /Brightmail Anti-Spam Jak to pracuje

35 35 – Filtrování podle reputace: výhoda pro zákazníka Patentovaná testovací síť proaktivně odhaluje otevřené proxy Ignoruje otevřené relaye, snižuje pravděpodobnost falešných detekcí Filtruje individuální servery, ne farmy Každou hodinu je vytvářen kompletně nový seznam Centra BLOC automaticky verifikují, zda jsou IP adresy otevřenými proxy Nové seznamy jsou každou hodinu automaticky znovu aktualizovány Nasazení je možné kdykoliv (restrikce nejsou omezeny pouze na poštovní gatewaye) Jediné řešení s aktualizovanými filtry na bázi reputace Nesrovnatelně vyšší přesnost a 2x vyšší výkonnost oproti standardním DNS lookup metodám PřesnostAutomatizaceFlexibilita a rychlost

36 36 – URL odkazy ve spamových zprávách Spammeři ve zvýšené míře užívají URL odkazy v poště 90% spamové pošty obsahuje URL odkaz, který může uživatel použít Proč? Spam URL Filtry 1.BLOC extrahuje v testovací síti URL od spamu 2.BLOC vytváří seznam URL od spammerů 3.URL odkazy jsou testovány, aby se zjistilo, zda je za nimi webový server spammerů 4.URL odkazy jsou stahovány do scannerů na straně zákazníka 5. se spam URL je blokován Hrozba Spammeři vydělávají velké peníze generováním webového provozu nebo vybízením uživatelů k nákupům Odezva

37 37 – Spam URL Filtry: výhoda pro zákazníka Práce v reálném čase s dynamickými daty z testovací sítě – žádné „zatuchlé“ seznamy s filtry Přes aktivních URL odkazů v seznamu Nové URL filtry jsou nasazovány každou hodinu Detekce falšovaných URL odkazů Rychlá kontrola shody u jednoduchých URL Pokročilá, heuristická analýza URL shody Zvláště efektivní proti URL odkazům typu „mailto:“ Jen samotný spam URL filtr zachycuje přes 70% spamové pošty Vysoce účinné proti širokému rozsahu spamových zpráv Trvalá aktualizaceFlexibilita a rychlostÚčinnost

38 38 – Technologie antispamových signatur První generace technologie signatur MD5 hash na těle zprávy Zachycuje všechny identické zprávy, mající shodný MD5 hash Hash na zprávě Patentované signatury pro zachycení “nejasných” shodností s tělem zprávy Identifikují mutace a náhodná generování používaná spammery k obejití filtrů Zachycují specifické útoky (a jejich variace) přímo ve fázi jejich rozvoje BrightSig2 Třetí generace technologie signatur Extrahuje přesné signatury MIME obsahu (např. pornografické obrázky, klamnou grafiku nebo i červy) Filtruje spam přílohy, současně povoluje průchod legitimním přílohám Signatury příloh

39 39 – Signatury příloh: poslední generace

40 40 – Taktika spammerů: obejití filtrů falšováním HTML kódu Jednoduchý způsob, kterým může spammer zařídit náhodné generování obsahu zpráv Zprávy s HTML mutacemi jsou velmi obtížně zachytitelné filtry

41 41 – BrightSig2: Boj proti mutovaným spamům Předem blokuje náhodně generované zprávy, které jsou mutacemi původního spam útoku

42 42 – Heuristické filtrování Hledá víceré vlastnosti spamu Každá vlastnost „získává“ určitý počet bodů Body se postupně sčítají Je-li dosaženo SPAM skóre, je zpráva blokována Výhody Dobré pro boj se zcela novými spam záplavami Nevýhody Detekce může být delší Spammeři zprávy často testují proti některým heuristickým enginům ještě předtím, než záplavu spustí Heuristiky musí být „trénovány“, aby zachytily spam (často za cenu zvýšení počtu falešně blokovaných zpráv)

43 43 – Heuristické filtrování: přednosti Symantecu Z podstaty věci samé je většina heuristik konkurentů kompromisem mezi účinností, přesností a výkonností Heuristika není naší primární antispamovou technologií, ale je pouze doplňkem Je použita až při neúčinnosti všech jiných filtrů Je proto navržena pro 5-10% celkové účinnosti systému Používá kompilovaný kód, který je 2-4x rychlejší než kód interpretovaný Přesnost a rychlost Heuristika je automaticky trénována centry BLOC na straně Symantecu, a to s využitím testovací sítě a legitimní pošty Administrativní zátěž je dále snižována pomocí automatické aktualizace Žádné „trénování“

44 44 – Jazykově agnostická – technologie filtrování Jazykově specifická – heuristika Zeměpisně založené – filtrování reputace Language ID pro velkou skupinu jazyků Filtrování jazyka “per user“ Globální pokrytí BLOC US EMEA APAC Jazykové schopnosti analytiků BLOC (plynně hovoří většinou světově používaných jazyků – dokonce i česky a slovensky) Filtrování na bázi jazyka Okolo 10% spamové pošty je v jiném než anglickém jazyku Symantec umí zákazníka chránit před ne-anglickým spamem Technologie filtrováníExpertíza / zdroje

45 45 – Příklad: Filtrování a identifikace jazyka „per- user“

46 46 – Nebezpečný obsah: další velká hrozba Antivirová detekce na bázi Symantec Scan Engine Detekuje viry a červy ve zprávách a jejich přílohách Červy jsou ze zpráv automaticky vymazávány Antivirové definice jsou aktualizovány společně s antispamovými pravidly K dispozici je oddělené i dodatečné licencování

47 47 – Zákaznické filtry: silný doplněk Umožňují správcům, aby filtrovaly jiné, než spamové zprávy Vytvoření gobálních, na serverech založených filtrů pomocí editoru Custom Filters Víceré podmínky a skanovací kritéria: —IP Addresy —Odesílatel, příjemce, From, To, CC —Pole záhlaví —Tělo —Velikost —MIME záhlaví Volitelné akce se zprávami

48 Minimální zátěž správců

49 49 – Symantec/Brightmail Control Center Webové rozhraní pro: Centralizovanou správu —Tlačná nastavení —Získávání logů Webová karanténa —Rozhraní admina —Rozhraní uživatele Monitoring —Summární přehled —Stav „per- machine“ —Logy —Statistiky a reporty

50 50 – Globální správa a okamžitý celkový přehled Centralizovaná správa vícenásobných serverů Statistiky logů za jednotlivé nebo agregované skanery Konsolidované reporty za všechny skanery

51 51 – Jednoduché nastavení přes Control Center Seznam blokovaných uživatelů Seznamu povolených adres Skórování účinnosti obsahových filtrů Aktivace filtrování podle reputací Aktivace kontroly jazky Vložený Tomcat Vložené MySQL Vlastní software –Webové stránky –SMTP Listener –Revize a vymazání –Upozornění Kompletní řešení Migrace nastavení předchozích verzí Varování před událostmi Konsolidované reporty Konsolidované pohledy na individuální logy Skupinové politiky Nastavení a přístup ke karanténě Nastavení Brightmail skanerů Identifikace externích mail serverů Nastavení privilegií administrátorů Antivirová kontrola Vytvoření obsahových filtrů zákazníka Změna LDAP nastavení

52 52 – Skórování spamu Každá spam zpráva ma skóre Zprávy přes 90 dostávají verdikt spam Administrátor může měnit a ladit skórování spamu Administrátor může definovat „spodní hranici“ skóre pro podezřelé zprávy Akce a nastavení jsou definována v rámci skupinových politik

53 53 – Vytvoř seznam „Top 10“: - nejspamovanější zaměstnanci - nejspamovanější domény - IP připojení spammerů a další... Detailní Reporting Za víceré kategorie zpráv Jako jsou: zpracované, spamové, podezřelé, povolené, blokované, virové atd. Reporting podle vícerých kritérií Příjemce Odesílatel Doména příjemce Doména odesílatele IP připojení atd. Výhody 19 předem připravených zpráv Prohlížeč zpráv v Control Center Ad hoc generování nebo nastavené intervaly Export do vícerých formátů

54 54 – Skupinové politiky: k čemu jsou dobré?

55 55 – Skupinové politiky: rozsah Všechny poštovní domény Sub domény Individuální uživatelé Podpora výběru typu „wildcart“ Různí členové skupin Spam Podezření na Spam Blokovaný odesílatel Povolený odesílatel Virus Červ 6 kategorií pošty Vymazání Označení těla zprávy Označení záhlaví zprávy Forward na poštovní adresu Uložení na disk Normální doručení 6 typů verdiktu

56 56 – Komunikace HTTPS mezi skanery a Control Center HTTPS mezi správci, koncovými uživateli a Control Center (volitelné) Privilegia administrátorů Podpora vícerých typů privilegií Různá privilegia pro různé administrátory (někteří pouze přistupují ke karanténě, jiní mohou měnit nastavení serverů...) Autentikace koncového uživatele přes LDAP do: Active Directory Exchange SunOne Control Center – bezpečnost správy

57 57 – LDAP: schopnosti a výhody Expanze poštovních aliasů Karanténa dělá automatický resolving všech aliasů a doručuje zprávy na karanténní účty tak, jak přísluší výchozím poštovním adresám Karanténa může přistupovat k LDAP adresářům, jako jsou: Active Directory (Exchange 2000 a Exchange 2003) Exchange 5.5 Sun ONE Directory Server Přizpůsobitelné atributy LDAP: Nastavení dotazů do LDAP je plně přizpůsobitelné. Atributy dotazů lze kombinovat tak, aby byly ve shodě se schématem Vašeho LDAP adresáře.

58 58 – Systémová varování Okamžitá upozornění při výskytu určitých provozních podmínek Zasílá varovné maily správcům nebo jiným pracovníkům Aplikovatelné podmínky: Některá z komponent neodpovídá nebo nepracuje Antispamové filtry jsou starší, než je definovaný časový úsek pro aktualizaci Antivirové definice jsou starší, než je definovaný časový úsek pro aktualizaci Karanténa má málo diskového prostoru

59 59 – Rozšířené webové rozhraní karantény Spam je na vstupu centrálně ukládán a vůbec neprochází sítí Koncoví uživatelé jsou o spamu denně nebo týdně informováni Centralizované vymazávání spamu po uplynutí počtu X dnů Možnost “uvolnit” karanténované zprávy do inboxu uživatelů Uživatelé mají trvalý přístup ke karanténě Uživatelé i administrátoři mají k dispozici prohledávání Výhody

60 60 – Ukázka karantény

61 Na co si dát pozor u antispamu?

62 62 – Ptejte se na: míru přesnosti! Kritérium 1: Přesnost a správnost Jenom zachytit spam samo o sobě nestačí Zachycení spamu a přesnost antispamu – obojí musí být hodnoceno současně Přesnost je často důležitější než účinnost (blokování legálních zpráv je nejčastějším důvodem krachu antispamových projektů) Mezi dodavateli jsou právě v oblasti přesnosti největší rozdíly !!! Blokování legálních zpráv vytváří stejně velký problém jako spam Uživatelé nejsou schopni dohledat poštu a bojují proti antispamu Správci pošty, případně helpdesk řeší laviny eskalací Dochází k obchodním ztrátám kvůli výpadku v doručování

63 63 – Ptejte se na: měřitelnou účinnost ! Kritérum 2: Skutečná účinnost Vícenásobné technologie zaručí kompletní ochranu před spamem Žádná anti-spamová technologie není „kouzelným tlačítkem“ Různé filtry jsou efektivní proti různým typům spamu Spammer musí překonat každý filtr víceúrovňového řešení Inovace a globální pokrytí Potřeba konstatní inovace je definována tím, že antispam musí být stále o krok před spammery Schopnost účinně filtrovat ne-anglické jezyky, včetně nativní podpory českého jazyka

64 64 – Ptejte se na: Minimální administraci ! Kritérium 3: Administrativní zátěž Správce pošty a antispamu už nejsou “paní na hlídání” Automatické aktualizace filtrů Není nutné žádné ladění a „učení“ heuristiky Nainstaluj a běž – dělat něco jiného Symantec vytváří filtry v režimu 24x7x365 Automatické řešení falešných blokací Vysoké nároky na správu představují největší část „neviditelných“ nákladů na antispamová řešení

65 65 – Proto jsme tady !!!


Stáhnout ppt "Mýty a reality bezpečnosti Jaroslav Techl ABAKUS Distribution, a.s."

Podobné prezentace


Reklamy Google