Spam, wirusy i ataki phishingu to bardzo poważne zagrożenia zarówno dla bezpieczeństwa całej firmy, jak i jej klientów. Jak dotąd filtrowanie poczty elektronicznej jest dość zachowawcze, akceptujące pewien poziom niepożądanych wiadomości. Wynika to z obawy o możliwość utraty ważnej informacji. Jednak taka praktyka tworzy znaczącą lukę bezpieczeństwa.

Najbardziej efektywne ataki są precyzyjnie ukierunkowane dzięki wykorzystywaniu informacji pochodzących z analizy ruchu, objętości dostarczanych wiadomości pocztowych, a także dostarczanych przez potajemnie zainstalowane rejestratory klawiatury i przez samych użytkowników, z pomocą dużej dawki socjotechniki.

Wraz ze wzrostem liczby i złożoności ataków związanych z pocztą elektroniczną wpuszczanie do sieci przedsiębiorstwa podejrzanych wiadomości zwiększa ryzyko dla działających w niej systemów.

Kilka poziomów ochrony

W typowej konfiguracji infrastruktury IT przedsiębiorstwa poczta elektroniczna przechodzi przez kilka poziomów, zanim trafi do desktopa - ochrona na perymetrze sieci, filtrowanie zawartości i poziom antywirusa.

Model ten jest narzucany przez strukturę napływu poczty elektronicznej. Perymetr sieci stawia czoła głównemu strumieniowi wiadomości, z których aż 90% stanowią informacje niepożądane, tak więc metody filtracji na perymetrze muszą być najszybsze. W tym miejscu rozwiązania dotyczące kształtowania ruchu mogą szybko identyfikować niepożądany ruch, operując jednocześnie prawie z szybkością połączenia.

Filtrowanie antywirusowe wymaga skomplikowanego skanowania każdej wiadomości, poszukując kodów ukrytych w różnych częściach wiadomości. Ponieważ wymaga to angażowania określonej mocy obliczeniowej, powinno być wykonywane po tym, jak inne poziomy usuną ze strumienia wiadomości wszystko, co się tylko da.

Systemy obwodowe mogą usunąć ok. 50% niepożądanego ruchu, a analiza zawartości aż 80% z pozostałości, co pozostawia antywirusom jeszcze 10% pierwotnego ruchu szkodliwego.

Fałszywe nagłówki

Szkodliwa poczta elektroniczna wyróżnia się szczególnie - prawie zawsze dotyczy zachowań przestępczych i jest wysyłana masowo. Jej nadawcy maskują prawdziwą ścieżkę routingu i pochodzenie wiadomości, aby ukryć swoje kryminalne przedsięwzięcia. Twórcy wirusów używają tej samej techniki ukrywania, ponieważ im prostszy jest wektor infekcji, tym łatwiej zidentyfikować i wyeliminować zagrożenie. Wirusy muszą także używać fałszywej informacji nagłówkowej do pomyślnego infekowania maszyn.

Kiedy złośliwa wiadomość jest przemieszczana z punktu jej powstania poprzez różne serwery pocztowe, aby w końcu osiągnąć serwer pocztowy ofiary, to akumuluje nagłówki wiadomości, które informują, jakie narzędzia były używane do jej utworzenia, trasę wiadomości i inne. Nagłówki są dołączane do wiadomości na trzech etapach: tworzenia wiadomości (klient poczty), transmisji i odbierania poczty. Techniki analizy zawartości mogą przeglądać nagłówki wiadomości pod kątem podejrzanych wyrazów i fraz, ale nie mogą skorelować znalezionych dowodów. Tak więc technika analizy zawartości może być nieskuteczna wobec złośliwej przesyłki, często zawierającej nagłówki specjalnie przygotowane do oszukiwania mechanizmów kontroli zawartości.

Śledczy DHS

To w tym miejscu do akcji wchodzi Deceptive Header Screening (DHS). Nagłówki (lub ich brak) tworzą "historię życia" wiadomości, niewywodzącą się z zawartości tworzonej przez użytkownika.

DHS używa systemu eksperckiego do żmudnego gromadzenia faktów dotyczących "historii życia" wiadomości i ich porównywania.

Wykorzystuje następnie te informacje do identyfikowania zestawu trików, jakie stosuje się w kamuflażu złośliwych wiadomości pocztowych - fałszywe hosty, sfałszowany nagłówek, fałszywy nadawca i zamaskowani odbiorcy (UDW). Może on identyfikować wiadomość utworzoną przez oprogramowanie do wysyłania poczty masowej, ataki phishingu, które rzekomo pochodzą od zaufanych instytucji, oraz wiadomości przychodzące z opanowanych przez spamerów pecetów użytkowników podłączonych przez sieci szerokopasmowe.

Ponieważ DHS wykorzystuje części wiadomości, nad którą złośliwy nadawca ma najmniejszą kontrolę - nagłówki wiadomości - to wychwytuje jego triki niezależnie od treści, języka czy sztuczek prezentacji.

Luka w filtrowaniu wypełniona

DHS skanuje ograniczony fragment każdej wiadomości, może więc operować bardzo szybko, niezależnie od rozmiaru wiadomości. Poprawne wiadomości są generalnie przetwarzane szybciej niż złośliwe - brak spowalniających "fałszywek" daje w efekcie preferencyjne ich traktowanie w procesie przetwarzania. Relatywnie tani serwer może prześwietlać 75 nagłówków wiadomości na sekundę w poszukiwaniu znamion oszustwa.

Ponadto DHS wymaga dużo mniej nakładów na uaktualnianie niż inne narzędzia - z powodu dość stałego repertuaru trików stosowanych w złośliwej poczcie.

DHS zapewnia brakujący fragment układanki tradycyjnego filtrowania: poziom protokołu pocztowego. Rozpoznając strukturę wiadomości poczty elektronicznej i separując fałszywe od prawdziwych, DHS może prawie wyeliminować pozostałe, po tradycyjnym filtrowaniu, zagrożenia przedsiębiorstwa związane z pocztą elektroniczną.

Przy tym sposobie ochrony obciążenie systemów antywirusowych może spaść o połowę, a jednocześnie obniży się poziom ryzyka dla systemów desktopowych i ich użytkowników.