Védelmek nem windows platformon

Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection

Védelmek nem windows platformonVédelmek nem windows platformon


SPAMSPAM

A haszontalan levelek nagy része SPAM– A levelek 80-90%-a szemét ennek majdnem fele SPAM

Miért probléma?– Munkaidő kiesés

– Hálózati terhelés

– Erőforrásokat köt le

– Bizonyos mennyiség után kommunikációs probléma

– Haszontalan internet forgalmat okoz és kezdeményez

Mit kell tenni– Azonosítani a levelet

– Blokkolni vagy jelezni a levelet

Megoldások– Antigen (Windows)

– Mailshield for SMTP (UNIX)


HelyzetképHelyzetkép

1. A SPAM levelek száma folyamatosan nől

2. Profibb SPAM küldők jelennek meg

3. A SPAM gazdasági vonzatai nővekszik

4. A „jó hogy van” megoldásoktól el kell jutni a MEGOLDÁSig

5. Többszintű, többtechnológiás SPAM szűrők lehetősége

Total spam messages/day (Billions)

Source: The Radicati Group, Inc. 2003

13.519.4

28.4

39.7

53.9

0

10

20

30

40

50

60

2003 2004 2005 2006 2007

Osterman Research: Spam is the biggest problem in today’s security market


HelyzetképHelyzetkép


Miből derül ki, hogy SPAM a levélMiből derül ki, hogy SPAM a levél

From: QSTR 在家創業系統 17:02:25 [[email protected]] Sent: Tuesday, June 15, 2004 12:16 AMTo: medeatw

Subject: ＊上班族的隱憂＊

2004年，新的一年，新的開始請打下面的電話，或上網索取免費致富小冊子

http://www.cashcome.net 索取帳號：直接進入索取

現在讓我幫助你重新認識自己，如果你真的想要改變你的人生，你要的是一份事業，而不只是一份工作的話，美國 QSTR 在家創業系統，是結合網路、郵購、通訊的三大通路，也是目前全球最熱門的商機，已經幫助許多人成功在家創業賺到錢，這是個己經證實成功的系統了，它絕對不只是一般所看到的在家創業系統，它是一個突破傳統結合趨勢的全新在家創業系統，你只要按步就班，照著系統的步驟做，就可成功，也就是可以完成你的夢想，你還

在猶豫不決什麼 ? O ？


SPAM felismerési technológia RPDSPAM felismerési technológia RPD

From: QSTR 在家創業系統 17:02:25 [[email protected]] Sent: Tuesday, June 15, 2004 12:16 AMTo: medeatw

Subject: ＊上班族的隱憂＊

2004年，新的一年，新的開始請打下面的電話，或上網索取免費致富小冊子

http://www.cashcome.net 索取帳號：直接進入索取

現在讓我幫助你重新認識自己，如果你真的想要改變你的人生，你要的是一份事業，而不只是一份工作的話，美國 QSTR 在家創業系統，是結合網路、郵購、通訊的三大通路，也是目前全球最熱門的商機，已經幫助許多人成功在家創業賺到錢，這是個己經證實成功的系統了，它絕對不只是一般所看到的在家創業系統，它是一個突破傳統結合趨勢的全新在家創業系統，你只要按步就班，照著系統的步驟做，就可成功，也就是可以完成你的夢想，你還

在猶豫不決什麼 ? O ？

取 /m取

Hash FvvCb

三最機是般 Hash L8k1n

175.237.138.240


RPDRPDTMTM szűrő szűrő

Recurrent Pattern Detection TechnológiaRecurrent Pattern Detection Technológia

Ismétlődő Minta KeresésIsmétlődő Minta Keresés

– Gyors

– Pontos

– Világra kiterjedő

– Központilag karban tartott „Felejts el” alkalmazás

– Nyelvfüggetlen


InternetInternet

HASH Sync

HASH Sync

HASH Sync

HASH Sync

SPAM?

SPAM?


Technológia értékelésTechnológia értékelés

Fekismerés - Rövid lista

Felismerés

Cloudmark 98.20% PCWorld June 2004

Commtouch 97.00% Netoptus (Information week NL) Sep 2004

Clearswift 96.32% Network Computing 13 May 2004

iHateSpam 96.20% PCWorld June 2004

MXLogic 96.06% Network Computing 13 May 2004

Barracuda 95.67% Network Computing 13 May 2004

Tévesztés – Rövid listaFalse Positives

Commtouch 0.00358% Netoptus (Information week NL) Sep 2004

Borderware 0.39% Network Computing 13 May 2004

Brightmail 0.39% Network Computing 13 May 2004

IronPort 0.39% Network Computing 13 May 2004

Postini 0.40% NWFusion 5/23/2004

Corvigo 0.70% NWFusion 5/23/2004


Zero-Hour virus detectionZero-Hour virus detection

RPDOutbreak Blocking

AVEffective

Outbreakkezdete

Első detekció Csúcspont Első ellenszer Adatbázis kiadása a

top AV cégek

90%-nál

RP

D d

ete

cti

on

: 0

.5-2

min

ute

s

20-30 óra



Integrated Solution

Outbreak Detection

Engine Real-time Detection Center

Outbreak Virus samples sent to AV

partner

Signature Based Anti Virus

AV Gateway

Known Virus Quarantine

Outbreak Virus Quarantine

CleanMessages


VeszélyforrásokVeszélyforrások


Zero-Hour megoldásZero-Hour megoldás

Hatékony a támadás legelső perceitől kezdve: percekkel a támadás elindulása után véd,

Preemptív védelmi módszer, a támadási hullám felismerésével blokkolja az ismert és ismeretlen károkozókat

Kiemelkedő felismerési arány: a károkozót tartalmazó levelek akár 95%-át felismeri önmagában, a "hagyományos" vírus-, vagy spam védelem alkalmazása nélkül.

Teljesen automatikus: nem igényel karbantartást.


Zero-Hour megoldás itthonZero-Hour megoldás itthon

Egy szerveren vizsgált levelek száma

7 358 310

Ebből a ZH találat 395 905

Ebből csak ZH-val talált

3 316

ZH-val talált új károkozó

57

Találat aránya vírusadatbázissal rendelkező AV megoldáshoz képest

95,53%95,53%

Téves riasztás aránya 0,000292%0,000292%

Egy szerver adatai (Augusztus-Október )


Beagle.AV Outbreak – 29 October, 2004 Beagle.AV Outbreak – 29 October, 2004

7.00GMT

MessagesLabs detektálja a Beagle.AV-t

10.30GMT

Symantec beta

vírusadatbázis

9 óra az első vírusadatbázisig5 óra 34 perc

1.20GMT

Commtouch RPD

detektálás és blokkolás

Forrás: Commtouch


Beagle.BE Outbreak – March 1, 2005(*) Beagle.BE Outbreak – March 1, 2005(*)

8:00GMT

F-Secure jelzés

12:00 – 14:30GMT

11 óra védelem nélkül7 óra

1:06GMT

Commtouch RPD detektálás és blokkolás

Forrás: Commtouch

Top AV cégek ellenszere elérhető


MyDoom.ax Outbreak – Feb 16, 2005MyDoom.ax Outbreak – Feb 16, 2005

16;55 GMT

University of Michigan jelzése

6:00 GMT, FEB 17

16 óra védelem nélkül

2:55

14:00GMT

Commtouch RPD detektálás és

blokkolás

University of

Michigan

Forrás: Commtouch

Top AV cégek ellenszere elérhető



CommtoCommtouch uch ProtectioProtection: n:

Top AV Top AV signatures signatures availability availability

Gap Gap bridged bridged

by by CommtoCommto

uchuchOct 29 2004 Beagle.av 01:20

GMT10:30 GMT

9.30 hours

Jan 27 2005 Beagle.az 07:07

GMT12:30 GMT

5.30 hours

Jan 31 2005 Sober.k 03:11

GMT15:13 GMT

12 hours

Feb 16 2005, Mydoom.ax 14:04

GMTFeb-17 06:00 GMT

16 hours

March 1 2005 Beagle.BE 01:06

GMT12:00 GMT

11 Hours

5-16 Hours Advantage

Source: Commtouch


VirusBuster MailShield - Vírus szűrőVirusBuster MailShield - Vírus szűrő

Támogatott platformok

– Linux (i386), BSD (i386)

– Solaris, AIX (v4)

Szűrés

– Virus szűrés

– I-Worm szűrés (WormBuster)

– File szűrés

– Tartalom szűrés (SPAM, mail-header)

Új (v4) engine

– Keresés .tar, .gz, .bzip2, .zip, .rar, .arj, .ace, MS .cab és InstallShield .cab

– Keresés diet, upx, aspack tömörítvényekben, MS Office 2003 xml, HTML, Java Script, ActiveX és VB scripts, Windows HELP fájl, beépített MIME kezelő, Oultook Express adatbázis támogatás

– WormBuster

4444ENGINEENGINE


VirusBuster MailShield –VirusBuster MailShield – SPAM SPAM szűrő szűrő

Többszintű SPAM szűrés

Bayes statisztikai szűrő

HTML szűrés

UNICODE formátum

Automata tanulás

Több spam adatbázis használata

Frissített SPAM adatbázis

ESP – RPD technológia

Akciók: block, header modify, forward, quarantine

NEWNEWNEWNEWFEATURESFEATURES


VirusBuster MailShield – SPAM szűrőVirusBuster MailShield – SPAM szűrő

Spam automatikus tanulás

– A false positive ráta csökkentése érdekében

• Különálló komponens

• SPAM és nem SPAM tanulása

– Akár speciális címen keresztül is tanítható

Új Watchdog

- Szabályozható felügyelet

- Akciók a szabályzási folyamatokra

NEWNEWNEWNEWFEATURESFEATURES


Fájl és mező szűrőFájl és mező szűrő

Operációs rendszerfüggetlen fájl típus felismerés

Jelszóvédett fájlkezelés

File Filter – speciális fájlok szűrése

File Gate – speciális fájlok átengedése

Tartalom szűrés subject / from / to / cc / date / mailfrom / rcptto mezők alapján

Akciók: forward / block / delete mail / delete file


vbsmtpd – fogadó• A beállított interfészen és porton fogadja a kapcsolatokat

vbsmtps – küldő• Küldi a leveleket a beállított hostra

vbmailshield – hook• Levélfeldolgozó

vbwatchdog – rendszer folyamatfelügyelő• Felügyeli a rendszer komponenseinek működését

spamal – Spam automatikus tanuló• Az automatikus tanulás szolgáltatása

+ Extended SPAM Protection (ASAP filter)• RPD technológiás SPAM szűrő

Rendszer komponenseiRendszer komponensei


VBMailshieldVBMailshield folyamatai folyamatai

Receiver

Fork()

Receiver proc_n

Receiver proc_max

Fogadás

QueueHook Getqueue()

Fork()

Hook.proc_n

Hook.proc_max

Feldolgozás

Queue

SenderGetqueue()

Fork()

Sender proc_n

Sender proc_max

Küldés

Timingfork()

ReSendWatchdog


A rendszer bevezetésének lépéseiA rendszer bevezetésének lépései

Tervezés

•Jelenlegi rendszer és az elérni kívánt rendszer felépítése

•MailShield integrációjának pontja

•Szükséges biztonsági szabályok

Új rendszer felépítése

•Installáció

•Configuráció

•Szabályok és szűrések

•Útvonalak

•Ellenőrzés

•Rendszer forgalomba helyezése

•Finomhangolás


Mailserver Mailserver integrációintegráció – SMTP Relay – SMTP Relay

INTERNETINTERNET PortPort 2525

My machineMy machine

Mail to external addressMail to external address

Internal mail serverInternal mail server

Mailshield SMTP relayMailshield SMTP relay


Mailserver Mailserver integrációintegráció – SMTP Relay – SMTP Relay

INTERNETINTERNET

Mailshield SMTP relayMailshield SMTP relay

Backend mail serversBackend mail servers

Firewall/external mail serverFirewall/external mail server


SAMBA SAMBA védelemvédelem

VirusBuster SAMBA ShieldVirusBuster SAMBA Shield

SMBVFS emulatorSMBVFS emulator

VFS LayerVFS Layer

SAMBA SERVERSAMBA SERVER

File SystemFile System


VFS shieldVFS shield

VirusBuster Scan daemonVirusBuster Scan daemon

VBFS kernel moduleVBFS kernel module

Kernel VFS LayerKernel VFS Layer

VBshieldVBshield

Engine + VirusdatabaseEngine + Virusdatabase


Qmail inteQmail integrációgráció

MTAMTA KommunikáviósKommunikáviós interfaceinterface

loglog

Bejövő levelekBejövő levelek

InterfaceInterface

MailfilterMailfilter

Virus filterVirus filterFile filterFile filterInverse Inverse filefilterfilefilterSpam filterSpam filterZero-HourZero-HourESPESP

Back-end Back-end levelező levelező szerverszerver

VirusBuster for MailServersVirusBuster for MailServers


Sendmail integrSendmail integrációáció

MTAMTA

loglog

Incoming mailIncoming mail

deliverydelivery

Milter interfaceMilter interface

MailfilterMailfilter

Virus filterVirus filterFile filterFile filterInverse Inverse filefilterfilefilterSpam filterSpam filter......


Questions ?

BudapestVegyész utca 17-25.

H-1116

+36-1-382-7000

[email protected]

MalwaresMalwares

Documents

Védelmek nem windows platformon