Фишинговая атака, которая стала
причиной проникновения в
сеть RSA в прошлом марте, показала, что почта остается самым слабым звеном в
цепи корпоративной безопасности. Даже при том, что фильтрующие системы блокируют
большинство вредоносных и просто надоедливых сообщений, сам их объем
демонстрирует потенциал для использования со стороны атакующих. Теперь одна из
компаний, занимающихся фильтрацией почты, гарантирует, что сможет блокировать
как минимум 99% входящего спама. Но при условии, что вы не клиент Google, Apple,
Facebook или AOL.
Таково предложение Abaca Technology Corp., компании, которая создала
антиспам-технологию, которая уже защищает 260 миллионов ящиков Yahoo. В любой
момент, когда количество блокированного с помощью Abaca Cloud Mail Filter спама
упадет ниже 99%, компания дает клиентам кредит, который те могут потратить на
обновление лицензии или взять в счет возмещения. Abaca Cloud Mail Filter
доступен как шлюзовое устройство, виртуальный сервер или как облачный сервис.
Генеральный директор Abaca Джефф Джефферис сказал в интервью Ars Technica,
что "последние несколько лет, которые компания провела с Yahoo, улучшили
алгоритм фильтрации спама". Начав с Европы, Тайваня и Кореи, где, как сказал
Джефферис, "языковой барьер мешал Yahoo отлавливать спам", 14 месяцев назад
система Abaca перешла на американских пользователей Yahoo. "Последним регионом,
где мы развернули систему, была Индия. Там спам в большинстве случаев – это
просто плохие ссылки почти без какого бы то ни было содержания".
В результате тесного взаимодействия с Yahoo, компании Abaca по контракту
запрещено предоставлять свои услуги конкурентам Yahoo.
Система отсеивания почты от Abaca использует репутационную базу данных чтобы
быстро отсортировывать спамеров и фишинг атаки. Базирующиеся на облаке
репутационные базы данных широко используются поставщиками ПО, предназначенного
для борьбы со спамом и вредоносными программами, чтобы отслеживать сайты и
отправителей email, которые определены как нарушители. Эти базы данных
составляются благодаря обычным людям. Собираются отчеты и рейтинги от
пользователей и создаются профили сайтов и доменов, которые содержат вредоносное
ПО и рассылают спам. Также создаются профили известных "добрых" отправителей,
т.е. людей, с которыми пользователи часто связываются и прикрепленным файлам в
письмах которых можно доверять.
Репутационная система фильтрования осуществляет процесс, который компания
называет "углубленной проверкой окружения" в заголовке каждого сообщения и
инспектирует более 50 признаков в заголовке, чтобы определить источник. Затем
она проверят соотношение "Ham to Spam" в отпечатке отправителя, т.е. количество
нормальных сообщений и количество сообщений, помеченных как спам. Отпечаток
также включает в себя пункты передачи почты, так что если спамер использует
ботнет на зараженных компьютерах для отправки почты через определенные почтовые
агенты, весь спам, проходящий через этот шлюз, может быть заблокирован.
"Наша система со временем умнеет с помощью всего сообщества", - сказал
Джефферис. "Как только кто-то замечает отправку спама со скомпрометированного
ящика, мы тут же генерируем для него очки репутации". Люди, впервые посылающие
сообщение со своего ящика тоже, скорей всего, будут заблокированы, а их
сообщения поместят в карантин.
Едва ли Abaca является единственным сервисом фильтрации спама, использующим
облачную базу данных. Cisco IronPort Hybrid Email Security, Google Postini
service, Cloudmark Authority и Trend Micro Email Reputation Service тоже их
применяют. И Postini и IronPort утверждают, что их система блокирует 99% спама
или более, хотя опыт их пользователей не всегда может подтвердить эти заявления.
По словам Джеффериса, многие спам-фильтры все еще пропускают от 5 до 10% спама.
Как он сказал, отличие Abaca заключается в полноте блокировки спама и в
производительности его системы. Джефферис добавил, что движок фильтрации
способен обрабатывать 100 000 сообщений в секунду. Это позволило первым клиентам
значительно сократить число применяемых шлюзов. Один клиент, по словам
Джеффериса, смог уменьшить количество шлюзов в двух дата-центрах с 240 до 40.