La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Técnicas de detección de SPAM

Publicada porAmadis Carnero Modificado hace 10 años

Copias: 1
Gira Provincias 04/05 Microsoft Technet Agenda Técnicas de envenenamiento en redes de datos. –Spoofing ARP –DNS Hijacking –Phising –Mail Spoofing Contramedidas.
Gira Provincias 04/05 Microsoft Technet Agenda Técnicas de envenenamiento en redes de datos. –Spoofing ARP –DNS Hijacking –Phising –Mail Spoofing Contramedidas.

Presentaciones similares

Presentación del tema: "Técnicas de detección de SPAM"— Transcripción de la presentación:

1 Técnicas de detección de SPAM
Jacobo Crespo Responsable para España

2 AGENDA 1.- Presentación 2.- Herramientas de Filtrado de Contenido
3.- Filtros AntiSpam en MS Exchange Server 2003 4.- Intelligent Message Filter en Exchange Demo 5.- Advance Spam Manager – Tecnología SpamCure – Demo

3 ¿Quienes Somos? 1.- Fabricante de Seguridad orientado a Mensajería:
a.- Correo Electrónico (Exchange) b.- Portales para publicación de documentos (Sharepoint Portal Server) c.- Servidores de Mensajería Instantánea (Live Communication Server) 2.- Que ofrece: a.- Hasta 8 motores de AV Simultáneos b.- Control del contenido enviado en el correo (palabras, adjuntos, tamaño,…) c.- Soluciones Antispam (borrado, etiquetado,….) d.- Auditoria sobre la utilización del (Productividad, almacenamiento, ancho de banda) 3.- En US desde el año 1994 y en España desde el año 2000 con mas de 600 clientes

4 Referencias

5 ¿Por qué Antispam? 1.- Circulan al día 2.3 billones de mensajes SPAM
2.- Un buzón de correo normal recibe al día 75 correos de los cuales el 52% es SPAM 3.- Se ha cuantificado que el coste por año por empleado del SPAM es de 300€ 4.- Los costes directos del SPAM son: a.- Transmitir esos mensajes – Reduce el ancho de banda b.- Almacenar esos mensajes – Aumenta el coste de almacenamiento c.- Borrar o leer esos mensajes – Reduce la productividad del empleado 5.- ROI Protección Antispam por dos años para 50 empleados = 1.200€ 300€ x 50 empleados = € de coste de Spam anual x2 = € _____________________________________________________________________ Protección Antispam por dos años para empleados = € 300€ x empleados = € de coste de Spam anual x2 = €

6 Filtrado de Contenido Evita que cierto tipo de palabras y tópicos sean enviados hacia o desde los usuarios Sin embargo, es ineficiente para controlar el SPAM Requiere una atención continua del Administrador (horas por día) Algunos simples trucos lo hacen vulnerable Ejemplos: $ave, V*i*a*gr*a, Chëὰρ Existen 105 variantes solo para la letra A! Genera muchos falsos positivos Imposible de utilizar en ciertas industrias

7 Filtrado de Contenido V G R A , \./iagra, Viiagra, V?agr?, V--i--a--g--r-a, V!agra, V1agra, VI.A.G.R.A, vIagr.a, via-gra, Via.gra, Vriagra, Viag*ra, vi-agra, Vi-ag.ra, v-iagra, Viagr-a, V^I^A^G^G^A, V'i'a'g'r'a', V*I*A,G,R.A, VI.A.G.R.A..., Viag\ra!, V-i:ag:ra, V'i'a'g'r'a, V/i;a:g:r:a, V i a g V+i\a\g\r\a, Viag[ra, V?agra, V;I;A*G-R-A, V-i-a-g-r-a, V*I*A*G*R*A , \/^i^ag-ra, VlAGRA, V\i\a.g.r.a, v_r_i_a_g_r_a, V\i\a:g:r:a, V^i^a^g^r^a, Viag(ra.

8 RBLs (Real Time Black Holes)
Las RBLs son listas de supuestos spammers y sus dominios/direcciones IP Ejemplos: SpamCop, MAPS, SPEWS, Dorkslayers Generalmente es manejado por voluntarios, por lo cual no existe una auditoría, y a menudo bloquean mas de la cuenta Algunos ISPs son agregados, aún cuando envían correos legítimos Borrarse de estas listas puede llevar desde días a meses Requiere la utilización de muchas listas blancas para no generar falsos positivos

9 Análisis Heurístico Utiliza una técnica que busca miles de características y/o palabras para identificar SPAM y asignar una calificación El nivel de SPAM debe ser ajustado periódicamente Es utilizado en muchos productos antispam Muy conocido por los spammers Sitios Web de spammers permiten verificar el spam contra motores heurísticos Aumentar el nivel de detección = Aumentar los falsos +

10 Filtros Bayesianos Sistema de aprendizaje basado en en análisis estadísticos de vocabulario Listas de palabras “buenas” y “malas” Necesita intervención del usuario para que sea efectiva Puede ser muy efectiva para usuarios individuales Es atacado deliberadamente por los spammers Incluyendo palabras “buenas” Generalmente con palabras escondidas dentro de código HTML

11 Filtros Bayesianos Ejemplo de palabras aleatorias para evitar filtros Bayesianos Definition of SPAM – spam is not the same for everybody. One user’s spam is another’s valid . So there is a need to delegate decision making. Privacy - Is the cure worse than the problem? -- Privacy is a key issue. Some spam solutions send entire s outside of an organization. Others use quarantine solutions. This means that the admin must read the message content to decide if something is spam. This creates a potential for deliberate or inadvertent access to private information. False positives/high detection: every solution will claim this. But with content-based solutions, the higher you turn the “sensitivity” to spam, the more false positives you get. Corporate / MIS control (Solicited – Private ): some mail that has the characteristics of spam is wanted, such as newsletters. MIS needs to be able to open the doors to these s. You need a combination of IT and user control. Individual control: Relieving the administrator – the administrator cannot be expected to spend all day writing rules. Ever changing enemy: Staying on top of the challenge – spam attacks happen in real-time and must be reacted to in the same way.

12 Checksums Crea un “fingerprint” de ejemplos de spam conocido
La Base de Datos se actualiza periódicamente Es reactivo Por definición, el “fingerprint” es creado tras identificar el correo como spam Es posible evitarlo con una técnica llamada “hash busting” – agregando diferentes caracteres dentro del mensaje

13 Ejemplo de Hash busting
Ejemplo de hash busting para evitar la técnica de checksums Definition of SPAM – spam is not the same for everybody. One user’s spam is another’s valid . So there is a need to delegate decision making. Privacy - Is the cure worse than the problem? -- Privacy is a key issue. Some spam solutions send entire s outside of an organization. Others use quarantine solutions. This means that the admin must read the message content to decide if something is spam. This creates a potential for deliberate or inadvertent access to private information. False positives/high detection: every solution will claim this. But with content-based solutions, the higher you turn the “sensitivity” to spam, the more false positives you get. Corporate / MIS control (Solicited – Private ): some mail that has the characteristics of spam is wanted, such as newsletters. MIS needs to be able to open the doors to these s. You need a combination of IT and user control. Individual control: Relieving the administrator – the administrator cannot be expected to spend all day writing rules. Ever changing enemy: Staying on top of the challenge – spam attacks happen in real-time and must be reacted to in the same way.

14 Curiosidades Los Spammers están continuamente creando trucos y técnicas para evitar las diferentes tecnologías de detección… Algunos Ejemplos….. Definition of SPAM – spam is not the same for everybody. One user’s spam is another’s valid . So there is a need to delegate decision making. Privacy - Is the cure worse than the problem? -- Privacy is a key issue. Some spam solutions send entire s outside of an organization. Others use quarantine solutions. This means that the admin must read the message content to decide if something is spam. This creates a potential for deliberate or inadvertent access to private information. False positives/high detection: every solution will claim this. But with content-based solutions, the higher you turn the “sensitivity” to spam, the more false positives you get. Corporate / MIS control (Solicited – Private ): some mail that has the characteristics of spam is wanted, such as newsletters. MIS needs to be able to open the doors to these s. You need a combination of IT and user control. Individual control: Relieving the administrator – the administrator cannot be expected to spend all day writing rules. Ever changing enemy: Staying on top of the challenge – spam attacks happen in real-time and must be reacted to in the same way.

15 Filtros AntiSpam en MS Exchange Server 2003

16 Problemática Plataforma Relay de correo:
El ataque se produce cuando un usuario malicioso vulnera la seguridad de la plataforma para enviar correo masivo a través de nuestro servidor. Receptor de Correo Spam: Se reciben correos que cargan el rendimiento, reducen la productividad de los empleados y generan gastos directos (sistemas de backup, conexiones GPRS, ancho de banda, soporte...)

17 Problemática Técnica Relay
Buzones Exchange Back-End Pasarela SMTP Exchange Front-End No Relay

18 Soluciones Exchange Server 2003
Opciones de Seguridad para no admitir Relay y, por tanto, no ser plataforma de correo “Spam”. Bloqueo de Relay por defecto para todos los clientes no autenticados. Bloqueo por dominios. Bloqueo por usuarios. Bloqueo por máquinas.

19 Soluciones Exchange Server 2003
Opciones para detener el correo Spam recibido: Filtro de Remitente. Filtro de Destinatario. Nuevo. Filtro de Conexión en tiempo real. Nuevo. Filtros de Junk . Nuevo. Listas Autenticadas. Nuevo. IMF. Nuevo.

20 Soluciones Exchange Server 2003
Filtro de Remitente. (Filtro Estático) Bloquea los mensajes que proceden de determinados usuarios. Filtro de Destinatario (Filtro Estático) Bloquea los mensajes que van dirigidos a determinados destinatarios.

21 Soluciones Exchange 2003 Listas Autenticadas
Se discrimina solo a usuarios autenticados para enviar mensajes a listas de correo.

22 Soluciones Exchange 2003 13.12.11.10 Host 127.0.0.1
Filtros de Conexión Exchange Server 2003 comprueba en tiempo real si un servidor que está enviando correo está almacenado en una base de datos de servidores nocivos. Implantación de Filtros de Conexión Implantamos en un servidor DNS una zona de consulta para almacenar los servidores bloqueados. Ej.[bloqueados.midominio.com ] Añadimos registros del tipo Configuramos un filtro para que se consulte la zona anterior cada vez que se recibe una conexión de servidor Host

23 Filtro de Conexión Se envian los mensajes al servidor de BackEnd
Se recibe una conexión desde un servidor de correo Se deniega la conexión El servidor FrontEnd consulta la zona DNS de bloqueo. El servidor DNS contesta si existe o no ese registro. Servidor FrontEnd Servidor BackEnd Servidor DNS

24 Soluciones Exchange 2003 Filtros Junk e-mail en Cliente
Opciones de Outlook 2003 El cliente tiene la opción de configurar los correos nocivos El Servidor y SW de terceros (Antigen) catalogan los mensajes para entrar en la carpeta de Junk- En conexiones de pago por transferencia permite ahorrar costes

25 Intelligent Message Filter & Advance Spam Manager

26 Dos Motores Microsoft IMF Sybari/Antigen ASM
Utiliza la tecnología SmartScreen™ Conjunto detallado de reglas que son comparadas con el correo entrante Sybari/Antigen ASM Integra el motor de detección de spam SpamCure™ Utiliza una combinación de “Bullet Signatures” y el motor STAR

27 Tecnología SmartScreen™
• IMF distingue entre los mensajes de correo legítimos y el correo comercial no solicitado u otro tipo de correo electrónico no deseado • Hace un seguimiento de más de características de correo electrónico basadas en datos de cientos de miles de suscriptores del servicio MSN® Hotmail® que participaron voluntariamente en la clasificación de millones de mensajes de correo electrónico • Ayuda a filtrar el correo no deseado antes de que llegue a la bandeja de entrada del usuario

28 Tecnología SmartScreen™
• Base de datos utilizada para almacenar las características de los correos catalogados como Spam se actualiza con nueva información de patrones del origen de la muestra, lo que hace que el filtro sea más eficaz y actual • Permite llevar a cabo una evaluación más precisa de la legitimidad de un mensaje de correo electrónico entrante

29 SCL – Nivel de Confianza del correo no deseado
• IMF evalúa el contenido de los mensajes en busca de modelos reconocibles y les asigna una clasificación basada en la probabilidad de que el mensaje sea correo comercial no solicitado o correo no deseado • La clasificación se almacena en una base de datos con el mensaje como una propiedad llamada nivel de confianza de correo no deseado (SCL) Los administradores configuran dos umbrales que determinan la forma en que IMF controla los mensajes de correo electrónico con diferentes niveles de SCL

30 Demo: Intelligent Message Filter (IMF)

31 ASM Antigen Advanced Spam Manager

32 Bullet Signatures BD “Bullet signatures” es creada y revisada por un grupo de expertos Los “Bullet signatures” son una combinación de atributos únicos de un spammer en particular Un conjunto de datos extraídos de la cabecera, del campo asunto y del cuerpo del mensaje Funciona tanto para spam actual como futuro Creados para conseguir características únicas del mensaje que no puedan estar presentes en correos legítimos No puede ser falseado por técnicas como el “Hash Busting”

33 STAR Engine El motor STAR busca trucos y técnicas específicas de los spammers Spammer Tricks Analysis and Response Utiliza los “Bullet Signatures” para buscar métodos específicos de spamming Se actualiza automáticamente cuando se lanza una nueva versión del motor Desde el comienzo está diseñado para soportar cualquier idioma, incluso los de doble byte.

34 Uno + Uno = TRES Supongamos que recibimos 10.000 correos de SPAM
Si el IMF analiza primero, el total de correos de SPAM se reduciría a un total de 1500 (85% de detección) A partir de ahí, SpamCure™ escanea el correo restante y detectaría el 95% de los 1500 Lo que reduce a 75 los correos de SPAM que recibiríamos

35 Combinando Tecnologías
El motor IMF analiza los correos en primer lugar Se aplica una clasificación SCL a cada correo Después pasa por ASM, que también analiza el mensaje ASM nunca reducirá la clasificación de IMF

36 Resumen Dos sistemas de detección de spam para lograr una mayor efectividad Mínima intervención humana Fácil de instalar y configurar Integración entre cliente y servidor Ratio de detección del 99%, mucho mayor que la que pueda ofrecer cualquier tecnología por sí misma

37 Demo: Advance Spam Manager. Tecnología SpamCure

38 Contacto Jacobo Crespo jacob_crespo@sybari.com Sybari www.sybari.com

39 ¿ Preguntas ?

40 Referencias LSSI : MS ISA Server 2004: Exchange Server 2003
MS ISA Server 2004: Exchange Server 2003 Message Screener: Technet: Sybari: Informática 64

Descargar ppt "Técnicas de detección de SPAM"

Presentaciones similares

Seguridad en MS Exchange 2003

Seguridad en MS Exchange 2003
Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
para Exchange Archivo del correo interno y externo

para Exchange Archivo del correo interno y externo
Symantec Mail Security for Microsoft Exchange Raul Bazan

Symantec Mail Security for Microsoft Exchange Raul Bazan
El problema del spam Raul Bazan iSoftland. # El problema del spam Contenido El problema del spam Descripción del ciclo de vida del spam Elección de una.

El problema del spam Raul Bazan iSoftland. # El problema del spam Contenido El problema del spam Descripción del ciclo de vida del spam Elección de una.
1 Curso Básico de C.I.O. Light Sección 12 Internet Sección 12 - Internet.

1 Curso Básico de C.I.O. Light Sección 12 Internet Sección 12 - Internet.
Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.

Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.
Rafael Reyes Program Manager Windows Server System / Microsoft LATAM

Rafael Reyes Program Manager Windows Server System / Microsoft LATAM
Gira Provincias 04/05 Microsoft Technet Agenda Técnicas de envenenamiento en redes de datos. –Spoofing ARP –DNS Hijacking –Phising –Mail Spoofing Contramedidas.

Gira Provincias 04/05 Microsoft Technet Agenda Técnicas de envenenamiento en redes de datos. –Spoofing ARP –DNS Hijacking –Phising –Mail Spoofing Contramedidas.
Microsoft Office System Planificando la estructura de su información usando Microsoft SharePoint Portal Server 2003 José Alberca Acosta Consultor

Microsoft Office System Planificando la estructura de su información usando Microsoft SharePoint Portal Server 2003 José Alberca Acosta Consultor
Protección de servidores de correo Exchange 2007 con Forefront para Exchange Iván Castro Gayoso Security Technology Specialist

Protección de servidores de correo Exchange 2007 con Forefront para Exchange Iván Castro Gayoso Security Technology Specialist
Jorge de Nova Segundo UD 6: Instalación y administración de servicios de correo electrónico Cuentas de correo, alías y buzones de correo.

Jorge de Nova Segundo UD 6: Instalación y administración de servicios de correo electrónico Cuentas de correo, alías y buzones de correo.
Paper On Demand Server & Designer. Descripción Técnica de Arquitectura y Componentes de la Solución PPOD.

Paper On Demand Server & Designer. Descripción Técnica de Arquitectura y Componentes de la Solución PPOD.
¿RECIBE SPAM? El Spam son los correos electrónicos no solicitados. El Spam usualmente contiene pornografia, virus, ataques phishing, fraudes, spyware,

¿RECIBE SPAM? El Spam son los correos electrónicos no solicitados. El Spam usualmente contiene pornografia, virus, ataques phishing, fraudes, spyware,
Microsoft Office 27/06/12 Presentación del nuevo Office Productividad y colaboración preparadas para pymes Microsoft Corporation Jeff Vogt © 2012 Microsoft.

Microsoft Office 27/06/12 Presentación del nuevo Office Productividad y colaboración preparadas para pymes Microsoft Corporation Jeff Vogt © 2012 Microsoft.
ESET Endpoint Security y ESET Endpoint Antivirus

ESET Endpoint Security y ESET Endpoint Antivirus
Gestionar y organizar los elementos del correo electrónico

Gestionar y organizar los elementos del correo electrónico
Sistema de Clasificación de Proveedores

Sistema de Clasificación de Proveedores
Tema: Software Antivirus Tatiana Tumbaco Juan Carlos Viñan Cesar Tuarez Paul Barreiro Bismar Bermeo Maestría En Gestión de Calidad y Productividad.

Tema: Software Antivirus Tatiana Tumbaco Juan Carlos Viñan Cesar Tuarez Paul Barreiro Bismar Bermeo Maestría En Gestión de Calidad y Productividad.
28 de junio, 2010. Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:

28 de junio, Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:

Presentaciones similares

Anuncios Google