По оценке Ferris Research, в 2009 году глобальные убытки от спама составили $140 млрд, что в два раза больше, чем пять лет назад. Основная доля ущерба (85%) пришлась на снижение производительности труда, вызванное необходимостью просматривать и удалять спам из почтового ящика. Приблизительно 10% убытков было связано с поддержкой конечных устройств системными администраторами, и 5% - покупкой лицензий антиспам-решений. По подсчётам разных аналитиков, нежелательные электронные письма обходится организациям от 600 до двух тысяч долларов США на одного сотрудника в год, главным образом, из-за потери рабочего времени сотрудников.
Почему спам живуч
Спамеры избегают ответственности за свою деятельность, оставаясь анонимными, что пока довольно легко сделать. В начале эпохи спама они использовали прямые рассылки электронных писем от своего имени, но появление фильтров адресов отправителей заставило их начать применять различные уловки, обеспечивающие анонимность. Сейчас нежелательные сообщения рассылаются через прокси-серверы, плохо защищенные почтовые серверы, открытые релеи (почтовые серверы, доступные любому отправителю), сервисы электронной почты и пользовательские компьютеры, зараженные вредоносными программами. Последний способ наиболее популярен, при нём на компьютер-жертву устанавливается специальная троянская программа, причём киберпреступники стараются заразить как можно больше машин и произвести массовую рассылку. Помимо сокрытия собственной идентичности спамеры озабочены и уходом от систем обнаружения непрошеных сообщений. Для этого они постоянно видоизменяют рассылаемые электронные письма, вносят в них случайные искажения, прячут тексты в изображениях и используют иные методы, направленные на то, чтобы сбить детектирование.
Распространённым методом ухода от детектирования является сокрытие текста в картинке и написание его строк волнами
Усложнить жизнь спамерам
Пользуясь обычной почтой, мы обязаны указать обратный адрес и купить почтовую марку, то есть не можем отправлять тысячи непрошеных писем бесплатно и безнаказанно. В электронной почте ситуация обратная, что прекрасно служит спамерам и затрудняет жизнь обычным пользователям. Можно ли сделать интернет-почту не анонимной, а бизнес-модель спамеров невыгодной? Да, можно, если внедрить такие технологии, как микроплатежи за каждое письмо, лимиты количества отсылаемых писем за определённый промежуток времени, требование повторной отсылки, тестирование того, что отправитель – не робот, различные методы строгой идентификации отправителя. Однако у этих подходов есть несколько огромных недостатков. Они меняют в корне всю систему мировой электронной почты, требуя значительных изменений её протоколов и инфраструктуры, а это слишком сложно, долго и дорого. Они должны быть внедрены повсеместно, а иначе не будут действовать, – спамерские серверы очень быстро переместятся в регионы, где почтовая инфраструктура осталась без изменений. Нужно, чтобы их поддержали все провайдеры доступа в интернет и сервисов электронной почты, а это практически невозможно. Помимо этого, многие из них несовершенны и спамеры обязательно найдут и уже находят лазейки для их обхода. Кроме того, они, как правило, замедляют обмен сообщениями. Для защиты корпоративных компьютерных сетей необходимы другие, более реалистичные и эффективные методы.
Защита, не требующая революции
Раз спамерские рассылки пока невозможно искоренить, нужно хотя бы оградить от них максимальное количество компьютеров. Автоматические антиспам-системы, устанавливаемые на серверах и/или рабочих станциях, фильтрующие приходящие письма, не требуют фундаментальных изменений протоколов и инфраструктуры глобальной электронной почты и потому обоснованно считаются реалистичными и широко распространены. В них используются самые разные технологии, такие как фильтрация на основе формальных признаков (по адресу отправителя и получателя, размеру и пути письма и т.д.), лингвистический анализ тела сообщения и вложенных документов (по наличию определённых слов и словосочетаний), сигнатурные методы (по цифровым отпечаткам известных спам-писем) и другие. Каждая из этих технологий имеет свои особенности, и ни одна из них не обеспечивает достаточно высокого уровня детектирования при использовании в отдельности от других. Необходим целый комплекс методов. При этом от системы защиты требуется, чтобы она не совершала ложных срабатываний, поскольку это ведёт к потере бесценной деловой корреспонденции, а также быстро работала и не перегружала ресурсы цифрового устройства.
Надёжное детектирование
Антиспам-защита корпоративного класса от «Лаборатории Касперского» реализована в решении Kaspersky Security 8.0 for Microsoft Exchange Servers 2007/2010. Продукт применяет целый комплекс технологий детектирования. Эвристический анализатор идентифицирует спам по таким характеристикам, как скрытый адрес отправителя, отсутствие или увеличенное по сравнению с нормой количество адресов получателей, формат и размер письма. Лингвистический анализатор сканирует письма и их вложения на характерные для спама слова и словосочетания и сравнивает их с записями в базе данных. Также производится поиск изображений, соответствующих сигнатурам графического спама. Продукт идентифицирует нежелательные письма, написанные на всех группах языков, включая иероглифические.
Kaspersky Security 8.0 for Microsoft Exchange Servers 2007/2010 постоянно связывается со специальной онлайновой базой данных о компьютерных угрозах, содержащей, в том числе, адреса опасных интернет-ресурсов. Затем на основе полученной информации, в сообщениях тщательно проверяются адреса отправителей и гиперссылки. Эта онлайновая база оперативно пополняется и постоянно поддерживается в актуальном состоянии благодаря обмену данными с облачными репутационным сервисами компании. Она принадлежит «Лаборатории Касперского»; помимо неё используются и другие, публичные базы спамерских и фишинговых адресов. Глобальная сеть спам-ловушек мгновенно, в режиме реального времени сообщает о появлении новых видов непрошеных электронных сообщений. Объём приходящей информации очень велик, – так в 2009 г. в «Лаборатории Касперского» обрабатывалось ежедневно 1,5-3 миллионов образцов спама, а сейчас эти цифры стали ещё больше.
Kaspersky Security 8.0 for Microsoft Exchange Servers 2007/2010 - это серверный продукт. Это означает, что на него поступает больше служебной информации о входящих письмах, пригодной для их анализа, чем на рабочие станции. Весь комплекс применяемых эффективных технологий обеспечивает очень высокий, близкий к 99% уровень детектирования непрошеных писем при незначительном количестве ложных срабатываний.
Нечёткие сигнатуры
В Kaspersky Security 8.0 for Microsoft Exchange Servers 2007/2010 воплощена технология детектирования спама на основе нечёткой логики. Она позволяет создавать расширенные сигнатуры, предназначенные для обнаружения не одного, а сразу нескольких различающихся между собой сообщений. Обычные сигнатуры идентифицируют сообщения в точности, и спамерам достаточно совсем немного поменять текст или картинку, чтобы такая сигнатура перестала детектировать. Нечёткие сигнатуры устойчивы к подобным изменениям, оставаясь актуальными гораздо дольше. Кроме сигнатур нечёткая логика реализована и в поиске по базе данных. При нечётком поиске процедура сравнения игнорирует (обоснованно) некоторые несовпадения сигнатуры и записи в базе сигнатур, что ещё больше увеличивает гибкость детектирования и устойчивость к искажениям. Таким образом, технологии на основе нечёткой логики продукта Kaspersky Security 8.0 for Microsoft Exchange Servers 2007/2010 позволяют адаптировать систему защиты к постоянно меняющемуся спаму и повысить уровень обнаружения новых непрошеных сообщений.
Три спамерских сообщения, отличающиеся размером, цветом фона и разбиением строк, идентифицированные как спам одной нечёткой сигнатурой.
Гибкая настройка
В Kaspersky Security 8.0 for Microsoft Exchange Servers 2007/2010 реализованы гибкие групповые политики безопасности. Для одних пользователей можно определить одну политику фильтрации спама, а для других – другую. Администратор системы имеет возможность выбрать один из четырех уровней интенсивности фильтрации в зависимости от потребностей его организации. Даже если продукт настроен так, что пользователь получает полностью всю корреспонденцию, включая спам, входящие письма можно помечать метками, сигнализирующими об уровне опасности. Существует возможность создания «белых» и «черных» списков IP-адресов отправителей, которые можно формировать вручную, добавляя адреса либо пользователей. Сообщения от доверенных источников, например фирм-партнёров, могут вообще не сканироваться, что снижает нагрузку на систему. Копии спам-сообщений сохраняются в резервном хранилище в течение любого заданного промежутка времени.
Заключение
Организации несут значительные убытки от непрошеных сообщений – почтового спама. Корпоративная система защиты от спама должна обеспечивать высокий уровень детектирования, близкий к нулю показатель ложных срабатываний, быстроту проверки и небольшую ресурсоёмкость. Благодаря таким прогрессивным технологиям, как облачные репутационные сервисы, нечёткие расширенные сигнатуры и передовой лингвистический анализ, система Kaspersky Security 8.0 for Microsoft Exchange Servers 2007/2010 обладает именно такими качествами.
