Презентация на тему Защита электронной почты,контроль информационного наполнения web трафика

код, почтовые черви
Канал, через который осуществляются атаки
Средство скрытого проникновения

в корпоративные сети
Канал утечки конфиденциальной информации
Снижение производительности труда в коллективе

код, почтовые черви
черви для интернет-пейджеров (IM-черви, Instant Messaging)
черви

для файлово-обменных сетей (P2P-черви, peer-to-peer)
троянские программы (сокрытие по stealth-технологии, например, rootkit-технологии)
потенциально опасные программы (riskware, greyware), например, программы дозвона (dialers), FTP-сервера, telnet-сервера, утилиты удаленного администрирования и т.п.
программы шпионы (spyware)
рекламные коды (adware)

осуществляются атаки
атаки с использованием социальной инженерии, т.е. человеческого фактора

DoS
фишинг – мошенничество, целью которого является получение идентификационных данных пользователей
вымогательство денег (Gpcode, Krotten, Cryzip.a)

в корпоративные сети
spam
интернет-пейджеры (IM, Instant messaging)
AOL (AOL

IM – AIM, Trillian, SameTime Connect)
ICQ (ICQPro, ICQ Lite)
Microsoft (MSN Messenger, Windows Messenger, Trillian)
Yahoo! (Yahoo! Messenger, Trillian)
распределенные сети P2P (Peer-to-peer)
Файловые обменные сети
Распределенные вычислительные сети
Службы сообщений
Сети групповой работы

информации

в коллективе

сети (P2P)

конфиденциальной информации
Защита от атак с использованием социальной инженерии (фишинг/фарминг)
Защита

от спама
Защита от вирусов и другого вредоносного кода

по содержанию (т.е. по определенным ключевым словам или фразам);
анализ

формальных признаков документа (например, отправитель, получатель и т.д)
fingerprints (цифровые отпечатки)- создание базы конфиденциальных документов-образцов, анализируемые документы проверяются на совпадение с образцами из базы

вид интернет мошенничества, при котором осуществляется получение личной информации

от пользователей Интернета путем рассылки электронных писем, направляющих пользователей на сфальсифицированный веб-сайт.
Фарминг (pharming) сводится к автоматическому перенаправлению пользователей на фальшивые сайты с целью хищения конфиденциальной информации. В отличие от фишинга, фарминг-атаки практически не требуют выполнения каких-либо действий потенциальной жертвой.





Symantec Intelligence Report :: JANUARY 2014

Относитесь с опаской к сообщениям, в которых вас просят

указать ваши личные данные. Вероятность того, что ваш банк может запросить подобные данные по электронной почте, чрезвычайно мала. Если вы получили электронное письмо, якобы отправленное банком, перезвоните в банк и уточните, действительно ли вам посылали сообщение.
Не заполняйте полученные по электронной почте анкеты, предполагающие ввод личных данных. Подобную информацию безопасно вводить только на защищенных сайтах. Убедитесь, что его адрес начинается с "https://"
Не проходите по ссылкам в электронных письмах в формате HTML: киберпреступники могут спрятать адрес подложного сайта в ссылке, которая выглядит как настоящий электронный адрес банка. Вместо этого скопируйте ссылку в адресную строку браузера.
Убедитесь, что ваше антивирусное решение способно блокировать переход на фишинговые сайты или установите интернет-обозреватель, оснащенный фишинг-фильтром.
Регулярно проверяйте состояние своих банковских счетов (в том числе счетов, к которым привязаны дебетовые и кредитные карты) и просматривайте банковские выписки, чтобы убедиться в отсутствии "лишних" операций.
Связывайтесь с банком по телефону всякий раз, когда ситуация покажется вам подозрительной.
Следите за тем, чтобы у вас всегда была установлена последняя версия интернет-обозревателя и все обновления безопасности.

является массовой рассылкой;
сообщение рассылается без согласия пользователя;
сообщение

содержит рекламу;
сообщение является анонимным.

которые пользователь когда-то подписывался (даже если он уже не

хочет ее получать и/или забыл, как отписаться).
Технические сообщения систем электронной почты, включая сообщения о недоставке писем, которые пользователь не рассылал (во время последних вирусных эпидемий такие случаи участились).
Технические сообщения антивирусных систем о том, что в письме найден вирус.
Уведомления о доставке, недоставке или прочтении писем получателем.

(от Symantec Corporation)
Доля спама в почтовом трафике в январе

2014 составила 62,1 (февраль 2013 - 71,1%).

(от Symantec Corporation)

По категориям:
По доменам:

- спам.
Снижение производительности компании.
Случайная потеря важных сообщений

при ручной чистке электронной почты.
Угроза стабильности работы почтовых серверов.
Опасное содержание: вирусы, трояны, запрещенные материалы.

IP репутации
Методы аутентификации почтовых серверов
Механизм DNSBL (DNS blacklist)
Механизм “белых”

и “черных” списков
Анализ сообщения:
Детектирование массовых рассылок
Лингвистические методы
Механизм SURBL (Spam URI Realtime Blocklists)

серверов с использованием DNS
аутентификация по IP адресу сервера отправителя:

Sender Policy Framework (SPF)
SenderID
криптографическая аутентификация отправителя:
DomainKeys Identified Mail (DKIM)

(RFC4408)
Администратор (владелец) домена публикует данные, описывающие возможные источники электронной

почты с адресами отправителя из этого домена.
Почтовый сервер, принимающий E-mail с адресом отправителя из данного домена, может сопоставить реальный источник сообщения (IP-адрес стороны, посылающей почту) с данными, которые опубликовал владелец домена.
Результатом анализа SPF-политики на принимающей стороне является SPF-статус сообщения, который может иметь одно из следующих значений:
Pass - отправитель сообщения не подделан (согласно анализу SPF-политики).
Softfail - сообщение не отвечает "жестким" критериям достоверности отправителя, но нельзя и быть уверенным, что отправитель подделан.
Fail - отправитель подделан.

Запись в DNS.
domain.name. IN TXT "v=spf1 ip4:192.168.0.2/32 +a:www.another.domain.com -all"

Данный пример означает:
Поддержан протокол SPF версии 1 (v=spf1);
Почта с From: someuser@domain.name может приходить (рекомендовано принимать) с:
IP-адреса 192.168.0.2/32
Сервера с именем www.another.domain.com
Не рекомендовано принимать более ниоткуда (-all).

в теле сообщения e-mail, а не только адреса отправителя

уровня SMTP (envelope sender).

Mail (DKIM)
RFC4870, RFC4871

Владелец почтового сервиса (отправитель) генерирует пару криптоключей

(публичный и приватный).
Публичный ключ публикуется в DNS, а приватный ключ используется на почтовых серверах для пометки всей исходящей корреспонденции. К заголовку каждого письма добавляется DKIM-Signature, которая есть электронная подпись заголовка и тела письма.
Другая сторона (получатель) извлекает из поля «From» имя домена и отправляет запрос к серверу DNS, чтобы получить публичный ключ для этого домена, после чего проверяет подлинность подписи в заголовке почтового сообщения.

DNS: beta._domainkey.gmail.com IN txt "t=y; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4…”
Заголовок почтового сообщения DKIM: DomainKey-Signature:

a=rsa-sha1; c=nofws; s=beta; d=gmail.com; h=received:message-id:date:from...
b=Gjon4OA2c8NfLCBauZskv99Eks....

распределенным черным спискам DNSBL
http://www.spamhaus.org
http://www.spamcop.net
http://cbl.abuseat.org
http://dnsbl.sorbs.net
SBL Spamhaus Block List – спам

машины и подсети XBL Exploits Block List – инфицированные машины, открытые прокси различных видов PBL Policy Block List – диапазоны IP адресов, с которых не рекомендуется принимать почту

черным спискам DNSBL
C:\Documents and Settings\krutix>nslookup
Default Server: bsuad.bsu
Address: 10.0.0.20
> mail.bsu.by
Server:

bsuad.bsu
Address: 10.0.0.20
Non-authoritative answer:
Name: mail.bsu.by
Address: 217.21.43.4
> 4.43.21.217.spamhaus.org
Server: bsuad.bsu
Address: 10.0.0.20

Non-authoritative answer:
Name: blocklist.address.is.wrong.spamhaus.org
Address: 127.0.0.2
Aliases: 4.43.21.217.spamhaus.org

отклоняет сообщение в момент прибытия с ошибкой 4хх
Помещает в

базу GreyListing следующие данные:
IP-адрес сервера, отправляющего почту
почтовый адрес отправителя
почтовый адрес получателя
Легитимный сервер, отправляющий почту повторяет попытку посылки сообщения, т.к. получил ошибку 4хх
Сервер получатель по базе GreyListing проверяет вновь полученное сообщение, авторизация прошла – почта доставляется получателю

массовой рассылки является обнаружение рассылки похожего письма большому количеству

абонентов.
Distributed Checksum Clearing house (DCC) http://www.rhyolite.com/anti-spam/dcc
Для каждого входящего сообщения определяется контрольная сумма и отправляется на DCC-сервер, при сравнении контрольной суммы сервер определяет, сколько раз подобное письмо уже приходило в систему, и по достижении определенного порога прием подобных писем блокируется.
Razon

спама
Отсутствие адреса отправителя
Отсутствие или слишком большое число получателей
Отсутствие IP

адреса в системе DNS
Фальшивые или некорректные заголовки
Фильтрация по размеру сообщения
Фильтрация по формату сообщения

сообщения

основе сигнатур
Контентная фильтрация

Token Analysis – STA)
Метод Байеса (Bayes).
Теорема Байеса

— одна из основных теорем элементарной теории вероятностей, которая определяет вероятность наступления события в условиях, когда на основе наблюдений известна лишь некоторая частичная информация о событиях.
Z = A/(A+B), где А = z1*z2*...*zn, B = (1-z1)*(1-z2)*...(1-zn), zn - спам-оценка каждого слова, входящего в письмо.

доменов SURBL (spam URL real-time blacklists)
http://www.surbl.org

адрес не на бесплатном сервисе.
2) Никогда и ни

под каким видом не публикуйте этот адрес на www-страничках (не указывайте его в письмах на форумах, не ставьте его на своих страничках, не ставьте его в подписи письма). Если же вам позарез нужно опубликовать адрес в ответ на какое-то письмо в форуме - публикуйте его через пробелы: имя @ домен.ru - в этом случае он не попадет в спамерскую базу.
3) Никогда не указывайте этот адрес в формах  регистрации на различных серверах. Заведите отдельный бесплатный адрес - только для регистраций - и используйте именно его.

компонента
фильтрация
реагирование
ведение архива переписки по электронной почте.

Системы контроля контента электронной почты

техническими средствами
СТБ П 34.101.4-2002 Информационные технологии и безопасность. Критерии

оценки безопасности информационных технологий. Профиль защиты электронной почты предприятия. 01.07.2010

содержимого информации, исходящей из корпоративной сети вовне;
блокирования доступа

к любой группе ресурсов, которые считаются опасными в связи с принятой в компании политикой безопасности. К таким ресурсам относятся, например: бесплатные почтовые сервисы; файлообменные сайты; социальные сети (например: www.odnoklassniki.ru,  http://moikrug.ru ); live journals (ЖЖ); IM (ICQ, jabber, msn и т.д.).

содержание которых нежелательно или подозрительно;
фильтрация информации, передаваемой по

каналу HTTP, по адресам, форматам и содержимому;
антивирусная проверка;
мониторинг активности пользователей;
протоколирование действий пользователей;
оповещение о нарушении политики безопасности.

и блокирование доступа к сайтам, не связанным с работой;

блокирование загрузки файлов, не относящихся к работе;
установка ограничений на типы скачиваемых файлов и на объем пользовательского трафика;
получение реальной картины использования сотрудниками Интернет-ресурсов.

Интернет
Проверка IP, протоколов, URL, типов и объема данных
Анализ содержания

текстов
Распознавание графики
Антивирусная проверка
Разграничение доступа для определенных категорий пользователей
Действие системы

ползает по Сети
Загрузка страниц в компьютерный центр
Анализ

содержания текстов и изображений этого сайта и их классификация
Создание БД по категориям сайтов
Обновление БД
Пользователь просматривает Интернет-ресурсы
Инициируется адаптация БД

Бизнес/услуги
Благотворительные фонды
Вебпочта
Видео
Вирусные и вредоносные сайты

Для взрослых/эротика
Дом/Досуг
Загрузки
Здоровье
Знакомства
Игровые порталы
Компьютеры и Технологии
Криминальная деятельность/хакерство
Личные веб-страницы
Магазины
Музыка
Наркотики
Насилие
Нецензурная речь

Новости
Образование и обучение
Оружие
Переводы
Поиск работы
Поисковые движки
Политика и Закон
Порнография/секс
Правительство
Путешествия
Религия
Риэлторские услуги
Сайты знакомств
Сообщества
Социальные сети
Спамерские сайты
Спорт и Отдых
Табак
Фармация
Финансы
Фишинг
Чат
Юмор

данных
Мониторинг соединений на портах, характерных для IM и P2P

трафика
Проверка сигнатур передаваемых файлов
Антивирусная проверка
Фильтрация на основе смыслового анализа текстов сообщений
Блокировка спима (спам для IM)