+7 495 228-02-08 info@tessis.ru
ВХОД
Меню
Array ( [ROOT_MENU_TYPE] => top [MENU_CACHE_TYPE] => Y [MENU_CACHE_TIME] => 36000000 [MENU_CACHE_USE_GROUPS] => Y [MENU_CACHE_GET_VARS] => [MAX_LEVEL] => 2 [CHILD_MENU_TYPE] => left [USE_EXT] => [DELAY] => N [ALLOW_MULTI_SELECT] => [CACHE_TYPE] => Y [CACHE_TIME] => 36000000 [~ROOT_MENU_TYPE] => top [~MENU_CACHE_TYPE] => Y [~MENU_CACHE_TIME] => 36000000 [~MENU_CACHE_USE_GROUPS] => Y [~MENU_CACHE_GET_VARS] => [~MAX_LEVEL] => 2 [~CHILD_MENU_TYPE] => left [~USE_EXT] => N [~DELAY] => N [~ALLOW_MULTI_SELECT] => N [~CACHE_TYPE] => Y [~CACHE_TIME] => 36000000 [CACHE_SELECTED_ITEMS] => 1 )

CYREN Technologies

Борьба со спамом, фишингом и вредоносным по с технологией RECURRENT PATTERN DETECTION

Узнать цены

Хотя многие методы борьбы с этими угрозами развивались в течение нескольких лет, общий недостаток этих методов в том, что им недостает способности оперативно адаптироваться к быстрым изменениям техник распространения и проникновения, изобретаемым спамерами и авторами вредоносных программ. Цель этого документа — рассмотреть параметры этих угроз, трудности, с которыми сталкиваются технологии, нацеленные на борьбу с этими атаками, а также описать, каким образом решения CYREN защищают от всех интернет-угроз.

ТРУДНОСТИ ТОЧНОГО ОБНАРУЖЕНИЯ

Обнаружение спама, фишинга и вредоносных программ представляет собой несколько трудностей:

  • Обнаружение спама: создавая спам-сообщения, спамеры используют сложную тактику с целью обойти существующие приложения обнаружения спама. Это включает в себя отслеживание спамеров, манипулирование или скрытие коммерческих ссылок, использование не английских слов и фраз, и множество других методов. Обычно атака спама продолжается несколько часов, и исходит от сети или зомби-машин. Для того, чтобы осложнить процесс обнаружения, каждое сообщение в очаге атаки может быть составлено по-разному и использовать более одной техники уклонения.
  • Обнаружение фишинга: кажется, что сообщения фишинга исходят от источников, которым можно доверять. Так же как спам, сообщения фишинга могут рассылаться на любом языке или в любом формате в атаках, которые обычно длятся в течение нескольких часов и могут быть запущены с зомби-машин.
  • Обнаружение почтовых вирусов: так же как спам и сообщения фишинга, каждое сообщение с вирусом может быть по-разному запаковано с точки зрения контента и характеристик исполняемых файлов, в которых содержится вирус. Так же как спам и сообщения фишинга, атаки из сообщения с вирусом часто продолжаются очень короткое время.
  • Входящее и исходящее обнаружение: установка механизма обнаружения также представляет некоторые трудности. Обнаружение спама в тот момент, когда он поступает в или выходит из сети требуют различных подходов. Входящий трафик обычно сопровождается высоким процентом спама. Исходящий трафик обычно состоит из большинства легитимных сообщений, увеличивая вероятность ложноположительных результатов (чистое письмо обнаруживается как спам). Уменьшение объёма исходящего спама также требует специального подхода.

CYREN Technologies


ПОДХОД CYREN

Подход CYREN основан на понимании, что все всплески атак имеют некоторые общие характеристики, включая:

  • Многие сообщения эл. почты в очаге атаки изменены, чтобы усложнить установку правил блокировки на основе анализа контента.
  • Большинство очагов атаки включают миллионы email-сообщений, чтобы максимизировать скорость отклика и коэффициент окупаемости инвестиций для атакующего. С другой стороны, некоторые атаки будут значительно меньше.
  • Большинство очагов атаки возникают в короткий период времени, требуя от решения в реальном времени обнаружить очаг, чтобы ограничить или избежать причинения вреда.
  • Инициаторы атак много инвестируют в сокрытие их происхождения, чтобы проследить путь от сообщения к ним было сложно.


Модели сообщений
Атаки, распространяющие спам, фишинг и вирусы состоят из сообщений, намеренно составленных по-разному, чтобы избежать от повсеместно использующихся фильтров. Однако все сообщения внутри одной атаки имеют что-то общее в модели или значениях, что может быть использовано для распознавания очага атаки. Некоторые примеры этих значений:

  • В случае спама цель заключается в том, чтобы привести получателя на те же самые коммерческие сайты, которые могут классифицироваться как спам.
  • Псевдо-случайные комбинации символов из темы и тела письма в атаке будут повторяться.
  • Различные атаки спама часто запускаются из той же самой сети или зомби-машины, которые могут быть внесены в черный список.
  • В случае фишинга цель — привести жертву на тот же самый набор фальшивых ссылок.
  • Вирусы всегда содержат один и тот же вредоносный код (иначе это другой вирус, или, чаще всего, вариант того же самого вируса.

Всё это повторяющиеся значения типичной атаки. Эти значения называются «модели сообщений» атаки. Любое сообщение, содержащее одну или более этих уникальных моделей с высокой вероятностью может быть частью атаки, и, следовательно, спамом.

Модели сообщений могут подразделяться на:

  • Модели распространения — характеристики получателей (сколько, местоположение) и объём писем, посланных за период времени.
  • Структурные модели — случайные комбинации текстов из заголовка и тела письма, также как и ссылки, которые повторяются в разных сообщениях. Пример этого подхода показан ниже. Обратите внимание, что анализ контента не требуется.

Cyren Technology


Трудности классификации моделей сообщений включают:

  • Определение, какие модели сообщений идентифицируют атаки без генерации ложноположительных результатов. Все атаки пытаются замаскировать сообщения как легитимную корреспонденцию, якобы пришедшую из доверенных источников, и, следовательно, решения, которые основываются на анализе моделей, должны быть способны отличить «хорошие» и «плохие» модели и избежать ошибок.
  • Извлечение и анализ этих моделей перед тем, как атака закончится. Большинство атак имеют относительно короткий жизненный цикл, измеряемый в нескольких часах. Таким образом, любое решение, которое не обнаруживает и не классифицирует сообщения в реальном времени будет эффективным только к концу атаки, когда большинство вреда уже причинено.

Трудности ещё более усиливаются тем, что каждая новая атака обычно представляет абсолютно новые модели, которые не анализировались раньше, и соответственно неизвестны анализатору. Так как тактики спамеров постоянно развиваются, необходимо проактивно идентифицировать новые модели в режиме реального времени, чтобы определить новые атаки, когда они возникают.


ТЕХНОЛОГИЯ RECURRENT-PATTERN DETECTION (RPD™)

Технология Recurrent Pattern Detection (RPD) успешно справляется с трудностями, указанными выше, обнаруживая и классифицируя все типы угроз в режиме реального времени. RPD размещена в облаке CYREN GlobalView, которое проактивно анализирует миллиарды интернет транзакций в день.

RPD, основанная на патенте США #6,330,590, извлекает и затем анализирует модели сообщений, которые используются для идентификации атак. Технология RPD классифицирует и модели распространения, и структурные модели, а результаты анализа хранятся в широкой базе данных классификаций. В дополнение к идентификации новых моделей угроз, RPD используется для изменения или совершенствования уже идентифицированных моделей сообщения. Локальные примеры RPD используются в облаке GlobalView для точного обнаружения небольшого объёма или регионального исходящего спама в комплексе с решением CYREN Outbound Anti-Spam.

Модели сообщений извлекаются из конверта сообщений, заголовков, и тела безотносительно к контенту сообщения. RPD, таким образом, имеет следующие дополнительные преимущества:

  • RPD используется для идентификации очагов атак на любом языке, в любом формате и кодировке.
  • Новые очаги атак идентифицируются за минуты.
  • RPD разработана, чтобы отличать шаблоны массовых еmail-сообщений, которые представляют собой легитимную бизнес корреспонденцию, такую как новостные рассылки, от нежелательного спама.

    Cyren Technology

  • CYREN использует RPD в высоко-масштабируемой среде, обеспечивая высокие рейтинги производительности.
  • Технология RPD полностью автоматизирована и не требует человеческого вмешательства.
  • Для обеспечения максимальной личной и бизнес конфиденциальности, RPD анализирует хеш-значения сообщений, а не открытые значения, и не контент.

RPD идентифицирует около 100% входящих сообщений с угрозами, почти без ложноположительных результатов. Технология не зависит от языка и одинаково эффективна для всех типов сообщений и кодировок.


РЕЗЮМЕ

Для того, чтобы эффективно бороться с угрозами, содержащимися в электронной почте, успешное решение должно реагировать на растущее количество трудностей. Технология CYREN RPD — это проактивная технология обнаружения, которая помогает перехитрить тех, кто продолжает изобретать новые методы распространения угроз. Это происходит потому, что эта технология не полагается на контент email-сообщения и таким образом, может обнаружить спам на любом языке и в любом формате, включая: изображения, HTML, не английский шрифт, однобайтные и двухбайтные наборы символов, и т. п. Технология RPD предлагает:

  • Высокая скорость обнаружения с почти полным отсутствием ложноположительных результатов
  • Раннее обнаружение угроз вирусов
  • Защита от попыток фишинга
  • Защита от угроз, не зависящая от контента
  • Обнаружение угроз на многих языках
  • Обнаружение угроз во множестве форматов

Технология RPD — основная технология, предоставляющая сервисам CYREN данные об угрозах в реальном времени. Эти сервисы доступны для быстрой интеграции в широкий спектр сред вендоров и сервис-провайдеров. Поскольку RPD использует методы прогнозирования, эта технология также обеспечивает наилучшую защиту для инвестиций сервис-провайдеров и производителей приложений для обмена сообщениями и безопасности.