Zero-Hour Virus Outbrake Detection Védelmek nem windows platformon

Zero-Hour Virus Outbrake Detection SPAM  A haszontalan levelek nagy része SPAM –A levelek 80-90%-a szemét ennek majdnem fele SPAM  Miért probléma? –Munkaidő kiesés –Hálózati terhelés –Erőforrásokat köt le –Bizonyos mennyiség után kommunikációs probléma –Haszontalan internet forgalmat okoz és kezdeményez  Mit kell tenni –Azonosítani a levelet –Blokkolni vagy jelezni a levelet  Megoldások –Antigen (Windows) –Mailshield for SMTP (UNIX)

Zero-Hour Virus Outbrake Detection Helyzetkép 1.A SPAM levelek száma folyamatosan nől 2.Profibb SPAM küldők jelennek meg 3.A SPAM gazdasági vonzatai nővekszik 4.A „jó hogy van” megoldásoktól el kell jutni a MEGOLDÁSig 5.Többszintű, többtechnológiás SPAM szűrők lehetősége Total spam messages/day (Billions) Source: The Radicati Group, Inc Osterman Research: Spam is the biggest problem in today’s security market

Zero-Hour Virus Outbrake Detection Helyzetkép

Miből derül ki, hogy SPAM a levél From: QSTR 在家創業系統 17:02:25 Sent: Tuesday, June 15, :16 AM To: medeatw Subject: ＊上班族的隱憂＊ 2004 年，新的一年，新的開始 請打下面的電話，或上網索取免費致富小冊子 索取帳號： 直接進入索取 索取帳號： 直接進入索取 現在讓我幫助你重新認識自己，如果你真的想要改 變你的人生，你要的是一份事業，而不只是一份工 作的話，美國 QSTR 在家創業系統，是結合網路、郵 購、通訊的三大通路，也是目前全球最熱門的商機， 已經幫助許多人成功在家創業賺到錢，這是個己經 證實成功的系統了，它絕對不只是一般所看到的在 家創業系統，它是一個突破傳統結合趨勢的全新在 家創業系統，你只要按步就班，照著系統的步驟做， 就可成功，也就是可以完成你的夢想，你還在猶豫 不決什麼 ? O ？

Zero-Hour Virus Outbrake Detection SPAM felismerési technológia RPD From: QSTR 在家創業系統 17:02:25 Sent: Tuesday, June 15, :16 AM To: medeatw Subject: ＊上班族的隱憂＊ 2004 年，新的一年，新的開始 請打下面的電話，或上網索取免費致富小冊子 索取帳號： 直接進入索取 現在讓我幫助你重新認識自己，如果你真的想要改 變你的人生，你要的是一份事業，而不只是一份工 作的話，美國 QSTR 在家創業系統，是結合網路、郵 購、通訊的三大通路，也是目前全球最熱門的商機， 已經幫助許多人成功在家創業賺到錢，這是個己經 證實成功的系統了，它絕對不只是一般所看到的在 家創業系統，它是一個突破傳統結合趨勢的全新在 家創業系統，你只要按步就班，照著系統的步驟做， 就可成功，也就是可以完成你的夢想，你還在猶豫 不決什麼 ? O ？ 取 /m 取 Hash FvvCb 三最機是般 Hash L8k1n

Zero-Hour Virus Outbrake Detection RPD TM szűrő  Recurrent Pattern Detection Technológia Ismétlődő Minta Keresés –Gyors –Pontos –Világra kiterjedő –Központilag karban tartott „Felejts el” alkalmazás –Nyelvfüggetlen

Zero-Hour Virus Outbrake Detection HASH Sync SPAM?

Zero-Hour Virus Outbrake Detection Technológia értékelés Fekismerés - Rövid lista Felismerés Cloudmark98.20% PCWorld June 2004 Commtouch97.00% Netoptus (Information week NL) Sep 2004 Clearswift96.32% Network Computing 13 May 2004 iHateSpam96.20% PCWorld June 2004 MXLogic96.06% Network Computing 13 May 2004 Barracuda95.67% Network Computing 13 May 2004 Tévesztés – Rövid lista False Positives Commtouch % Netoptus (Information week NL) Sep 2004 Borderware0.39% Network Computing 13 May 2004 Brightmail0.39% Network Computing 13 May 2004 IronPort0.39% Network Computing 13 May 2004 Postini0.40% NWFusion 5/23/2004 Corvigo0.70% NWFusion 5/23/2004

Zero-Hour Virus Outbrake Detection Zero-Hour virus detection RPD Outbreak Blocking AV Effective Outbreak kezdete Első detekcióCsúcspontElső ellenszer Adatbázis kiadása a top AV cégek 90%-nál RPD detection: minutes óra

Zero-Hour Virus Outbrake Detection Zero-Hour virus detection Integrated Solution Outbreak Detection Engine Real-time Detection Center Outbreak Virus samples sent to AV partner Signature Based Anti Virus AV Gateway Known Virus Quarantine Outbreak Virus Quarantine Clean Messages

Zero-Hour Virus Outbrake Detection Veszélyforrások

Zero-Hour megoldás  Hatékony a támadás legelső perceitől kezdve: percekkel a támadás elindulása után véd,  Preemptív védelmi módszer, a támadási hullám felismerésével blokkolja az ismert és ismeretlen károkozókat  Kiemelkedő felismerési arány: a károkozót tartalmazó levelek akár 95%-át felismeri önmagában, a "hagyományos" vírus-, vagy spam védelem alkalmazása nélkül.  Teljesen automatikus: nem igényel karbantartást.

Zero-Hour Virus Outbrake Detection Zero-Hour megoldás itthon Egy szerveren vizsgált levelek száma Ebből a ZH találat Ebből csak ZH-val talált ZH-val talált új károkozó 57 Találat aránya vírusadatbázissal rendelkező AV megoldáshoz képest 95,53% Téves riasztás aránya 0,000292% Egy szerver adatai (Augusztus-Október )

Zero-Hour Virus Outbrake Detection Beagle.AV Outbreak – 29 October, GMT MessagesLabs detektálja a Beagle.AV-t 10.30GMT Symantec beta vírusadatbázis 9 óra az első vírusadatbázisig 5 óra 34 perc 1.20GMT Commtouch RPD detektálás és blokkolás Forrás: Commtouch

Zero-Hour Virus Outbrake Detection Beagle.BE Outbreak – March 1, 2005(*) 8:00GMT F-Secure jelzés 12:00 – 14:30GMT 11 óra védelem nélkül 7 óra 1:06GMT Commtouch RPD detektálás és blokkolás Forrás: Commtouch Top AV cégek ellenszere elérhető

Zero-Hour Virus Outbrake Detection MyDoom.ax Outbreak – Feb 16, ;55 GMT University of Michigan jelzése 6:00 GMT, FEB óra védelem nélkül 2:55 14:00GMT Commtouch RPD detektálás és blokkolás University of Michigan Forrás: Commtouch Top AV cégek ellenszere elérhető

Zero-Hour Virus Outbrake Detection Zero-Hour virus detection Gap bridged by Commtouch Top AV signatures availability Commtouch Protection: 9.30 hours10:30 GMT01:20 GMT Oct Beagle.av 5.30 hours12:30 GMT07:07 GMT Jan Beagle.az 12 hours15:13 GMT03:11 GMT Jan Sober.k 16 hoursFeb-17 06:00 GMT 14:04 GMT Feb , Mydoom.ax 11 Hours12:00 GMT01:06 GMT March Beagle.BE 5-16 Hours Advantage Source: Commtouch

Zero-Hour Virus Outbrake Detection VirusBuster MailShield - Vírus szűrő  Támogatott platformok –Linux (i386), BSD (i386) –Solaris, AIX (v4)  Szűrés –Virus szűrés –I-Worm szűrés (WormBuster) –File szűrés –Tartalom szűrés (SPAM, mail-header)  Új (v4) engine –Keresés.tar,.gz,.bzip2,.zip,.rar,.arj,.ace, MS.cab és InstallShield.cab –Keresés diet, upx, aspack tömörítvényekben, MS Office 2003 xml, HTML, Java Script, ActiveX és VB scripts, Windows HELP fájl, beépített MIME kezelő, Oultook Express adatbázis támogatás –WormBuster4ENGINE

Zero-Hour Virus Outbrake Detection VirusBuster MailShield – SPAM szűrő  Többszintű SPAM szűrés  Bayes statisztikai szűrő  HTML szűrés  UNICODE formátum  Automata tanulás  Több spam adatbázis használata  Frissített SPAM adatbázis  ESP – RPD technológia  Akciók: block, header modify, forward, quarantine NEW FEATURES

Zero-Hour Virus Outbrake Detection VirusBuster MailShield – SPAM szűrő  Spam automatikus tanulás – A false positive ráta csökkentése érdekében Különálló komponens SPAM és nem SPAM tanulása – Akár speciális címen keresztül is tanítható  Új Watchdog - Szabályozható felügyelet - Akciók a szabályzási folyamatokra NEW FEATURES

Zero-Hour Virus Outbrake Detection Fájl és mező szűrő  Operációs rendszerfüggetlen fájl típus felismerés  Jelszóvédett fájlkezelés  File Filter – speciális fájlok szűrése  File Gate – speciális fájlok átengedése  Tartalom szűrés subject / from / to / cc / date / mailfrom / rcptto mezők alapján  Akciók: forward / block / delete mail / delete file

Zero-Hour Virus Outbrake Detection   vbsmtpd – fogadó A beállított interfészen és porton fogadja a kapcsolatokat   vbsmtps – küldő Küldi a leveleket a beállított hostra   vbmailshield – hook Levélfeldolgozó   vbwatchdog – rendszer folyamatfelügyelő Felügyeli a rendszer komponenseinek működését   spamal – Spam automatikus tanuló Az automatikus tanulás szolgáltatása   + Extended SPAM Protection (ASAP filter) RPD technológiás SPAM szűrő Rendszer komponensei

Zero-Hour Virus Outbrake Detection VBMailshield folyamatai Receiver Fork() Receiver proc_n Receiver proc_max Fogadás Queue Hook Getqueue() Fork() Hook.proc_ n Hook.proc_ max Feldolgozás Queue Sender Getqueue() Fork() Sender proc_n Sender proc_max Küldés Timing fork() ReSend Watchdog

Zero-Hour Virus Outbrake Detection A rendszer bevezetésének lépései  Tervezés Jelenlegi rendszer és az elérni kívánt rendszer felépítése MailShield integrációjának pontja Szükséges biztonsági szabályok  Új rendszer felépítése Installáció Configuráció Szabályok és szűrések Útvonalak Ellenőrzés Rendszer forgalomba helyezése Finomhangolás

Zero-Hour Virus Outbrake Detection Mailserver integráció – SMTP Relay Port 25 My machine Mail to external address Internal mail server Mailshield SMTP relay

Zero-Hour Virus Outbrake Detection Mailserver integráció – SMTP Relay Mailshield SMTP relay Backend mail servers Firewall/external mail server

Zero-Hour Virus Outbrake Detection SAMBA védelem VirusBuster SAMBA Shield SMBVFS emulator VFS Layer SAMBA SERVER File System

Zero-Hour Virus Outbrake Detection VFS shield VirusBuster Scan daemon VBFS kernel module Kernel VFS Layer VBshield Engine + Virusdatabase

Zero-Hour Virus Outbrake Detection Qmail integráció MTA Kommunikáviós interface log Bejövő levelek Interface Mailfilter Virus filter File filter Inverse filefilter Spam filter Zero-Hour ESP Back-end levelező szerver VirusBuster for MailServers

Zero-Hour Virus Outbrake Detection Sendmail integráció MTA log Incoming mail delivery Milter interface Mailfilter Virus filter File filter Inverse filefilter Spam filter...

Zero-Hour Virus Outbrake Detection Questions ? Budapest Vegyész utca H