Cisco Email Security: Kontext-Adaptive Scanning Engine (CASE)

Einleitung

Die Anzahl der kombinierten Bedrohungen nimmt drastisch zu. Viele der bedeutendsten Virenausbrüche der letzten zwei Jahre wurden mit der Spam-Zustellung in Verbindung gebracht - was bedeutet, dass die Virus-Payload eine ganze Reihe von "Zombie"-Computern erzeugt -, die zum Versenden von Spam, Phishing, Spyware und noch mehr Viren verwendet werden. Die per E-Mail übertragene Spyware verdoppelt sich alle sechs Monate, und es ist nicht unüblich, dass Spam-URLs Keylogger installieren, die Benutzernamen und Kennwörter stehlen. Viren können sogar verwendet werden, um ein Netzwerk von Zombies zu erstellen, um einen massiven verteilten Denial-of-Service-Angriff zu starten, z. B. als die Variante Mydoom.B die SCO-Website mit einem koordinierten Angriff offline nahm.

Was ist die Ursache für die plötzliche Zunahme kombinierter Bedrohungen? Kurz gesagt: Es geht um das Geld. Da Anti-Spam-Techniken der ersten Generation (wie Blacklists und Content-Filter) immer häufiger eingesetzt werden, sind traditionelle Methoden (wie das Versenden von Spam von einer festen Server-Bank, die ein "Angebot" im Text der Nachricht enthält) weniger profitabel geworden. Je mehr Netzwerke Anti-Spam-Technologie einsetzen, desto weniger "einfache" Spam-Nachrichten gelangen über Spam-Filter hinaus in den Posteingang des Empfängers. Dies schadet den Gewinnmargen der Spammer und hat sie gezwungen, sich an diese Veränderungen anzupassen. 

Spammer haben diese Situation auf zwei verschiedene Arten gehandhabt: 

1. Sie versenden noch mehr Spam mit der Hoffnung, dass das, was sie verlieren in der Zustellrate, sie in der Menge ausgleichen.
2. Sie nutzen kombinierte Angriffe, um ihre Nachrichten zu verschleiern und ihren Gewinn pro Nachricht zu steigern.

Die zweite Technik wird oft zu einer kriminellen Tätigkeit. Netzwerke zur Bekämpfung von organisierter Kriminalität wurden eingerichtet, um Angriffe auszuführen und von Viren, Phishing und anderen Bedrohungen zu profitieren. Im Jahr 2004 wurde eine Person namens John Dover verhaftet, nachdem sie mit über zwei Millionen Kreditkartennummern gehandelt hatte, die durch Phishing-Angriffe gestohlen wurden.

Die Techniken, die bei kombinierten Angriffen verwendet werden, sind ebenfalls immer ausgefeilter geworden. Der Sober.N-Virus verwendete E-Mail, Web-Downloads, Trojaner und Zombies. Herkömmliche Content-Analysefilter sind diesen intelligenten Bedrohungen nicht gewachsen. Viele Benutzer von Anti-Spam-Filtern der ersten Generation haben festgestellt, dass sie mehr Stunden damit verbringen müssen, ihre Filter zu "trainieren" oder neue Regeln zu schreiben. Trotz dieser Bemühungen sind jedoch sowohl die Fangquote als auch der Durchsatz rückläufig. Dies führt dazu, dass die Kosten steigen, da mehr Systeme erforderlich sind, um mit der Last Schritt zu halten, während mehr Verwaltungszeit für jedes System aufgewendet wird. 

Cisco Email Security hat sich diesen Bedrohungen mit einer einzigartigen kombinierten Technologie zur Bedrohungsabwehr, der so genannten Context Adaptive Scanning Engine (CASE), gestellt. Die CASE-Technologie von Cisco Email Security wird eingesetzt, um herkömmliche Spam-Nachrichten und komplexe Zombie-Angriffe zu stoppen. Dieselbe Scanning-Technologie wird auch eingesetzt, um Viren und Malware 42 Stunden vor der Verfügbarkeit von Signaturen zu verhindern - mit einem einzigen, einheitlichen Scan zur Effizienzsteigerung.

CASE verstehen, kombinierte Bedrohungen im Kontext erkennen

Filter der ersten Generation wurden entwickelt, um den Inhalt einer Nachricht zu untersuchen und eine Entscheidung zu treffen. Wenn beispielsweise das Wort "kostenlos" mehr als zweimal in einer Nachricht zusammen mit dem Wort "pflanzlich" vorkommt, handelt es sich wahrscheinlich um Spam. Spammer können diesen Ansatz relativ einfach umgehen, indem sie verborgene Zeichen oder Zahlen anstelle von Buchstaben wie "f0r y0u" anstelle von "für Sie" verwenden. Techniken der zweiten Generation, wie Bayes-Filter, versuchten, diese Einschränkung zu beheben, indem sie lernten, die Merkmale von Spam und legitimen E-Mails automatisch zu unterscheiden. Aber diese Techniken erwiesen sich als zu schwierig zu trainieren, zu spät zu reagieren und zu langsam zu scannen. 

Angesichts der fortschrittlichen Verschleierungstechniken, die heute bei Spam verwendet werden, müssen Filter auf dem neuesten Stand der Technik eingehende E-Mails in vollem Kontext untersuchen. CASE verwendet fortgeschrittene maschinelle Lerntechniken, die die Logik eines Menschen emulieren, der die Legitimität einer Nachricht bewertet. Ein menschliches Lesegerät und die CASE-Technologie von Cisco Email Security stellen vier grundlegende Fragen:

1. Wer hat mir die Nachricht geschickt?
2. Wohin führen mich die Links in der Nachricht?
3. Wie wurde die Botschaft konstruiert?
4. Was enthält die Nachricht?

Es folgt eine Untersuchung jedes ausgewerteten logischen Bereichs. 

Wer? 

Wie bereits erwähnt, basierten die Spamfilter der ersten Generation hauptsächlich auf der Suche nach Stichwörtern, um Spam zu identifizieren. Im Jahr 2003 revolutionierte Cisco (IronPort) die E-Mail-Security-Branche, indem es das Konzept der Reputationsfilterung einführte. Während die Inhaltsfilterung die Frage stellte: "Was ist in der Nachricht?", stellte die Reputationsfilterung die Frage: "Wer hat die Nachricht gesendet?". Dieses einfache, aber wirkungsvolle Konzept hat den Kontext erweitert, in dem Bedrohungen bewertet werden. Bis 2005 hatte fast jeder große kommerzielle Anbieter von Sicherheitslösungen irgendeine Art von Reputationssystem eingeführt. 

Zur Reputationsermittlung werden umfassende Daten über das Verhalten eines bestimmten Absenders erfasst (ein Absender wird definiert als eine IP-Adresse, die eine E-Mail sendet). Cisco berücksichtigt mehr als 120 verschiedene Parameter, darunter das E-Mail-Volumen im Zeitverlauf, die Anzahl der von dieser IP-Adresse betroffenen "Spam-Traps", das Ursprungsland, die Gefährdung des Hosts und viele mehr. Cisco verfügt über ein Team von Statistikern, die Algorithmen entwickeln und pflegen, die diese Daten verarbeiten, um eine Reputationsbewertung zu erstellen. Diese Reputationsbewertung wird dann der empfangenden Cisco E-Mail Security Appliance (ESA) zur Verfügung gestellt, die einen Absender entsprechend seiner Vertrauenswürdigkeit drosseln kann. Kurz gesagt: Je mehr "Spam" bei einem Absender auftritt, desto langsamer geht er vor. Die Reputationsfilterung löst außerdem die Probleme, die mit einem zunehmenden E-Mail-Volumen verbunden sind, indem Verbindungen entweder abgelehnt oder gedrosselt werden, bevor die Nachricht akzeptiert wird. Auf diese Weise werden die Leistung und die Verfügbarkeit des E-Mail-Systems erheblich verbessert. Reputationsfilter der Cisco ESA stoppen mehr als 80 Prozent des eingehenden Spam-Aufkommens und sind damit etwa doppelt so hoch wie die Abfangrate konkurrierender Systeme.

Dabei gilt? 

Während die Kombination aus E-Mail-Inhaltsanalyse und Reputation im Jahr 2003 auf dem neuesten Stand war, nimmt die Komplexität der Taktiken von Spammer- und Virenschreibern weiter zu. Als Reaktion darauf hat Cisco (IronPort) den Begriff der Web-Reputation eingeführt - ein wichtiger neuer Vektor zur Erweiterung des Kontexts, in dem eine Nachricht ausgewertet wird. Ähnlich wie bei der Berechnung der Reputation einer E-Mail wurden bei der Cisco Web Reputation mehr als 45 serverbezogene Parameter berücksichtigt, um die Reputation einer bestimmten URL zu bewerten. Zu den Parametern gehören die Menge der HTTP-Anfragen an die URL im Laufe der Zeit, ob die URL an einer IP-Adresse mit schlechter Reputationsbewertung gehostet wird, ob diese URL mit einem bekannten "Zombie"- oder infizierten PC-Host verknüpft ist und das Alter der von der URL verwendeten Domäne. Wie bei der E-Mail-Reputation wird auch diese Web-Reputation mit einer präzisen Bewertung bewertet, die es dem System ermöglicht, mit den Zweideutigkeiten komplexer Bedrohungen umzugehen.

Wie? 

Ein weiterer neuartiger Ansatz für die Kontextanalyse von Cisco Email Security ist die Untersuchung der Konstruktion einer Nachricht. Legitime E-Mail-Clients wie Microsoft Outlook erstellen Nachrichten auf einzigartige Weise - mit MIME-Codierung, HTML oder anderen ähnlichen Mitteln. Eine Untersuchung des Aufbaus einer Botschaft kann viel über ihre Legitimität enthüllen. Ein aufschlussreiches Beispiel hierfür ist der Versuch eines Spam-Servers, die Konstruktion eines legitimen Mail-Clients nachzuahmen. Dies ist schwierig zu bewerkstelligen, und eine unvollkommene Nachahmung ist ein verlässlicher Indikator für eine unrechtmäßige Botschaft. 

Was? 

Bei einer umfassenden Kontextanalyse muss der Inhalt einer Nachricht berücksichtigt werden, aber wie bereits erwähnt, ist die Inhaltsanalyse allein kein ausreichender Ansatz zur Identifizierung unzulässiger E-Mails. Die CASE-Technologie von Cisco Email Security führt eine vollständige Inhaltsanalyse mit modernsten maschinellen Lerntechniken durch. Diese Techniken untersuchen den Inhalt der Nachricht und bewerten ihn in verschiedenen Kategorien - ist es finanziell, pornografisch, oder enthält es Inhalte, die bekanntermaßen mit anderen Spam korrelieren? Diese Content-Analyse wird zusammen mit den anderen Attributen - "Wer", "Wo", "Wie" und "Was" - in CASE einfließen, um den vollständigen Kontext der Nachricht zu evaluieren.

CASE in Aktion

Aufgrund des Umfangs der von CASE analysierten Daten wird die Technologie in einer Vielzahl von Sicherheitsanwendungen eingesetzt, darunter IronPort Anti-Spam (IPAS), Graymail und Virus-Outbreak-Filter (VOF). Im folgenden Beispiel wird veranschaulicht, wie CASE verwendet wird, um Spam zu stoppen. Der Inhalt der Nachricht ist nahezu identisch mit dem des Unternehmens, das Phishing durchläuft. Die Inhaltsanalyse der Nachricht identifiziert daher keine Bedrohungen. Für inhaltsbasierte Filter scheint diese Nachricht eine legitime Kommunikation zu sein. Um festzustellen, ob es sich bei dieser Nachricht um Spam handelt, können Filter, die sich primär auf das "Was" verlassen, leicht dazu verleitet werden, die Nachricht als legitim zu erkennen. Eine Analyse des vollständigen Kontexts der Botschaft zeichnet jedoch ein anderes Bild.

• Die IP-Adresse des sendenden Mail-Servers ist verdächtig - es gab einen plötzlichen Anstieg des Volumens, und die Domain nimmt im Gegenzug keine E-Mails an. 
• Die URL der E-Mail verweist auf einen Server, der sich in einem Breitband-Verbrauchernetzwerk zu befinden scheint. 
• Die in der Nachricht angegebene URL unterscheidet sich von der tatsächlichen URL, zu der der Benutzer beim Klicken auf den Link navigiert wird.

Werden alle drei Faktoren im Zusammenhang betrachtet, wird deutlich, dass es sich nicht um eine legitime Nachricht handelt, sondern vielmehr um einen Spam-Angriff.

Herkömmliche "Content-Filter" Was CONTENT-FILTER finden	Kontextadaptives Scanning Ergebnisse von CASE
Was? Nachrichteninhalt legitim.	Was? Nachrichteninhalt legitim.
	Wie? Der Nachrichtenaufbau emuliert den Microsoft Outlook-Client.
	Wer? 1) Ein plötzlicher Anstieg der Menge versendeter E-Mails. 2) Im Gegenzug akzeptiert der Mail-Server keine Mail.  3) Mail-Server in der Ukraine.
	Dabei gilt? 1) Eine Diskrepanz zwischen der vor einem Tag registrierten Anzeige- und Ziel-URL-Website-Domäne. 2) Website im Breitband-Verbrauchernetz.  3) "Whois"-Daten zeigen den Domain-Inhaber als bekannten Spammer an.
Beurteilung: UNBEKANNT	Verdict: BLOCKIEREN

Wenn CASE in Virus-Outbreak-Filtern verwendet wird, werden die gleichen Bewertungs- und maschinellen Lernfunktionen angewendet - allerdings auf einen separat abgestimmten Datensatz. Virus-Outbreak-Filter sind eine vorbeugende Antivirus-Lösung von Cisco, die auf CASE-Technologie basiert. Die Outbreak-Filterlösung überprüft Nachrichten sowohl anhand von "Echtzeit"-Outbreak-Regeln (die von spezifischen Outbreaks von Cisco Talos ausgegeben werden) als auch anhand von "Always-on"-Adaptionsregeln (die sich jederzeit im CASE-Modus befinden), um die Benutzer vor Outbreaks zu schützen, bevor sie sich vollständig bilden konnten. CASE ermöglicht Virus-Outbreak-Filtern die präzise Erkennung und den Schutz vor Virenausbrüchen auf verschiedene Weise. Erstens kann CASE Nachrichten schnell auf der Grundlage von Parametern wie Dateierweiterung, Dateigröße, Dateiname, Dateinamen, Schlüsselwörtern, Dateimagie (die tatsächliche Dateierweiterung) und eingebetteten URLs durchsuchen. Da die CASE-Technologie Meldungen bis zu diesem Grad an Details analysiert, kann Cisco Talos äußerst detaillierte Outbreak-Regeln erstellen, die einen präzisen Schutz vor einem Outbreak mit minimalen Fehlalarmen bieten. CASE kann aktualisierte Outbreak-Regeln dynamisch empfangen, um einen effektiven Schutz vor den neuesten Outbreaks zu gewährleisten. 

Zusätzlich zur Analyse von Nachrichten auf der Grundlage von Outbreak-Regeln scannt die CASE-Technologie auch Nachrichten auf der Grundlage von Adaptive Rules. Adaptive Rules sind fein abgestimmte Heuristiken und Algorithmen, die eingehende Nachrichten auf Missbildungen und Spoofing-Eigenschaften untersuchen, die auf Viren hindeuten. Zusätzlich zu diesen Parametern bewerten Adaptive Rules Nachrichten auf Grundlage ihrer SenderBase Virus Score (SBVS). SBVS hat eine ähnliche Bewertung wie SBRS (SenderBase Reputation Score), jedoch mit einer Rangfolge, die auf der Wahrscheinlichkeit basiert, dass die sendende Partei virale E-Mails anstatt Spam versendet. Ein Großteil der viralen E-Mails wird von bereits infizierten "Zombie"-Geräten verschickt, sodass die Identifizierung und Bewertung dieser Absender ein wesentlicher Faktor beim Abfangen von Viren ist.

Die CASE-Technologie von Cisco Email Security ermöglicht es Virus-Outbreak-Filtern, Virenausbrüche deutlich früher zu stoppen als herkömmliche Antivirus-Lösungen, da CASE Nachrichten auf verschiedene Weise untersucht. Es hat die Möglichkeit, zahlreiche Merkmale von Nachrichtenanlagen, Nachrichteninhalt und Nachrichtenaufbau zu analysieren sowie Nachrichten basierend auf ihrer Absenderreputation zu analysieren. Und da CASE auch als die IronPort Anti-Spam and Reputation Filters-Engine fungiert, muss eine Nachricht nur einmal für alle diese Anwendungen gescannt werden.

Hohe Leistung, niedrige Kosten

Die Logik der CASE-Technologie kann sehr ausgereift und daher sehr CPU-intensiv sein. Um die Effizienz zu maximieren, verwendet CASE eine einzigartige "Early Exit"-Technologie. Bei einer vorzeitigen Beendigung hat die Wirksamkeit der unzähligen Regeln, die von CASE verarbeitet werden, Vorrang. Die CASE-Technologie wendet die Regeln mit den höchsten Auswirkungen und den niedrigsten Kosten an. Wenn ein statistisches Urteil erreicht wird (ob positiv oder negativ), werden keine zusätzlichen Regeln ausgeführt, wodurch Systemressourcen eingespart werden. Die Eleganz dieses Ansatzes besteht darin, ein gutes Verständnis der Wirksamkeit jeder Regel zu haben. CASE überwacht und passt die Reihenfolge der Regelausführung automatisch an, wenn sich die Effizienz ändert.

Das Ergebnis eines vorzeitigen Beendens ist, dass die CASE-Technologie Nachrichten rund um 100 Prozent schneller verarbeitet als ein herkömmlicher regelbasierter Filter. Dies hat deutliche Vorteile für große ISPs und Unternehmen. Aber es hat auch Vorteile für kleine und mittlere Unternehmen. Die Effizienz von CASE in Verbindung mit der Effektivität des Cisco Email Security-Betriebssystems AsyncOS bedeutet, dass ESAs mit AsyncOS- und CASE-Technologie auf sehr kostengünstiger Hardware implementiert werden können, was die Kapitalkosten senkt. 

Eine weitere Möglichkeit zur Senkung der Kosten durch die CASE-Technologie besteht in der Vermeidung von Verwaltungsaufwand. CASE wird automatisch angepasst und aktualisiert, Tausende Male jeden Tag. Cisco Talos stellt geschulte Techniker, mehrsprachige Techniker und Statistiker zur Verfügung. Die Analysten von Cisco Talos verfügen über spezielle Tools, mit denen sie auf Anomalien im E-Mail-Fluss, die im Netzwerk eines Cisco Email Security-Kunden festgestellt wurden, oder auf globale E-Mail-Verkehrsmuster hinweisen können. Cisco Talos generiert neue Regeln, die automatisch in Echtzeit an das System übermittelt werden. Cisco Talos bietet außerdem eine umfangreiche Sammlung von "Spam and Ham", die zur Schulung der verschiedenen Regeln von CASE verwendet wird. Dank der automatisch aktualisierten CASE-Regeln müssen Administratoren keine Feinabstimmungen am Filter vornehmen oder Zeit damit verbringen, Spam-Quarantänen durchzugehen.

Zusammenfassung

Spam, Viren, Malware, Spyware, Denial-of-Service-Angriffe und Directory-Harvest-Angriffe werden alle von demselben zugrunde liegenden Motiv angetrieben: dem Profit. Diese Gewinne werden entweder durch den Verkauf oder die Werbung für Waren oder durch den Diebstahl von Informationen erzielt. Der Gewinn aus diesen Umsätzen führt zu immer ausgefeilteren Angriffen, die von professionellen Technikern entwickelt wurden. Erweiterte E-Mail-Sicherheitssysteme müssen eine Nachricht im breitestmöglichen Kontext analysieren, um diesen Bedrohungen entgegenzuwirken. Die Context Adaptive Scanning Engine von Cisco Email Security stellt die vier grundlegenden Fragen: Mit wem, wo, was und wie können legitime Botschaften aus kombinierten Bedrohungen entfernt werden? 

• "Wer" ist die E-Mail-Reputation des Absenders, der die Nachricht gesendet hat. 
• "Wo" steht für die Reputation der Quelle, die die Website hostet - und analysiert, wohin der Link Sie führen würde. 
• "Was" ist eine Analyse des Inhalts der Nachricht - was die Nachricht enthält (Systeme der ersten Generation verlassen sich häufig nur auf die Art der "Was"-Analyse). 
• Schließlich ist "Wie" eine Analyse, wie die Nachricht konstruiert ist.

Dieses grundlegende Framework zur Analyse von "Wer", "Wo", "Was" und "Wie" funktioniert beim Stoppen von Spam genauso gut wie beim Verhindern von Virenausbrüchen, Phishing-Angriffen, durch E-Mails übertragener Spyware oder anderen E-Mail-Bedrohungen. Die Datensätze und Analyseregelsätze sind auf jede Bedrohung zugeschnitten. Mit der CASE-Technologie kann die Cisco ESA ein weites Spektrum an Bedrohungen mit höchster Effizienz abwehren, indem sie diese Bedrohungen mit einer einzigen Hochleistungs-Engine verarbeitet.