Seguridad del correo electrónico de Cisco: Comprensión del motor de análisis adaptante del contexto (CASO)

Opciones de descarga

  • PDF     (135.5 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (131.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (123.7 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:19 de mayo de 2020
ID del documento:215533

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    El aumento en el volumen de amenazas mezcladas ha sido dramático. Muchos de los brotes de virus más significativos de los últimos dos años se han asociado a la salida del Spam – significar el payload del virus crea a un ejército de ordenadores del “zombi” – que se utilicen para enviar el Spam, el phishing, el spyware, y aún más virus. el spyware Correo electrónico-llevado ha estado doblando cada seis meses, y no es infrecuente que los URL mandados spam instalen los “registradores de pulsaciones” que roban los nombres de usuario y contraseña. Los virus pueden incluso ser utilizados para crear una red de los zombis para poner en marcha una negación distribuida de ataque de servicio masiva, por ejemplo cuando la variante Mydoom.B tomó el sitio web de SCO off-liné con un asalto coordinado.

    ¿Qué está conduciendo el aumento súbito en las amenazas mezcladas? En fin, es el dinero. Mientras que las técnicas de primera generación del anti-Spam (como las listas negras y los filtros del contenido) se han desplegado más extensamente, los métodos tradicionales (como el envío del Spam de un banco fijo de los servidores que contienen una “oferta” en el texto del mensaje) han llegado a ser menos rentables. Con más redes usando la tecnología del anti-Spam, menos mensajes spam “simples” le hacen los filtros antispam del pasado y en el buzón de entrada del beneficiario. Esto daña los márgenes del beneficio de los spammeres y los ha forzado para adaptarse a estos cambios. 

    Los spammeres manejaron esta situación de dos maneras distintas: 

    1. Están enviando aún más el Spam con la esperanza que lo que pierden en las tarifas de la salida, compondrán en el volumen.
    2. Están dando vuelta a los ataques mezclados para disfrazar sus mensajes y para aumentar su beneficio por el mensaje.

    La segunda técnica se convierte en a menudo una actividad criminal. Las redes del crimen ordenado se han establecido para ejecutar los ataques y para beneficiarse de los virus, del phishing, y de otras amenazas. En 2004, arrestaron a un individuo nombrado Juan Dover después de negociar sobre dos millones de números de placa de crédito, que fueron robados con los ataques del phishing.

    Las técnicas usadas en los ataques mezclados también han llegado a ser cada vez más sofisticadas. El correo electrónico Sober.N, las transferencias directas de la red, los troyanos, y los zombis empleados virus. Los filtros tradicionales de la análisis de contenido no son ninguna coincidencia para estas amenazas inteligentes. Muchos usuarios de los filtros de primera generación del anti-Spam han encontrado que necesitan pasar las horas cada vez mayores “que entrenan” a sus filtros o que escriben las nuevas reglas. Sin embargo, a pesar de estos esfuerzos, su tarifa de captura y producción son ambas que disminuyen. El resultado es que los costes se extienden mientras que más sistemas se requieren para continuar con la carga, mientras que se utiliza más tiempo de la administración para manejar cada sistema. 

    La Seguridad del correo electrónico de Cisco ha dirigido estas amenazas con una tecnología mezclada única de la defensa de la amenaza conocida como el motor de análisis adaptante del contexto (CASO). La tecnología del CASO de la Seguridad del correo electrónico de Cisco se utiliza para parar el Spam tradicional y los ataques zombi-basados sofisticados. Esta misma tecnología de la exploración también se utiliza para prevenir los virus y el malware tanto como 42 horas delante de la Disponibilidad de la firma – con una sola exploración unificada para la eficacia.

    Comprensión del CASO, detectando las amenazas mezcladas en el contexto

    Los filtros de primera generación fueron diseñados para mirar el contenido de un mensaje y para hacer una determinación. Por ejemplo, si la palabra “libre” apareció en un mensaje más de dos veces, junto con la palabra “herbaria,” era probablemente Spam. Este acercamiento es relativamente fácil para que los spammeres derroten usando los caracteres o los números ocultados en vez de las cartas, tales como “f0r y0u” en lugar de “para usted.” Las técnicas de segunda generación, como los filtros Bayesian, intentaron dirigir esta limitación aprendiendo distinguir las características del Spam y legitimar el correo electrónico automáticamente. Pero estas técnicas probaron también desafiar a entrenar, a reaccionar demasiado tarde, y a reducirse también para analizar. 

    Dado las técnicas avanzadas de la ofuscación usadas con el Spam de hoy, los filtros avanzados necesitan examinar el correo entrante en el contexto completo. El CASO utiliza las técnicas de aprendizaje avanzadas de máquina que emulan a la lógica usada por un ser humano que esté evaluando la legitimidad de un mensaje. Un programa de lectura humano, así como la tecnología del CASO de la Seguridad del correo electrónico de Cisco, hace cuatro preguntas básicas:

    1. ¿Quién me envió el mensaje?
    2. ¿Dónde los links en el mensaje me toman?
    3. ¿Cómo el mensaje fue construido?
    4. ¿Qué el mensaje contiene?

    Para seguir es un examen de cada área lógica evaluada. 

    ¿Quién? 

    Como filtros antispam anteriores, de primera generación expuestos confió sobre todo en las búsquedas por palabra clave para identificar el Spam. En 2003, Cisco (IronPort) revolucionado la industria de Seguridad del correo electrónico introduciendo el concepto de filtración de la reputación. ¿Mientras que el filtrado de contenido hizo la pregunta, “cuál está en el mensaje? ”, la filtración de la reputación hace la pregunta, “quién envió el mensaje?”. Este concepto simple pero potente ensanchó el contexto por el cual las amenazas son evaluadas. Antes de 2005, casi cada vendedor comercial importante de la Seguridad había adoptado algún tipo de sistema de la reputación. 

    La determinación de la reputación implica el examinar de un conjunto de datos amplio sobre el comportamiento de un remitente dado (un remitente se define como dirección IP que envía el correo). Cisco considera sobre 120 diversos parámetros, incluyendo el volumen del correo electrónico en un cierto plazo, el número de “trampas para spam” golpeadas por este IP, el país de origen, si el host está comprometido, y mucho más. Cisco tiene un equipo de estadísticos que desarrollen y mantengan los algoritmos, que procesan estos datos para generar una calificación de la reputación. Esta calificación de la reputación entonces se pone a disposición el dispositivo de seguridad de recepción del correo electrónico de Cisco (ESA), que puede entonces estrangular un remitente basado en su fiabilidad. En el cortocircuito – el “más spammy” un remitente aparece, más lentamente va. La reputación que filtra también aborda los problemas asociados a los volúmenes de afluencia del correo electrónico por las conexiones de rechazo o que estrangulan antes de que se valide el mensaje, así mejorando dramáticamente el funcionamiento y la Disponibilidad del sistema de correo. Los filtros de la reputación de Cisco ESA paran el más de 80 por ciento de Spam entrante, aproximadamente dos veces el índice de captura de sistemas competentes.

    ¿Dónde? 

    Mientras que la combinación de análisis de contenido y de reputación del correo electrónico era avanzada en 2003, la sofisticación de las táctica del escritor del spammer y del virus continúa creciendo. En la respuesta, Cisco (IronPort) introdujo la noción de la reputación Web – un nuevo vector crítico para ensanchar el contexto en el cual se evalúa un mensaje. Similar al acercamiento usado en el cálculo de la reputación de un correo electrónico, la reputación Web de Cisco mira más de 45 parámetros relacionados del servidor para evaluar la reputación de cualquier URL dado. Los parámetros incluyen el volumen de solicitudes HTTP al URL en un cierto plazo, si el URL está recibido en una dirección IP con una calificación pobre de la reputación, si este URL está asociado a un “zombi conocido” o host infectado de la PC, y la edad del dominio usado por el URL. Como con la reputación del correo electrónico, esta reputación Web se mide usando una calificación granular, que permite que el sistema se ocupe de las ambigüedades de las amenazas sofisticadas.

    ¿Cómo? 

    Otro nuevo enfoque al análisis del contexto de la Seguridad del correo electrónico de Cisco es examinar la construcción de un mensaje. Los clientes legítimos del correo, tales como Microsoft Outlook, construyen los mensajes en las formas únicas – usando IMITE la codificación, el HTML, u otros medios similares. Un examen de la construcción de un mensaje puede revelar mucho sobre su legitimidad. Decir el ejemplo de esto ocurre cuando un servidor del Spam intenta emular a la construcción de un cliente legítimo del correo. Esto es difícil de hacer, y una emulación imperfecta es un indicador confiable de un mensaje ilegítimo. 

    ¿Qué? 

    Un análisis del contexto completo necesita considerar el contenido de un mensaje, pero, según lo observado anterior, la análisis de contenido sola no es un suficiente acercamiento a identificar el correo ilegítimo. La tecnología del CASO de la Seguridad del correo electrónico de Cisco realiza el análisis del contenido total, usando las técnicas de aprendizaje avanzadas de máquina. ¿Estas técnicas examinan el contenido del mensaje y lo anotan en las diversas categorías – es financiero, pornográfico, o contiene el contenido que se sabe para correlacionar con el otro Spam? Esta análisis de contenido se descompone en factores en el CASO junto con los otros atributos – que, donde, cómo, y qué – para evaluar el contexto completo del mensaje.

    CASO en la acción

    Debido a la anchura de los datos analizados por el CASO, la tecnología se utiliza en una variedad de aplicaciones de la Seguridad – incluyendo el Anti-Spam de IronPort (IPAS), Graymail, y los filtros del brote de virus (VOF). El ejemplo debajo de los puntos culminantes cómo el CASO se utiliza para parar el Spam. El contenido de mensaje es casi idéntico a la organización que consigue phished, así que la análisis de contenido del mensaje no identificaría ninguna amenazas. A los filtros contenido-basados, este mensaje aparece ser una comunicación legítima. Para determinar independientemente de si este mensaje es Spam, filtros que confían sobre todo en “qué” podría ser engañado fácilmente en el reconocimiento del mensaje como legítimo. Sin embargo, un análisis del contexto completo del mensaje pinta una diversa imagen.

    • La dirección IP del mail server de envío es sospechosa – ha tenido una oleada súbita en el volumen, y el dominio, a cambio, no valida el correo. 
    • El URL del correo electrónico señala a un servidor que aparezca estar en una red de banda ancha del consumidor. 
    • El URL de divulgación en el mensaje es diferente del URL “real” que navegan al usuario a al hacer clic en el link.

    Cuando los tres de estos factores se consideran en el contexto, se pone de manifiesto que esto no es un mensaje legítimo, pero es, de hecho, un ataque del Spam.

    “Filtros contentos tradicionales”

    Qué FILTROS CONTENTOS encuentran

    Exploración adaptante del contexto

    Qué CASO encuentra

    ¿Qué?  Contenido del mensaje legítimo.

    ¿Qué? Contenido del mensaje legítimo.

    ¿Cómo? La construcción del mensaje emula al cliente del Microsoft Outlook.

    ¿Quién?

    1) una oleada súbita en el volumen de correo electrónico que es enviado.

    2) A cambio, el mail server no valida el correo. 

    3) Mail server situado en Ucrania.

    ¿Dónde?

    1) el ismatch mañana entre la visualización y el dominio del sitio web de la blanco URL se registró hace un día.

    2) sitio web recibido en la red de banda ancha del consumidor. 

    3) Los datos “WHOIS” muestran al propietario del dominio como spammer sabido.

    Veredicto: DESCONOCIDO

    Veredicto: BLOQUE

    Cuando el CASO se utiliza en los filtros del brote de virus, las mismas capacidades de aprendizaje el anotar y de la máquina son aplicadas – no obstante a un conjunto de datos por separado adaptado. Los filtros del brote de virus son una solución preventiva del antivirus ofrecida por Cisco y accionada por la tecnología del CASO. El brote filtra los mensajes de las exploraciones de la solución contra las reglas “en tiempo real” del brote (publicadas por los brotes específicos de Cisco Talos) y “siempre-en” las reglas adaptantes (que reside en el CASO siempre), protegiendo a los usuarios contra los brotes antes de que hayan tenido una ocasión de formar completamente. ENCAJONE los filtros del brote de virus de los permisos para detectar y para proteger contra los brotes de virus de varias maneras exactamente. Primero, el CASO puede analizar rápidamente los mensajes basados en los parámetros tales como extensión de archivo de la conexión, del tamaño del archivo, del nombre de fichero, de las palabras claves del nombre de fichero, de la magia del fichero (la extensión real de un fichero), y de los URL integrados. Porque la tecnología del CASO analiza los mensajes a este nivel de detalle, Cisco Talos puede publicar las reglas extremadamente granulares del brote, que protegen exactamente contra un brote con los falsos positivos mínimos. El CASO puede recibir dinámicamente las reglas actualizadas del brote, que se asegura de que proteja contra los últimos brotes. 

    Además del análisis de los mensajes basados en las reglas del brote, la tecnología del CASO también analiza los mensajes basados en las reglas adaptantes. Las reglas adaptantes son heurística y los algoritmos finalmente adaptados que examinan los mensajes entrantes para las características de la malformación y de la falsificación indicativas de los virus. Además de estos parámetros, mensajes adaptantes de la calificación de las reglas basados en su calificación del virus de SenderBase (SBVS). SBVS es una calificación similar a una calificación de la reputación de SenderBase (SBR), pero con una graduación basada en la probabilidad que el partido de envío está enviando los correos electrónicos virales, bastante que el Spam. Las máquinas previamente infectadas del “zombi” envía una mayoría del correo electrónico viral, así que la identificación y anotar de estos partidos de envío es un factor esencial en los virus de cogida.

    La tecnología del CASO de la Seguridad del correo electrónico de Cisco permite a los filtros del brote de virus parar los brotes de virus mucho antes las soluciones tradicionales del antivirus porque el CASO examina los mensajes en las diferentes formas. Tiene la capacidad de analizar las características numerosas de las conexiones del mensaje, contenido del mensaje, y construcción del mensaje, así como la capacidad de analizar los mensajes basados en su reputación del remitente. Y, porque el CASO también actúa como el Anti-Spam de IronPort y el motor de los filtros de la reputación, necesidades de un mensaje solamente de ser analizado de una vez por todas de estas aplicaciones.

    Rendimiento alto, costo bajo

    La lógica detrás de la tecnología del CASO puede ser muy sofisticada, y por lo tanto mismo uso intensivo de la CPU procesar. Para maximizar la eficacia, el CASO utiliza una tecnología única de la “salida temprana”. La salida temprana da prioridad a la eficacia de las reglas innumerables procesada por el CASO. La tecnología del CASO funciona con las reglas con las primeras más de alto impacto y más barato. Si se alcanza un veredicto estadístico (si es positivo o negativo), no se funciona con ningunas reglas adicionales, guardando a los recursos del sistema. La elegancia en este acercamiento está teniendo una buena comprensión de la eficacia de cada regla. ENCAJONE automáticamente los monitores y adapta la orden de la ejecución de la regla como la eficacia cambia.

    El resultado de la salida temprana es que la tecnología del CASO procesa los mensajes el aproximadamente 100 por ciento de más rápido que un filtro basado en las reglas tradicional. Esto tiene ventajas distintas para las ISP grandes y las empresas. Pero también tiene ventajas para las pequeñas y medianas empresas. La eficacia del CASO, juntada con la eficacia del sistema operativo de AsyncOS de la Seguridad del correo electrónico de Cisco, significa que ESAs con AsyncOS y la tecnología del CASO se puede ejecutar en la dotación física muy barata – conduciendo abajo de los costes de capital. 

    Otra manera que la tecnología del CASO traduce al costo bajo está eliminando el consumo de recursos gasto administrativo. La CAJA se adapta y se pone al día automáticamente, los millares de épocas cada día. Cisco Talos proporciona a los ingenieros se entrenan que, a los técnicos multilingües, y a los estadísticos. Los analistas de Cisco Talos tienen las herramientas especiales que destacan las anomalías en el flujo de correo detectado en la red de cualquier de Cisco del correo electrónico cliente de la Seguridad, o los patrones de tráfico globales del correo electrónico. Cisco Talos genera las nuevas reglas que se empujan automáticamente al sistema en el tiempo real. Cisco Talos también mantiene una recopilación masiva del “Spam y del ham,” que se utiliza para entrenar a las diversas reglas usadas por el CASO. Las reglas automáticamente actualizadas del CASO significan que los administradores no tienen que ser de adaptación y que pellizcan del filtro o que pasan el tiempo que vadean con las cuarentenas del Spam.

    Resumen

    El Spam, los virus, el malware, el spyware, los ataques de la negación de servicio, y los ataques de recopilación de direcciones todos son conducidos por el mismo motivo subyacente – los beneficios. Estos beneficios se logran con la venta o la publicidad de la mercancía o el hurto de la información. Los beneficios de estas ventas están conduciendo los ataques cada vez más sofisticados, desarrollados por los ingenieros profesionales. Los sistemas de seguridad avanzados del correo electrónico necesitan analizar un mensaje en el contexto posible más amplio para contradecir estas amenazas. La tecnología adaptante del motor de análisis del contexto de la Seguridad del correo electrónico de Cisco hace las cuatro preguntas básicas: Quién, donde, qué, y cómo – eliminar los mensajes legítimos de las amenazas mezcladas. 

    • “Quién” es la reputación del correo electrónico del remitente – quién envió el mensaje. 
    • “Donde” está la reputación de la fuente que recibe el sitio web – analizando donde el link le tomaría. 
    • “Cuál” es un análisis del contenido del mensaje – lo que contiene el mensaje (los sistemas de primera generación a menudo confíe solamente en” qué” tipo de análisis). 
    • Finalmente, “cómo” es un análisis de cómo se construye el mensaje.

    Esta estructura básica de analizar quién, donde, qué, y cómo los trabajos igualmente bien para parar el Spam como hace para prevenir los brotes de virus, phishing atacan, spyware correo electrónico-llevado, u otro las amenazas del correo electrónico. Los conjuntos de datos y los conjuntos de la regla del análisis se adaptan específicamente para cada amenaza. La tecnología del CASO permite que Cisco ESA pare el rango más amplio de las amenazas con la eficacia más alta posible procesando estas amenazas en un solo motor de alto rendimiento.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Robert Sherwin
      Ingeniero de la comercialización técnica

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos