Cisco Email Security: Introducción a Context Adaptive Scanning Engine (CASE)

Introducción

El aumento del volumen de amenazas mixtas ha sido espectacular. Muchos de los brotes de virus más importantes de los últimos dos años se han asociado a la distribución de spam (es decir, la carga del virus crea un ejército de ordenadores "zombis") que se utilizan para enviar spam, phishing, spyware y más virus. El spyware transmitido por correo electrónico se ha duplicado cada seis meses, y no es raro que las URL spam instalen "registradores de teclas" que roban nombres de usuario y contraseñas. Los virus se pueden incluso utilizar para crear una red de zombis y lanzar un ataque de denegación de servicio distribuido masivo, como cuando la variante Mydoom.B desconectó el sitio web de SCO con un ataque coordinado.

¿Qué está impulsando el aumento repentino de amenazas combinadas? En resumen, es el dinero. A medida que las técnicas antispam de primera generación (como las listas negras y los filtros de contenido) se han ido implantando de forma más generalizada, los métodos tradicionales (como el envío de spam desde un banco fijo de servidores que contienen una "oferta" en el texto del mensaje) han perdido rentabilidad. Al haber más redes que utilizan tecnología antispam, el número de mensajes de spam "sencillos" que pasan de los filtros de spam a la bandeja de entrada del destinatario es menor. Esto perjudica los márgenes de beneficio de los spammers y les ha obligado a adaptarse a estos cambios. 

Los spammers manejaron esta situación de dos maneras distintas: 

1. Están enviando aún más spam con la esperanza de que lo que pierdan en las tarifas de entrega, lo compensen en volumen.
2. Recurren a ataques mixtos para ocultar sus mensajes y aumentar sus beneficios por mensaje.

La segunda técnica a menudo se convierte en una actividad criminal. Se han establecido redes de delincuencia organizada para ejecutar ataques y beneficiarse de virus, suplantación de identidad y otras amenazas. En 2004, un individuo llamado John Dover fue arrestado después de intercambiar más de dos millones de números de tarjetas de crédito, que fueron robados a través de ataques de phishing.

Las técnicas utilizadas en los ataques combinados también son cada vez más sofisticadas. El virus Sober.N empleaba correo electrónico, descargas web, troyanos y zombis. Los filtros de análisis de contenido tradicionales no son adecuados para estas amenazas inteligentes. Muchos usuarios de filtros antispam de primera generación han descubierto que deben dedicar cada vez más horas a "formar" a sus filtros o a redactar nuevas reglas. Sin embargo, a pesar de estos esfuerzos, su tasa de captura y su rendimiento están disminuyendo. El resultado es que los costes aumentan a medida que se necesitan más sistemas para mantener la carga, mientras que se utiliza más tiempo de administración para gestionar cada sistema. 

Cisco Email Security ha hecho frente a estas amenazas con una exclusiva tecnología combinada de defensa frente a amenazas conocida como Context Adaptive Scanning Engine (CASE). La tecnología CASE de Cisco Email Security se utiliza para detener tanto el spam tradicional como los ataques sofisticados basados en zombis. Esta misma tecnología de análisis también se utiliza para evitar virus y malware hasta 42 horas antes de la disponibilidad de la firma, con un único análisis unificado para mejorar la eficacia.

Descripción de CASE, detección de amenazas combinadas en contexto

Los filtros de primera generación se diseñaron para observar el contenido de un mensaje y tomar una determinación. Por ejemplo, si la palabra "free" aparece en un mensaje más de dos veces, junto con la palabra "herbal", probablemente se trate de spam. Este enfoque es relativamente fácil de derrotar para los spammers mediante el uso de caracteres o números ocultos en lugar de letras, como "f0r y0u" en lugar de "for you". Las técnicas de segunda generación, como los filtros bayesianos, intentaron abordar esta limitación aprendiendo a diferenciar automáticamente las características del spam y del correo electrónico legítimo. Pero estas técnicas resultaron ser demasiado difíciles de entrenar, demasiado tardías para reaccionar y demasiado lentas para escanear. 

Dadas las técnicas de ofuscación avanzadas que se utilizan con el spam actual, los filtros de última generación deben examinar el correo entrante en contexto completo. CASE utiliza técnicas avanzadas de aprendizaje automatizado que emulan la lógica utilizada por un ser humano que está evaluando la legitimidad de un mensaje. Un lector humano, así como la tecnología CASE de Cisco Email Security, hacen cuatro preguntas básicas:

1. ¿Quién me envió el mensaje?
2. ¿Adónde me llevan los enlaces del mensaje?
3. ¿Cómo se construyó el mensaje?
4. ¿Qué contiene el mensaje?

A continuación se examina cada área lógica evaluada. 

Who? 

Como se ha indicado anteriormente, los filtros de spam de primera generación se basaban principalmente en búsquedas por palabras clave para identificar el spam. En 2003, Cisco (IronPort) revolucionó el sector de la seguridad del correo electrónico al introducir el concepto de filtrado de reputación. Mientras que el filtrado de contenido hace la pregunta "¿Qué hay en el mensaje?", el filtrado de reputación hace la pregunta "¿Quién envió el mensaje?". Este concepto sencillo pero potente amplió el contexto en el que se evalúan las amenazas. En 2005, casi todos los principales proveedores de seguridad comercial habían adoptado algún tipo de sistema de reputación. 

Determinar la reputación implica examinar un amplio conjunto de datos sobre el comportamiento de un remitente determinado (un remitente se define como una dirección IP que envía correo). Cisco tiene en cuenta más de 120 parámetros diferentes, entre los que se incluyen el volumen de correo electrónico a lo largo del tiempo, el número de "trampas de spam" que ha alcanzado esta IP, el país de origen, si el host está comprometido, etc. Cisco cuenta con un equipo de estadísticos que desarrollan y mantienen algoritmos que procesan estos datos para generar una puntuación de reputación. Esta puntuación de reputación se pone a disposición del dispositivo de seguridad Cisco Email Security Appliance (ESA) receptor, que a su vez puede limitar a un remitente en función de su fiabilidad. En pocas palabras: cuanto más "spam" aparece un remitente, más lento se desplaza. El filtrado de reputación también aborda los problemas asociados con el aumento de los volúmenes de correo electrónico, ya sea rechazando o limitando las conexiones antes de que se acepte el mensaje, lo que mejora considerablemente el rendimiento y la disponibilidad del sistema de correo. Los filtros de reputación de Cisco ESA detienen más del 80% del spam entrante, aproximadamente el doble del índice de captura de los sistemas de la competencia.

Where? 

Aunque la combinación del análisis de contenido de correo electrónico y la reputación era la tecnología más avanzada en 2003, la sofisticación de las tácticas de los creadores de virus y spammers sigue creciendo. Como respuesta, Cisco (IronPort) introdujo la noción de reputación web, un nuevo vector crítico para ampliar el contexto en el que se evalúa un mensaje. Al igual que el enfoque utilizado para calcular la reputación de un correo electrónico, Cisco Web Reputation tiene en cuenta más de 45 parámetros relacionados con el servidor para evaluar la reputación de una URL determinada. Los parámetros incluyen el volumen de solicitudes HTTP a la URL a lo largo del tiempo, si la URL está alojada en una dirección IP con una puntuación de reputación baja, si esta URL está asociada a un host de PC infectado o "zombi" conocido y la antigüedad del dominio utilizado por la URL. Al igual que ocurre con la reputación del correo electrónico, esta reputación web se mide mediante una puntuación granular, lo que permite al sistema enfrentarse a las ambigüedades de las amenazas sofisticadas.

¿Cómo? 

Otro enfoque novedoso del análisis contextual de Cisco Email Security consiste en examinar la construcción de un mensaje. Los clientes de correo legítimo, como Microsoft Outlook, crean mensajes de una forma única, mediante codificación MIME, HTML u otros medios similares. Un examen de la construcción de un mensaje puede revelar mucho sobre su legitimidad. Un ejemplo más revelador de esto ocurre cuando un servidor de spam intenta emular la construcción de un cliente de correo legítimo. Esto es difícil de hacer, y una emulación imperfecta es un indicador confiable de un mensaje ilegítimo. 

¿Qué? 

Un análisis contextual completo debe tener en cuenta el contenido de un mensaje, pero, como se ha indicado anteriormente, el análisis de contenido por sí solo no es un enfoque suficiente para identificar el correo ilegítimo. La tecnología CASE de Cisco Email Security realiza un análisis de contenido completo mediante técnicas de aprendizaje automatizado de última generación. Estas técnicas examinan el contenido del mensaje y lo clasifican en varias categorías: ¿es financiero, pornográfico o contiene contenido que se sabe que está correlacionado con otro spam? Este análisis de contenido se tiene en cuenta en CASE junto con los otros atributos (el quién, dónde, cómo y qué) para evaluar el contexto completo del mensaje.

CASE en acción

Debido a la amplitud de los datos analizados por CASE, la tecnología se utiliza en diversas aplicaciones de seguridad, incluidas IronPort Anti-Spam (IPAS), Graymail y Virus Outbreak Filters (VOF). En el ejemplo siguiente se muestra cómo se utiliza CASE para detener el spam. El contenido del mensaje es prácticamente idéntico al de la organización a la que se está suplantando, por lo que el análisis de contenido del mensaje no identificaría ninguna amenaza. Para los filtros basados en contenido, este mensaje parece ser una comunicación legítima. Para determinar si este mensaje es spam o no, los filtros que se basan principalmente en el "¿Qué?" fácilmente podrían ser engañados para reconocer el mensaje como legítimo. Sin embargo, un análisis del contexto completo del mensaje presenta un panorama diferente.

• La dirección IP del servidor de correo remitente es sospechosa: ha tenido un aumento repentino en el volumen y el dominio, a cambio, no acepta correo. 
• La URL del correo electrónico señala a un servidor que parece estar en una red de banda ancha de consumidor. 
• La URL anunciada en el mensaje es diferente de la URL "real" a la que se navega el usuario al hacer clic en el enlace.

Cuando estos tres factores se consideran en contexto, queda claro que no se trata de un mensaje legítimo, sino de un ataque de spam.

"Filtros de contenido" tradicionales Qué FILTROS DE CONTENIDO buscar	Exploración adaptable al contexto Qué encuentra CASE
¿Qué? Contenido del mensaje legítimo.	¿Qué? Contenido legítimo del mensaje.
	¿Cómo? La construcción de mensajes emula al cliente de Microsoft Outlook.
	Who? 1) Un aumento repentino en el volumen de correo electrónico que se envía. 2) A cambio, el servidor de correo no acepta correo.  3) Servidor de correo ubicado en Ucrania.
	Where? 1) Una discordancia entre la visualización y el dominio de sitio web de URL de destino registrado hace un día. 2) Sitio web alojado en la red de banda ancha del consumidor.  3) Los datos de "Whois" muestran al propietario del dominio como un spammer conocido.
Veredicto: DESCONOCIDO	Veredicto: BLOQUEO

Cuando se utiliza CASE en Virus Outbreak Filters, se aplican las mismas capacidades de puntuación y aprendizaje automático, aunque a un conjunto de datos ajustados por separado. Virus Outbreak Filters es una solución antivirus preventiva ofrecida por Cisco y con tecnología CASE. La solución Outbreak Filters analiza los mensajes teniendo en cuenta tanto las reglas de brotes en tiempo real (emitidas por brotes específicos de Cisco Talos) como las reglas adaptativas "siempre activas" (que residen en CASE en todo momento), con lo que se protege a los usuarios frente a los brotes antes de que hayan tenido la oportunidad de formarse por completo. CASE permite que Virus Outbreak Filters detecte y proteja contra los brotes de virus de varias maneras con precisión. En primer lugar, CASE puede analizar rápidamente los mensajes en función de parámetros como la extensión de archivo de los datos adjuntos, el tamaño del archivo, el nombre del archivo, las palabras clave del nombre del archivo, la magia del archivo (la extensión real de un archivo) y las URL incrustadas. Dado que la tecnología CASE analiza los mensajes con este nivel de detalle, Cisco Talos puede emitir unas reglas de brotes de virus extremadamente granulares, que protegen con precisión frente a un brote con un mínimo de falsos positivos. CASE puede recibir dinámicamente las reglas de brote actualizadas, lo que garantiza su protección frente a los brotes más recientes. 

Además del análisis de mensajes basado en reglas de brote de virus, la tecnología CASE también explora mensajes basados en reglas adaptables. Las reglas adaptativas son algoritmos y heurísticas ajustados con precisión que examinan los mensajes entrantes en busca de malformaciones y características de suplantación indicativas de virus. Además de estos parámetros, las reglas adaptativas puntúan los mensajes según su SenderBase Virus Score (SBVS). SBVS es una puntuación similar a una puntuación de reputación de SenderBase (SBRS), pero con una clasificación basada en la probabilidad de que el remitente envíe correos electrónicos de forma viral en lugar de spam. La mayor parte del correo electrónico viral se envía a través de equipos "zombis" previamente infectados, por lo que la identificación y puntuación de estos remitentes es un factor esencial a la hora de detectar virus.

La tecnología CASE de Cisco Email Security permite a Virus Outbreak Filters detener los brotes de virus mucho antes que las soluciones antivirus tradicionales, ya que CASE examina los mensajes de varias formas. Tiene la capacidad de analizar numerosas características de los archivos adjuntos a los mensajes, su contenido y su construcción, así como la capacidad de analizar los mensajes en función de su reputación como remitentes. Además, dado que CASE también actúa como el motor de filtros de reputación y antispam de IronPort, un mensaje solo debe analizarse una vez para todas estas aplicaciones.

Alto rendimiento y bajo coste

La lógica detrás de la tecnología CASE puede ser muy sofisticada y, por lo tanto, muy intensiva en CPU para procesar. Para maximizar la eficiencia, CASE utiliza una tecnología única de "salida temprana". La salida temprana prioriza la eficacia de la miríada de reglas procesadas por CASE. La tecnología CASE ejecuta las reglas con el mayor impacto y el menor coste en primer lugar. Si se alcanza un veredicto estadístico (positivo o negativo), no se ejecutan reglas adicionales, lo que ahorra recursos del sistema. La elegancia en este enfoque es tener una buena comprensión de la eficacia de cada regla. CASE supervisa y adapta automáticamente el orden de ejecución de las reglas a medida que cambia la eficacia.

El resultado de una salida temprana es que la tecnología CASE procesa los mensajes aproximadamente un 100% más rápido que un filtro tradicional basado en reglas. Esto tiene claras ventajas para los proveedores de servicios de Internet y las empresas grandes. Pero también tiene beneficios para las pequeñas y medianas empresas. La eficacia de CASE, junto con la eficacia del sistema operativo AsyncOS de Cisco Email Security, significa que los ESA con la tecnología AsyncOS y CASE se pueden implementar en hardware de muy bajo coste, lo que reduce los costes de capital. 

Otra forma en que la tecnología CASE se traduce en un bajo coste es eliminando los gastos administrativos. CASE se adapta y actualiza automáticamente miles de veces al día. Cisco Talos proporciona ingenieros cualificados, técnicos multilingües y estadísticos. Los analistas de Cisco Talos disponen de herramientas especiales que destacan las anomalías en el flujo de correo electrónico detectadas en cualquier red de cliente de Cisco Email Security o los patrones de tráfico de correo electrónico global. Cisco Talos genera nuevas reglas que se introducen automáticamente en el sistema en tiempo real. Cisco Talos también mantiene un amplio corpus de "spam y correo no deseado", que se utiliza para formar diversas reglas utilizadas por CASE. Las reglas CASE actualizadas automáticamente significan que los administradores no tienen que estar ajustando y ajustando el filtro o dedicando tiempo a revisar las cuarentenas de spam.

Summary

El spam, los virus, el malware, el spyware, los ataques de denegación de servicio y los ataques de recolección de directorios están motivados por el mismo motivo subyacente: los beneficios. Estos beneficios se consiguen mediante la venta o la publicidad de mercancías o el robo de información. Los beneficios de estas ventas están generando ataques cada vez más sofisticados, desarrollados por ingenieros profesionales. Los sistemas avanzados de seguridad para el correo electrónico deben analizar un mensaje en el contexto más amplio posible para hacer frente a estas amenazas. La tecnología Context Adaptive Scanning Engine de Cisco Email Security plantea las cuatro preguntas básicas: Quién, dónde, qué y cómo para eliminar los mensajes legítimos de amenazas combinadas. 

• "Quién" es la reputación del correo electrónico del remitente, que envió el mensaje. 
• "Dónde" es la reputación de la fuente que aloja el sitio web, analizando adónde le llevaría el enlace. 
• "Qué" es un análisis del contenido del mensaje: qué contiene el mensaje (los sistemas de primera generación suelen basarse únicamente en el tipo de análisis "Qué"). 
• Por último, "Cómo" es un análisis de cómo se construye el mensaje.

Este marco básico de análisis de quién, dónde, qué y cómo funciona igual de bien para detener el spam que para prevenir brotes de virus, ataques de phishing, spyware transmitido por correo electrónico u otras amenazas de correo electrónico. Los conjuntos de datos y los conjuntos de reglas de análisis se ajustan específicamente para cada amenaza. La tecnología CASE permite que Cisco ESA detenga la gama más amplia de amenazas con la mayor eficacia posible procesándolas en un único motor de alto rendimiento.