Cisco Email Security: Context Adaptive Scanning Engine (CASE) begrijpen

Inleiding

De toename van het aantal gemengde bedreigingen is dramatisch. Veel van de belangrijkste virusuitbraken in de afgelopen twee jaar zijn in verband gebracht met spam-levering - wat betekent dat de viruslading een leger van 'zombie'-computers creëert - die worden gebruikt om spam, phishing, spyware en nog meer virussen te verzenden. Spyware via e-mail verdubbelt elke zes maanden en het is niet ongebruikelijk dat spammed URL's "keyloggers" installeren die gebruikersnamen en wachtwoorden stelen. Virussen kunnen zelfs worden gebruikt om een netwerk van zombies te creëren om een massale gedistribueerde denial of service-aanval te lanceren, zoals toen de Mydoom.B-variant de website van SCO offline haalde met een gecoördineerde aanval.

Wat is de oorzaak van de plotselinge toename van gemengde bedreigingen? Kortom, het is het geld. Aangezien antispamtechnieken van de eerste generatie (zoals zwarte lijsten en inhoudsfilters) op grotere schaal zijn ingezet, zijn traditionele methoden (zoals het verzenden van spam van een vaste bank van servers met een "aanbieding" in de tekst van het bericht) minder winstgevend geworden. Met meer netwerken die antispamtechnologie gebruiken, maken minder "eenvoudige" spamberichten het voorbij spamfilters en in de inbox van de ontvanger. Dit schaadt de winstmarges van spammers en heeft hen gedwongen zich aan deze veranderingen aan te passen. 

Spammers hebben deze situatie op twee verschillende manieren aangepakt: 

1. Ze sturen nog meer spam met de hoop dat wat ze verliezen in bezorgtarieven, ze in volume zullen goedmaken.
2. Ze wenden zich tot gemengde aanvallen om hun berichten te verbergen en hun winst per bericht te verhogen.

De tweede techniek wordt vaak een criminele activiteit. Georganiseerde criminele netwerken zijn opgericht om aanvallen uit te voeren en te profiteren van virussen, phishing en andere bedreigingen. In 2004 werd een persoon genaamd John Dover gearresteerd nadat hij meer dan twee miljoen creditcardnummers had verhandeld, die werden gestolen door phishing-aanvallen.

De technieken die worden gebruikt in blended aanvallen zijn ook steeds geavanceerder geworden. Het Sober.N-virus maakte gebruik van e-mail, webdownloads, trojans en zombies. Traditionele inhoudsanalysefilters zijn geen partij voor deze intelligente bedreigingen. Veel gebruikers van antispamfilters van de eerste generatie hebben ontdekt dat ze steeds meer uren moeten besteden aan het "trainen" van hun filters of het schrijven van nieuwe regels. Ondanks deze inspanningen nemen zowel de vangstsnelheid als de verwerkingscapaciteit echter af. Het resultaat is dat de kosten stijgen naarmate er meer systemen nodig zijn om de belasting bij te houden, terwijl er meer beheertijd wordt gebruikt om elk systeem te beheren. 

Cisco Email Security heeft deze bedreigingen aangepakt met een unieke blended threat defense-technologie die bekend staat als de Context Adaptive Scanning Engine (CASE). De CASE-technologie van Cisco Email Security wordt gebruikt om zowel traditionele spam als geavanceerde op zombie gebaseerde aanvallen te stoppen. Dezelfde scantechnologie wordt ook gebruikt om virussen en malware te voorkomen tot 42 uur voor de beschikbaarheid van handtekeningen – met één uniforme scan voor efficiëntie.

CASE begrijpen, gemengde bedreigingen in context detecteren

Eerste generatie filters zijn ontworpen om te kijken naar de inhoud van een bericht en een bepaling te maken. Als het woord 'gratis' bijvoorbeeld meer dan twee keer in een bericht verscheen, samen met het woord 'kruiden', was het waarschijnlijk spam. Deze aanpak is relatief eenvoudig voor spammers om te verslaan door verborgen tekens of cijfers te gebruiken in plaats van letters, zoals "f0r y0u" in plaats van "voor jou". Technieken van de tweede generatie, zoals Bayesiaanse filters, probeerden deze beperking aan te pakken door te leren de kenmerken van spam en legitieme e-mail automatisch te onderscheiden. Maar deze technieken bleken te uitdagend om te trainen, te laat om te reageren en te langzaam om te scannen. 

Gezien de geavanceerde verduisteringstechnieken die worden gebruikt met de hedendaagse spam, moeten de modernste filters inkomende mail in volledige context onderzoeken. CASE maakt gebruik van geavanceerde machine learning-technieken die de logica nabootsen die wordt gebruikt door een mens die de legitimiteit van een boodschap evalueert. Een menselijke lezer, evenals de CASE-technologie van Cisco Email Security, stelt vier basisvragen:

1. Wie heeft mij de boodschap gestuurd?
2. Waar brengen de links in het bericht mij naartoe?
3. Hoe is de boodschap opgebouwd?
4. Wat bevat de boodschap?

Om te volgen is een onderzoek van elk logisch gebied geëvalueerd. 

Wie? 

Zoals eerder vermeld, vertrouwden spamfilters van de eerste generatie voornamelijk op zoekopdrachten naar zoekwoorden om spam te identificeren. In 2003 bracht Cisco (IronPort) een revolutie teweeg in de e-mailbeveiligingsindustrie door het concept van reputatiefiltering te introduceren. Terwijl inhoudsfiltering de vraag stelde: "Wat zit er in het bericht?", stelt reputatiefiltering de vraag: "Wie heeft het bericht verzonden?". Dit eenvoudige maar krachtige concept verruimde de context waarin bedreigingen worden geëvalueerd. In 2005 had bijna elke grote commerciële beveiligingsleverancier een soort reputatiesysteem aangenomen. 

Het bepalen van de reputatie omvat het onderzoeken van een brede reeks gegevens over het gedrag van een bepaalde afzender (een afzender wordt gedefinieerd als een IP-adres dat e-mail verzendt). Cisco beschouwt meer dan 120 verschillende parameters, waaronder het e-mailvolume in de loop van de tijd, het aantal "spam-traps" dat door dit IP wordt getroffen, het land van herkomst, of de host is aangetast en nog veel meer. Cisco heeft een team van statistici die algoritmen ontwikkelen en onderhouden, die deze gegevens verwerken om een reputatiescore te genereren. Deze reputatiescore wordt vervolgens beschikbaar gesteld aan de ontvangende Cisco Email Security Appliance (ESA), die vervolgens een afzender kan afknijpen op basis van hun betrouwbaarheid. Kortom: hoe meer "spammy" een afzender verschijnt, hoe langzamer het gaat. Reputatiefiltering pakt ook de problemen aan die gepaard gaan met stijgende e-mailvolumes door verbindingen te weigeren of te verstikken voordat het bericht wordt geaccepteerd, waardoor de prestaties en beschikbaarheid van het e-mailsysteem aanzienlijk worden verbeterd. Cisco ESA-reputatiefilters stoppen meer dan 80 procent van de binnenkomende spam, ongeveer twee keer zoveel als concurrerende systemen.

Waarbij? 

Hoewel de combinatie van e-mailcontentanalyse en reputatie in 2003 state of the art was, blijft de verfijning van de tactiek van spammers en virusschrijvers groeien. Als reactie hierop introduceerde Cisco (IronPort) het begrip webreputatie – een kritische nieuwe vector om de context waarin een bericht wordt geëvalueerd te verbreden. Vergelijkbaar met de aanpak die wordt gebruikt bij het berekenen van de reputatie van een e-mail, kijkt Cisco Web Reputation naar meer dan 45 servergerelateerde parameters om de reputatie van een bepaalde URL te beoordelen. De parameters omvatten het volume van HTTP-verzoeken naar de URL in de loop van de tijd, of de URL wordt gehost op een IP-adres met een slechte reputatiescore, of deze URL is gekoppeld aan een bekende "zombie" of geïnfecteerde pc-host en de leeftijd van het domein dat door de URL wordt gebruikt. Net als bij e-mailreputatie wordt deze webreputatie gemeten met behulp van een gedetailleerde score, waarmee het systeem kan omgaan met de dubbelzinnigheden van geavanceerde bedreigingen.

Hoe? 

Een andere nieuwe benadering van de contextuele analyse van Cisco Email Security is om de constructie van een bericht te onderzoeken. Legitieme mailclients, zoals Microsoft Outlook, construeren berichten op unieke manieren - met behulp van MIME-codering, HTML of andere vergelijkbare middelen. Een onderzoek naar de constructie van een boodschap kan veel onthullen over de legitimiteit ervan. Een zeer veelzeggend voorbeeld hiervan doet zich voor wanneer een spamserver probeert de constructie van een legitieme mailclient na te bootsen. Dit is moeilijk te doen, en een onvolmaakte navolging is een betrouwbare indicator van een onwettige boodschap. 

Wat? 

Bij een volledige contextuele analyse moet rekening worden gehouden met de inhoud van een bericht, maar zoals eerder opgemerkt, is inhoudsanalyse alleen niet voldoende om illegale post te identificeren. De CASE-technologie van Cisco Email Security voert een volledige inhoudsanalyse uit met behulp van geavanceerde machine learning-technieken. Deze technieken onderzoeken de inhoud van het bericht en scoren het in verschillende categorieën - is het financieel, pornografisch of bevat het inhoud waarvan bekend is dat het correleert met andere spam? Deze inhoudsanalyse wordt samen met de andere attributen – het Wie, Waar, Hoe en Wat – in CASE verwerkt om de volledige context van de boodschap te evalueren.

CASE in actie

Vanwege de grote hoeveelheid gegevens die door CASE wordt geanalyseerd, wordt de technologie gebruikt in verschillende beveiligingstoepassingen, waaronder IronPort Anti-Spam (IPAS), Graymail en Virus Outbreak Filters (VOF). In het onderstaande voorbeeld wordt aangegeven hoe CASE wordt gebruikt om spam te stoppen. De inhoud van het bericht is bijna identiek aan de organisatie die wordt gephished, dus inhoudsanalyse van het bericht zou geen bedreigingen identificeren. Voor op inhoud gebaseerde filters lijkt dit bericht een legitieme communicatie te zijn. Om te bepalen of dit bericht al dan niet spam is, kunnen filters die voornamelijk vertrouwen op het "Wat" gemakkelijk worden misleid om het bericht als legitiem te herkennen. Een analyse van de volledige context van de boodschap schetst echter een ander beeld.

• Het IP-adres van de verzendende mailserver is verdacht - het volume is plotseling gestegen en het domein accepteert in ruil daarvoor geen e-mail. 
• De URL van de e-mail verwijst naar een server die zich in een consumentenbreedbandnetwerk bevindt. 
• De URL die in het bericht wordt geadverteerd, verschilt van de "werkelijke" URL waarnaar de gebruiker wordt genavigeerd wanneer hij op de link klikt.

Wanneer alle drie deze factoren in hun context worden bekeken, wordt het duidelijk dat dit geen legitieme boodschap is, maar in feite een spamaanval.

Traditionele "inhoudsfilters" Welke inhoudsfilters vinden	contextadaptief scannen Wat CASE vindt
Wat?  Berichtinhoud legitiem.	Wat? Berichtinhoud legitiem.
	Hoe? Berichtenconstructie emuleert Microsoft Outlook-client.
	Wie? 1) Een plotselinge toename van het aantal e-mails dat wordt verzonden. 2) In ruil daarvoor accepteert de mailserver geen e-mail.  3) Mailserver in Oekraïne.
	Waarbij? 1) Een mismatch tussen het domein van de display- en doel-URL-website die een dag geleden is geregistreerd. 2) Website gehost op consumentenbreedbandnetwerk.  3) "Whois" -gegevens tonen de domeineigenaar als een bekende spammer.
Vonnis: ONBEKEND	Vonnis: BLOKKEREN

Wanneer CASE wordt gebruikt in Virus Outbreak Filters, worden dezelfde scorings- en machine learning-mogelijkheden toegepast – zij het op een afzonderlijk afgestemde gegevensset. Virus Outbreak Filters zijn een preventieve antivirusoplossing die wordt aangeboden door Cisco en wordt aangedreven door CASE-technologie. De oplossing Outbreak Filters scant berichten tegen zowel "real-time" Outbreak Rules (uitgegeven door Cisco Talos specifieke uitbraken) als "always-on" adaptieve regels (die te allen tijde op CASE staan), waardoor gebruikers worden beschermd tegen uitbraken voordat ze de kans hebben gehad om zich volledig te vormen. CASE stelt Virus Outbreak Filters in staat om virusuitbraken op verschillende manieren nauwkeurig te detecteren en te beschermen. Ten eerste kan CASE snel berichten scannen op basis van parameters zoals bestandsextensie van bijlage, bestandsgrootte, bestandsnaam, bestandsnaamzoekwoorden, bestandsmagie (de eigenlijke extensie van een bestand) en ingesloten URL's. Omdat CASE-technologie berichten tot op dit detailniveau analyseert, kunnen Cisco Talos uiterst gedetailleerde uitbraakregels uitvaardigen, die nauwkeurig beschermen tegen een uitbraak met minimale fout-positieven. CASE kan dynamisch bijgewerkte uitbraakregels ontvangen, die ervoor zorgen dat het beschermt tegen de nieuwste uitbraken. 

Naast de analyse van berichten op basis van Outbreak Rules scant CASE-technologie ook berichten op basis van Adaptive Rules. Adaptieve regels zijn nauwkeurig afgestemde heuristieken en algoritmen die binnenkomende berichten onderzoeken op misvorming en spoofing-kenmerken die indicatief zijn voor virussen. Naast deze parameters scoren Adaptive Rules berichten op basis van hun SenderBase Virus Score (SBVS). SBVS is een score vergelijkbaar met een SenderBase Reputation Score (SBRS), maar met een rangschikking op basis van de waarschijnlijkheid dat de verzendende partij virale e-mails verzendt in plaats van spam. Een meerderheid van de virale e-mail wordt verzonden door eerder geïnfecteerde "zombie" -machines, dus het identificeren en scoren van deze verzendende partijen is een essentiële factor bij het vangen van virussen.

De CASE-technologie van Cisco Email Security stelt Virus Outbreak Filters in staat om virusuitbraken ruim voor traditionele antivirusoplossingen te stoppen, omdat de CASE berichten op meerdere manieren onderzoekt. Het heeft de mogelijkheid om tal van kenmerken van berichtbijlagen, berichtinhoud en berichtconstructie te analyseren, evenals de mogelijkheid om berichten te analyseren op basis van hun reputatie als afzender. En omdat CASE ook fungeert als de IronPort Anti-Spam and Reputation Filters engine, hoeft een bericht slechts één keer te worden gescand voor al deze toepassingen.

Hoge prestaties, lage kosten

De logica achter CASE-technologie kan zeer geavanceerd zijn en daarom zeer CPU-intensief te verwerken. Om de efficiëntie te maximaliseren, maakt CASE gebruik van een unieke "early exit"-technologie. Early exit geeft prioriteit aan de effectiviteit van de talloze regels die door CASE worden verwerkt. CASE-technologie voert de regels met de hoogste impact en de laagste kosten eerst uit. Als een statistisch oordeel wordt bereikt (positief of negatief), worden er geen aanvullende regels uitgevoerd, waardoor systeembronnen worden bespaard. De elegantie van deze aanpak is het hebben van een goed begrip van de effectiviteit van elke regel. CASE bewaakt en past de volgorde van uitvoering van de regel automatisch aan naarmate de werkzaamheid verandert.

Het resultaat van vroege exit is dat CASE-technologie berichten ongeveer 100 procent sneller verwerkt dan een traditionele op regels gebaseerde filter. Dit heeft duidelijke voordelen voor grote ISP's en ondernemingen. Maar het heeft ook voordelen voor kleine en middelgrote bedrijven. De efficiëntie van CASE, in combinatie met de effectiviteit van het AsyncOS-besturingssysteem van Cisco Email Security, betekent dat ESA's met AsyncOS- en CASE-technologie kunnen worden geïmplementeerd op zeer goedkope hardware - waardoor de kapitaalkosten worden verlaagd. 

Een andere manier waarop CASE-technologie zich vertaalt naar lage kosten, is door administratieve overhead te elimineren. CASE wordt automatisch afgestemd en bijgewerkt, duizenden keren per dag. Cisco Talos biedt technici die zijn opgeleid, meertalige technici en statistici. Cisco Talos-analisten hebben speciale tools die afwijkingen in de e-mailstroom markeren die worden gedetecteerd in het netwerk van Cisco Email Security-klanten of in wereldwijde e-mailverkeerspatronen. Cisco Talos genereert nieuwe regels die automatisch in realtime naar het systeem worden geduwd. Cisco Talos onderhoudt ook een enorm corpus van "spam en ham", dat wordt gebruikt om verschillende regels te trainen die door CASE worden gebruikt. De automatisch bijgewerkte CASE-regels betekenen dat beheerders het filter niet hoeven af te stemmen en aan te passen of tijd hoeven te besteden aan het doorzoeken van spam-quarantaines.

Samenvatting

Spam, virussen, malware, spyware, denial of service-aanvallen en directory harvest-aanvallen worden allemaal gedreven door hetzelfde onderliggende motief: winst. Deze winsten worden verkregen door de verkoop of reclame van goederen of diefstal van informatie. De winsten uit deze verkopen leiden tot steeds geavanceerdere aanvallen, ontwikkeld door professionele ingenieurs. Geavanceerde e-mailbeveiligingssystemen moeten een bericht in de breedst mogelijke context analyseren om deze bedreigingen tegen te gaan. De Context Adaptive Scanning Engine-technologie van Cisco Email Security stelt de vier basisvragen: Wie, Waar, Wat en Hoe - om legitieme berichten van gemengde bedreigingen uit te wissen. 

• "Wie" is de e-mailreputatie van de afzender - die het bericht heeft verzonden. 
• "Waar" is de reputatie van de bron die de website host - analyseren waar de link u naartoe zou brengen. 
• "Wat" is een analyse van de inhoud van het bericht - wat de boodschap bevat (systemen van de eerste generatie vertrouwen vaak alleen op het "Wat" -type analyse). 
• Ten slotte is "Hoe" een analyse van hoe de boodschap is geconstrueerd.

Dit basiskader voor het analyseren van wie, waar, wat en hoe werkt even goed voor het stoppen van spam als voor het voorkomen van virusuitbraken, phishing-aanvallen, spyware via e-mail of andere e-mailbedreigingen. De datasets en analyseregel sets zijn specifiek afgestemd voor elke dreiging. CASE-technologie stelt de Cisco ESA in staat om het breedste scala aan bedreigingen met de hoogst mogelijke efficiëntie te stoppen door deze bedreigingen op één krachtige motor te verwerken.