O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
O aumento no volume de ameaças misturadas foi dramático. Muitas das manifestações as mais significativas do vírus nos dois anos passados foram associadas com a entrega do Spam – significar o payload do vírus cria um exército dos computadores do “zombi” – que são usados para enviar o Spam, o phishing, o spyware, e os ainda mais vírus. o spyware Email-carregado tem dobrado semestralmente, e não é raro para URL spammed instalar os “keyloggers” que roubam nomes de usuário e senha. Os vírus podem mesmo ser usados para criar uma rede dos zombis para lançar um ataque de recusa de serviço distribuído maciço, como quando a variação Mydoom.B tomou o Web site de SCO off line com um assalto coordenado.
Que está conduzindo o aumento repentino em ameaças misturadas? Em curto, é o dinheiro. Enquanto as técnicas do anti-Spam da primeira geração (como listas negras e filtros do índice) foram distribuídas mais extensamente, os métodos tradicionais (como a emissão do Spam de um banco fixo dos server que contêm uma “oferta” no texto da mensagem) tornaram-se menos rentáveis. Com mais redes usando a tecnologia do anti-Spam, menos mensagens “simples” do Spam fazem-lhe filtros do Spam do passado e na caixa de entrada do receptor. Isto fere as margens de benefício dos spammer e força-as para adaptar-se a estas mudanças.
Os spammer seguraram esta situação em duas maneiras distintas:
A segunda técnica transforma-se frequentemente uma atividade criminal. As redes do crime organizado foram estabelecidas para executar ataques e lucrar com vírus, phishing, e outras ameaças. Em 2004, um indivíduo nomeado John Dôvar foi prendido após a troca sobre dois milhão números do cartão de crédito, que foram roubados com os ataques do phishing.
As técnicas usadas em ataques misturados igualmente tornaram-se cada vez mais sofisticadas. O vírus Sober.N empregou o email, as transferências da Web, os Trojan, e os zombis. Os filtros tradicionais da análise de conteúdo não são nenhum fósforo para estas ameaças inteligentes. Muitos usuários de filtros do anti-Spam da primeira geração encontraram que precisam de passar horas crescentes “que treinam” seus filtros ou que escrevem regras novas. Contudo, apesar destes esforços, suas taxa de captura e taxa de transferência são ambos que diminuem. O resultado é que os custos escalam enquanto mais sistemas estão exigidos para prosseguir com a carga, quando mais tempo da administração estiver usado controlar cada sistema.
Cisco envia por correio eletrónico a Segurança endereçou estas ameaças com uma tecnologia misturada original da defesa da ameaça conhecida como o motor adaptável da exploração do contexto (CASO). Cisco envia por correio eletrónico a tecnologia do CASO da Segurança é usado para parar o Spam tradicional e ataques zombi-baseados sofisticados. Esta mesma tecnologia da exploração é usada igualmente para impedir vírus e malware tanto quanto 42 horas antes da Disponibilidade da assinatura – com uma única varredura unificada para a eficiência.
Os filtros da primeira geração foram projetados olhar o índice de uma mensagem e fazer uma determinação. Por exemplo, se a palavra “livre” apareceu em uma mensagem mais de duas vezes, junto com a palavra “erval,” era provavelmente Spam. Esta aproximação é relativamente fácil para que os spammer derrotem usando hidden caráteres ou números em vez das letras, tais como “f0r y0u” no lugar de “para você.” As técnicas de segunda geração, como filtros Bayesian, tentaram endereçar esta limitação aprendendo diferenciar automaticamente as características do Spam e do email legítimo. Mas estas técnicas provaram demasiado o desafio a treinar, a reagir demasiado tarde, e a retardar demasiado para fazer a varredura.
Dado as técnicas avançadas da ofuscação usadas com Spam de hoje, os filtros avançados precisam de examinar o correio recebido no contexto completo. O CASO usa as técnicas de aprendizagem avançadas da máquina que emulam a lógica usada por um ser humano que esteja avaliando a legalidade de uma mensagem. Um leitor humano, assim como Cisco envia por correio eletrónico a tecnologia do CASO da Segurança, faz quatro perguntas básicas:
Para seguir é um exame de cada área lógica avaliada.
Como indicado mais cedo, os filtros do Spam da primeira geração confiaram primeiramente em pesquisas de palavra-chave para identificar o Spam. Em 2003, Cisco (IronPort) revolucionou a indústria de Segurança do email introduzindo o conceito da filtração da reputação. Quando o filtragem de conteúdo fez a pergunta, “que está na mensagem? ”, a filtração da reputação faz a pergunta, “quem enviou a mensagem?”. Este conceito simples mas poderoso alargou o contexto por que as ameaças são avaliadas. Em 2005, quase cada vendedor comercial principal da Segurança tinha adotado algum tipo de sistema da reputação.
Determinar a reputação envolve examinar um conjunto de dados largo sobre o comportamento de um remetente dado (um remetente é definido como um IP address que envia o correio). Cisco considera sobre 120 parâmetros diferentes, incluindo o volume do email ao longo do tempo, o número do “de armadilhas Spam” batidas por este IP, por país de origem, se o host está comprometido, e por muito mais. Cisco tem uma equipe dos estatísticos que desenvolvem e mantêm os algoritmos, que processam estes dados para gerar uma contagem da reputação. Esta contagem da reputação é feita então disponível à ferramenta de segurança de recepção do email de Cisco (ESA), que pode então estrangular um remetente baseado em sua fiabilidade. Em curto – o “mais spammy” um remetente aparece, mais lentamente vai. A reputação que filtra igualmente endereça os problemas associados com os volumes de afluência do email pelas conexões de rejeição ou de estrangulamento antes que a mensagem esteja aceitada, assim melhorando dramaticamente o desempenho e a Disponibilidade do sistema de correio. Os filtros da reputação de Cisco ESA param mais de 80 por cento do Spam entrante, aproximadamente duas vezes a taxa de captura de sistemas de competência.
Quando a combinação de análise de conteúdo e de reputação do email era avançada em 2003, a sofisticação das táticas do escritor do spammer e do vírus continua a crescer. Na resposta, Cisco (IronPort) introduziu a noção da reputação da Web – um vetor novo crítico para alargar o contexto em que uma mensagem é avaliada. Similar à aproximação usada em calcular a reputação de um email, a reputação da Web de Cisco olha mais de 45 parâmetros relacionados do server para avaliar a reputação de toda a URL dada. Os parâmetros incluem o volume de pedidos do HTTP à URL ao longo do tempo, se a URL está hospedada em um IP address com uma contagem deficiente da reputação, se esta URL está associada com um “zombi conhecido” ou host contaminado do PC, e a idade do domínio usado pela URL. Como com reputação do email, esta reputação da Web é medida usando uma contagem granulada, que permita que o sistema trate as ambiguidades de ameaças sofisticadas.
Uma outra aproximação nova à análise do contexto da Segurança do email de Cisco é examinar a construção de uma mensagem. Clientes legítimos do correio, tais como o Microsoft outlook, mensagens da construção nos modos exclusivos – usando-se MIMICAR a codificação, o HTML, ou outros meios similares. Um exame da construção de uma mensagem pode revelar muito sobre sua legalidade. Dizer o exemplo deste ocorre quando um server do Spam tenta emular a construção de um cliente legítimo do correio. Isto é difícil de fazer, e uma emulation imperfeita é um indicador seguro de uma mensagem ilegítima.
Uma análise do contexto completa precisa de considerar o índice de uma mensagem, mas, como notável mais cedo, a análise de conteúdo sozinha não é uma suficiente aproximação a identificar o correio ilegítimo. Cisco envia por correio eletrónico a tecnologia do CASO da Segurança executa a análise de conteúdo completo, usando técnicas de aprendizagem avançadas da máquina. Estas técnicas examinam o índice da mensagem e marcar-lo em várias categorias – é financeiro, pornográfico, ou contém o índice que é sabido para correlacionar com o outro Spam? Esta análise de conteúdo é fatorada no CASO junto com os outros atributos – que, onde, como, e que – para avaliar o contexto completo da mensagem.
Devido à largura dos dados analisados pelo CASO, a tecnologia é usada em uma variedade de aplicativos da Segurança – incluir o Anti-Spam de IronPort (IPA), o Graymail, e os filtros da manifestação do vírus (VOF). O exemplo abaixo dos destaques como o CASO é usado para parar o Spam. O índice de mensagem é quase idêntico à organização que obtém phished, assim que a análise de conteúdo da mensagem não identificaria nenhuma ameaças. Aos filtros índice-baseados, esta mensagem parece ser uma comunicação legítima. Para determinar mesmo se esta mensagem é Spam, filtros que confiam primeiramente no “o que” poderia facilmente ser enganado em reconhecer a mensagem como legítimo. Contudo, uma análise do contexto completo da mensagem pinta uma imagem diferente.
Quando todos os três destes fatores são considerados no contexto, torna-se claro que esta não é uma mensagem legítima, mas é-se, de fato, um ataque do Spam.
“Filtros satisfeitos tradicionais” Que FILTROS SATISFEITOS encontram |
Exploração adaptável do contexto Que CASO encontra |
Que? Conteúdo de mensagem legítimo. |
Que? Conteúdo de mensagem legítimo. |
|
Como? A construção da mensagem emula o cliente de Microsoft Outlook. |
Quem? 1) Um impulso repentino no volume de email que está sendo enviado. 2) Em retorno, o mail server não aceita o correio. 3) Mail server situado em Ucrânia. |
|
Onde? 1) O ismatch A M. entre o indicador & o domínio do Web site do alvo URL registrou-se um dia há. 2) Web site hospedado na rede de banda larga do consumidor. 3) Os dados “WHOIS” mostram o proprietário do domínio como um spammer conhecido. |
|
Sentença: DESCONHECIDO |
Sentença: BLOCO |
Quando o CASO é usado em filtros da manifestação do vírus, os mesmos recursos de aprendizagem marcar e de máquina são aplicados – embora a um conjunto de dados separadamente ajustado. Os filtros da manifestação do vírus são uma solução anti-vírus preventiva oferecida por Cisco e posta pela tecnologia do CASO. A manifestação filtra mensagens das varreduras da solução contra as regras da manifestação do “tempo real” (emitidas por manifestações específicas de Cisco Talos) e “sempre-” nas regras adaptáveis (de que reside no CASO em todas as vezes), protegendo usuários contra manifestações antes que tenham uma possibilidade formar inteiramente. ENCAIXOTE permite filtros da manifestação do vírus de detectar exatamente e proteger contra manifestações do vírus em diversas maneiras. Primeiramente, o CASO pode rapidamente fazer a varredura das mensagens baseadas em parâmetros tais como a extensão de arquivo do acessório, do tamanho do arquivo, do nome de arquivo, das palavras-chaves do nome de arquivo, da mágica do arquivo (a extensão real de um arquivo), e de URL encaixadas. Porque a tecnologia do CASO analisa mensagens a este nível de detalhe, Cisco Talos pode emitir as regras extremamente granuladas da manifestação, que protegem exatamente contra uma manifestação com falsos positivos mínimos. O CASO pode dinamicamente receber regras actualizados da manifestação, que se assegura de que proteja contra as manifestações as mais atrasadas.
Além do que a análise das mensagens baseadas em regras da manifestação, a tecnologia do CASO igualmente faz a varredura das mensagens baseadas em regras adaptáveis. As regras adaptáveis são heurísticas e os algoritmos finamente ajustados que examinam mensagens recebida para as características da malformação e da falsificação indicativas dos vírus. Além do que estes parâmetros, as mensagens adaptáveis da contagem das regras baseadas em seu vírus de SenderBase marcam (SBVS). SBVS é uma contagem similar a uma contagem da reputação de SenderBase (SBR), mas com uma classificação baseada na probabilidade que o partido de emissão está enviando email virais, um pouco do que o Spam. Uma maioria do email viral é enviada por máquinas previamente contaminadas do “zombi”, assim que identificar e marcar estes partidos de emissão são um fator essencial em vírus de travamento.
Cisco envia por correio eletrónico a tecnologia do CASO da Segurança permite filtros da manifestação do vírus de parar bem manifestações do vírus antes das soluções anti-vírus tradicionais porque o CASO examina mensagens nas formas múltiplas. Tem a capacidade para analisar características numerosas de acessórios da mensagem, conteúdo de mensagem, e construção da mensagem, assim como a capacidade analisar as mensagens baseadas em sua reputação do remetente. E, porque o CASO igualmente atua como o Anti-Spam de IronPort e o motor dos filtros da reputação, necessidades de uma mensagem somente de ser feito a varredura definitivamente destes aplicativos.
A lógica atrás da tecnologia do CASO pode ser muito sofisticada, e consequentemente muito utilização de CPU processar. Para maximizar a eficiência, o CASO usa “uma tecnologia original da saída adiantada”. A saída adiantada dá a prioridade à eficácia das regras inumeráveis processada pelo CASO. A tecnologia do CASO executa as regras com o impacto o mais alto e o primeiro o mais barato. Se uma sentença estatística está alcançada (se positivo ou negativo), nenhuma regra adicional está executada, recursos de sistema de salvamento. A elegância nesta aproximação está tendo uma boa compreensão da eficácia de cada regra. ENCAIXOTE automaticamente monitores e adapte a ordem de execução da regra como a eficácia muda.
O resultado da saída adiantada é que a tecnologia do CASO processa mensagens aproximadamente 100 por cento mais rápido do que um filtro regra-baseado tradicional. Isto tem vantagens distintas para grandes ISP e empresas. Mas igualmente tem benefícios para pequenas e médias empresas. A eficiência do CASO, acoplada com a eficácia do sistema operacional do AsyncOS da Segurança do email de Cisco, significa que os ESA com AsyncOS e tecnologia do CASO podem ser executados no hardware muito barato – conduzindo abaixo dos custos principais.
Uma outra maneira a tecnologia do CASO que traduz aos baixos custos é eliminando a carga adicional administrativa. A CAIXA é ajustada e atualizada automaticamente, milhares de épocas cada dia. Cisco Talos fornece os coordenadores que são treinados, técnicos multilingues, e estatísticos. Os analistas de Cisco Talos têm as ferramentas especiais que destacam anomalias no fluxo de correio detectado na rede de todo o cliente da Segurança do email de Cisco, ou testes padrão de tráfego globais do email. Cisco Talos gerencie as regras novas que são empurradas automaticamente para o sistema no tempo real. Cisco Talos igualmente mantém um corpus maciço do “Spam e do presunto,” que é usado para treinar as várias regras usadas pelo CASO. As regras automaticamente actualizadas do CASO significam que os administradores não têm que ser de ajustamento e tweaking o filtro ou passando o tempo que vadeiam com as quarentena do Spam.
O Spam, os vírus, o malware, o spyware, o ataque de recusa de serviço, e os ataques todos da colheita do diretório são conduzidos pelo mesmo motriz subjacente – lucros. Estes lucros são alcançados com a venda ou a propaganda da mercadoria ou o roubo da informação. Os lucros destas vendas estão conduzindo os ataques cada vez mais sofisticados, desenvolvidos por coordenadores profissionais. Os sistemas de segurança avançados do email precisam de analisar uma mensagem no contexto possível o mais largo para opor estas ameaças. Cisco envia por correio eletrónico o contexto que da Segurança a tecnologia adaptável do motor da exploração faz as quatro perguntas básicas: Quem, onde, o que, e removem ervas daninhas Como para fora de mensagens legítimas das ameaças misturadas.
Este framework básico de analisar quem, onde, o que, e como os trabalhos igualmente bem para parar o Spam como faz impedindo manifestações do vírus, phishing atacam, spyware email-carregado, ou outras ameaças do email. Os conjuntos de dados e os grupos da regra da análise são ajustados especificamente para cada ameaça. A tecnologia do CASO permite que Cisco ESA pare a escala a mais larga das ameaças com a eficiência possível a mais alta processando estas ameaças em um único Engine de alto desempenho.