Cisco Email Security: Entendendo o mecanismo de varredura adaptável de contexto (CASE)

Introdução

O aumento no volume de ameaças combinadas tem sido dramático. Muitos dos surtos de vírus mais significativos nos últimos dois anos foram associados à entrega de spam - o que significa que a carga de vírus cria um exército de computadores "zumbis" - que são usados para enviar spam, phishing, spyware e até mais vírus. Os spywares transmitidos por e-mail vêm dobrando a cada seis meses, e não é raro que URLs com spam instalem "keyloggers" que roubam nomes de usuário e senhas. Os vírus podem até mesmo ser usados para criar uma rede de zumbis para lançar um ataque maciço de negação de serviço distribuído, como quando a variante Mydoom.B colocou o site da SCO off-line com um ataque coordenado.

O que está impulsionando o aumento repentino de ameaças combinadas? Resumindo, é o dinheiro. À medida que as técnicas antisspam de primeira geração (como listas negras e filtros de conteúdo) foram implantadas mais amplamente, os métodos tradicionais (como o envio de spam de um banco fixo de servidores contendo uma "oferta" no texto da mensagem) se tornaram menos lucrativos. Com mais redes usando tecnologia antisspam, menos mensagens "simples" de spam ultrapassam os filtros de spam e chegam à caixa de entrada do destinatário. Isso prejudica as margens de lucro dos spammers e os forçou a se adaptarem a essas mudanças. 

Os spammers trataram essa situação de duas maneiras distintas: 

1. Eles estão enviando ainda mais spam com a esperança de que o que eles perdem em taxas de entrega, eles vão compensar em volume.
2. Eles estão se voltando para ataques mistos para disfarçar suas mensagens e aumentar o lucro por mensagem.

A segunda técnica torna-se frequentemente uma atividade criminosa. Redes de crime organizado foram estabelecidas para executar ataques e lucrar com vírus, phishing e outras ameaças. Em 2004, um indivíduo chamado John Dover foi preso depois de trocar mais de dois milhões de números de cartão de crédito, que foram roubados através de ataques de phishing.

As técnicas usadas em ataques combinados também se tornaram cada vez mais sofisticadas. O vírus Sober.N empregava e-mail, downloads da Web, cavalos de Troia e zumbis. Os filtros de análise de conteúdo tradicional não correspondem a essas ameaças inteligentes. Muitos usuários de filtros antisspam de primeira geração descobriram que precisam passar cada vez mais horas "treinando" seus filtros ou criando novas regras. No entanto, apesar desses esforços, a taxa de captura e o throughput estão diminuindo. O resultado é que os custos aumentam à medida que mais sistemas são necessários para acompanhar a carga, enquanto mais tempo de administração é usado para gerenciar cada sistema. 

O Cisco Email Security abordou essas ameaças com uma tecnologia exclusiva de defesa contra ameaças combinadas, conhecida como CASE (Context Adaptive Scanning Engine, mecanismo de varredura adaptável de contexto). A tecnologia CASE do Cisco Email Security é usada para interromper tanto o spam tradicional quanto os ataques sofisticados baseados em zumbis. Essa mesma tecnologia de varredura também é usada para evitar vírus e malware até 42 horas antes da disponibilidade da assinatura, com uma única varredura unificada para eficiência.

Entendendo O CASO, detectando ameaças combinadas no contexto

Os filtros de primeira geração foram projetados para examinar o conteúdo de uma mensagem e fazer uma determinação. Por exemplo, se a palavra "gratuito" apareceu em uma mensagem mais de duas vezes, junto com a palavra "ervas", provavelmente era spam. Essa abordagem é relativamente fácil para os spammers a derrotar usando caracteres ocultos ou números em vez de letras, como "f0r y0u" em vez de "for you". Técnicas de segunda geração, como filtros Bayesianos, tentaram lidar com essa limitação aprendendo a diferenciar automaticamente as características de spam e e-mail legítimo. Mas essas técnicas provaram ser muito desafiadoras para serem treinadas, tardias demais para reagir e lentas demais para serem examinadas. 

Dadas as técnicas avançadas de ofuscação usadas com os spams de hoje, os filtros de última geração precisam examinar os e-mails recebidos em contexto completo. O CASE usa técnicas avançadas de aprendizagem automática que emulam a lógica usada por um humano que avalia a legitimidade de uma mensagem. Um leitor humano, assim como a tecnologia CASE do Cisco Email Security, faz quatro perguntas básicas:

1. Quem me enviou a mensagem?
2. Para onde os links na mensagem me levam?
3. Como a mensagem foi construída?
4. O que a mensagem contém?

Segue-se um exame de cada área lógica avaliada. 

Quem? 

Como dito anteriormente, os filtros de spam de primeira geração dependiam principalmente de pesquisas de palavras-chave para identificar spam. Em 2003, a Cisco (IronPort) revolucionou o setor de segurança de e-mail ao introduzir o conceito de filtragem de reputação. Enquanto a filtragem de conteúdo fazia a pergunta "O que há na mensagem?", a filtragem de reputação fazia a pergunta "Quem enviou a mensagem?". Este conceito simples, mas poderoso, ampliou o contexto pelo qual as ameaças são avaliadas. Em 2005, quase todos os principais fornecedores de segurança comercial adotaram algum tipo de sistema de reputação. 

Determinar a reputação envolve examinar um amplo conjunto de dados sobre o comportamento de um determinado remetente (um remetente é definido como um endereço IP que envia mensagens). A Cisco considera mais de 120 parâmetros diferentes, incluindo o volume de e-mail ao longo do tempo, o número de "armadilhas de spam" atingidas por esse IP, o país de origem, se o host está comprometido e muito mais. A Cisco tem uma equipe de estatísticos que desenvolve e mantém algoritmos, que processam esses dados para gerar uma pontuação de reputação. Essa pontuação de reputação é disponibilizada para o Cisco Email Security Appliance (ESA) receptor, que pode controlar um remetente com base em sua confiabilidade. Resumindo - quanto mais "spam" um remetente aparece, mais lento ele fica. A filtragem de reputação também aborda os problemas associados ao aumento de volumes de e-mail, rejeitando ou limitando conexões antes que a mensagem seja aceita, melhorando drasticamente o desempenho e a disponibilidade do sistema de e-mail. Os filtros de reputação do Cisco ESA param mais de 80% do spam recebido, aproximadamente o dobro da taxa de captura dos sistemas concorrentes.

Where? 

Embora a combinação de análise de conteúdo de e-mail e reputação fosse de última geração em 2003, a sofisticação das táticas dos spammers e criadores de vírus continua a crescer. Em resposta, a Cisco (IronPort) introduziu a noção de reputação da Web - um novo vetor crítico para ampliar o contexto em que uma mensagem é avaliada. Semelhante à abordagem usada no cálculo da reputação de um e-mail, o Cisco Web Reputation examina mais de 45 parâmetros relacionados ao servidor para avaliar a reputação de qualquer URL. Os parâmetros incluem o volume de solicitações HTTP para o URL ao longo do tempo, se o URL está hospedado em um endereço IP com uma pontuação de reputação ruim, se esse URL está associado a um host conhecido "zumbi" ou PC infectado e a idade do domínio usado pelo URL. Assim como com a reputação de e-mail, essa reputação da Web é medida usando uma pontuação granular, que permite que o sistema lide com as ambiguidades das ameaças sofisticadas.

Como? 

Outra abordagem inovadora para a análise contextual do Cisco Email Security é examinar a construção de uma mensagem. Clientes de e-mail legítimos, como o Microsoft Outlook, constroem mensagens de maneiras exclusivas, usando codificação MIME, HTML ou outros meios semelhantes. Um exame da construção de uma mensagem pode revelar muito sobre sua legitimidade. Um exemplo mais significativo disso ocorre quando um servidor de spam tenta emular a construção de um cliente de e-mail legítimo. Isso é difícil de fazer, e uma emulação imperfeita é um indicador confiável de uma mensagem ilegítima. 

O quê? 

Uma análise contextual completa precisa considerar o conteúdo de uma mensagem, mas, como observado anteriormente, a análise de conteúdo por si só não é uma abordagem suficiente para identificar e-mails ilegítimos. A tecnologia CASE do Cisco Email Security executa análise completa do conteúdo, usando técnicas de aprendizagem automática de última geração. Essas técnicas examinam o conteúdo da mensagem e o classificam em várias categorias: é financeiro, pornográfico ou contém conteúdo que se sabe se correlacionar com outros spams? Essa análise de conteúdo é fatorada em CASE junto com outros atributos - Quem, Onde, Como e O - para avaliar o contexto completo da mensagem.

CASO em ação

Devido à amplitude dos dados analisados pela CASE, a tecnologia é usada em uma variedade de aplicativos de segurança, incluindo IronPort Anti-Spam (IPAS), Graymail e Virus Outbreak Filters (VOF). O exemplo abaixo destaca como o CASE é usado para interromper spam. O conteúdo da mensagem é quase idêntico ao da empresa que está recebendo phishing, portanto, a análise do conteúdo da mensagem não identificaria nenhuma ameaça. Para os filtros baseados em conteúdo, esta mensagem parece ser uma comunicação legítima. Para determinar se essa mensagem é ou não spam, os filtros que dependem principalmente do "O que" podem ser facilmente enganados para reconhecer a mensagem como legítima. No entanto, uma análise do contexto completo da mensagem traça um quadro diferente.

• O endereço IP do servidor de envio de e-mail é suspeito - ele teve um aumento repentino no volume e o domínio, por sua vez, não aceita e-mail. 
• A URL do e-mail aponta para um servidor que parece estar em uma rede de banda larga de consumidor. 
• O URL anunciado na mensagem é diferente do URL "real" para o qual o usuário está navegando ao clicar no link.

Quando todos esses três fatores são considerados no contexto, fica claro que essa não é uma mensagem legítima, mas, na verdade, um ataque de spam.

"Filtros de conteúdo" tradicionais O que os FILTROS de CONTEÚDO encontram	Varredura adaptável de contexto O que o CASE encontra
O quê? Conteúdo de mensagem legítimo.	O quê? Conteúdo de mensagem legítimo.
	Como? A construção de mensagens emula o cliente Microsoft Outlook.
	Quem? 1) Um aumento repentino no volume de e-mails enviados. 2) Em troca, o servidor de e-mail não aceita e-mail.  3) Servidor de correio localizado na Ucrânia.
	Where? 1) Uma incompatibilidade entre o domínio do site da URL de exibição e de destino registrado há um dia. 2) Website hospedado na rede de banda larga do consumidor.  3) Os dados "Whois" mostram o proprietário do domínio como um remetente de spam conhecido.
Veredito: DESCONHECIDO	Veredito: BLOQUEIO

Quando o CASE é usado em filtros de detecção de vírus, os mesmos recursos de pontuação e aprendizagem automática são aplicados, embora a um conjunto de dados ajustado separadamente. Os filtros de detecção de vírus são uma solução antivírus preventiva oferecida pela Cisco e equipada com a tecnologia CASE. A solução de filtros de epidemia verifica as mensagens em relação às regras de epidemia "em tempo real" (emitidas por epidemias específicas do Cisco Talos) e às regras adaptáveis "sempre ativas" (que residem no CASE o tempo todo), protegendo os usuários contra epidemias antes que tenham tido a oportunidade de se formar completamente. O CASE permite que os filtros de detecção de vírus detectem e protejam-se contra ataques de vírus de várias maneiras com precisão. Primeiro, o CASE pode verificar rapidamente as mensagens com base em parâmetros como extensão de arquivo do anexo, tamanho do arquivo, nome do arquivo, palavras-chave do nome do arquivo, magia do arquivo (a extensão real de um arquivo) e URLs incorporados. Como a tecnologia CASE analisa as mensagens com esse nível de detalhes, o Cisco Talos pode emitir regras de detecção extremamente granulares, que protegem com precisão contra uma epidemia com o mínimo de falsos positivos. O CASE pode receber dinamicamente as regras de epidemia atualizadas, o que garante a proteção contra as epidemias mais recentes. 

Além da análise de mensagens com base em Regras de Epidemia, a tecnologia CASE também examina mensagens com base em Regras Adaptativas. As Regras Adaptativas são algoritmos e heurísticas finamente ajustados que examinam as mensagens recebidas em busca de características de malformação e falsificação indicativas de vírus. Além desses parâmetros, as Regras adaptáveis pontuam as mensagens com base na SenderBase Virus Score (SBVS). O SBVS é uma pontuação semelhante à SenderBase Reputation Score (SBRS), mas com uma classificação baseada na probabilidade de que o remetente esteja enviando e-mails virais, em vez de spam. A maioria dos e-mails de vírus é enviada por máquinas "zumbis" infectadas anteriormente, portanto, identificar e pontuar esses remetentes é um fator essencial na detecção de vírus.

A tecnologia CASE do Cisco Email Security permite que os filtros de detecção de vírus interrompam as epidemias de vírus muito antes das soluções antivírus tradicionais, pois o CASE examina as mensagens de várias maneiras. Ele tem a capacidade de analisar várias características de anexos de mensagens, conteúdo de mensagens e construção de mensagens, bem como a capacidade de analisar mensagens com base na reputação do remetente. E, como o CASE também atua como o mecanismo do IronPort Anti-Spam e Filtros de reputação, uma mensagem só precisa ser verificada uma vez para todos esses aplicativos.

Alto desempenho, baixo custo

A lógica por trás da tecnologia CASE pode ser muito sofisticada e, portanto, muito intensiva de processamento. Para maximizar a eficiência, o CASE usa uma tecnologia exclusiva de "saída antecipada". A saída antecipada prioriza a eficácia das inúmeras regras processadas pelo CASE. A tecnologia CASE executa primeiro as regras com maior impacto e menor custo. Se um veredito estatístico for alcançado (seja positivo ou negativo), nenhuma regra adicional será executada, economizando recursos do sistema. A elegância nesta abordagem é ter um bom entendimento da eficácia de cada regra. O CASE monitora e adapta automaticamente a ordem de execução da regra à medida que a eficácia é alterada.

O resultado da saída antecipada é que a tecnologia CASE processa mensagens aproximadamente 100% mais rápido do que um filtro tradicional baseado em regras. Isso tem vantagens distintas para grandes ISPs e empresas. Mas também traz benefícios para pequenas e médias empresas. A eficiência do CASE, juntamente com a eficácia do sistema operacional AsyncOS do Cisco Email Security, significa que os ESAs com tecnologia AsyncOS e CASE podem ser implementados em hardware de custo muito baixo, reduzindo os custos de capital. 

Outra maneira pela qual a tecnologia CASE se traduz em baixo custo é eliminando a sobrecarga administrativa. O CASE é ajustado e atualizado automaticamente milhares de vezes por dia. O Cisco Talos fornece engenheiros treinados, técnicos multilíngues e estatísticos. Os analistas do Cisco Talos têm ferramentas especiais que destacam anomalias no fluxo de e-mail detectadas em qualquer rede do cliente do Cisco Email Security ou em padrões de tráfego de e-mail global. O Cisco Talos gera novas regras que são automaticamente enviadas ao sistema em tempo real. O Cisco Talos também mantém um enorme corpus de "spam e presunto", que é usado para treinar várias regras usadas pelo CASE. As regras de CASO atualizadas automaticamente significam que os administradores não precisam ajustar e ajustar o filtro ou perder tempo varrendo quarentenas de spam.

Summary

Spam, vírus, malware, spyware, ataques de negação de serviço e ataques de coleta de diretório são todos motivados pelo mesmo motivo subjacente: lucros. Estes lucros são obtidos através da venda ou publicidade de mercadorias ou roubo de informações. Os lucros dessas vendas estão gerando ataques cada vez mais sofisticados, desenvolvidos por engenheiros profissionais. Os sistemas avançados de segurança de e-mail precisam analisar uma mensagem no contexto mais amplo possível para combater essas ameaças. A tecnologia Context Adaptive Scanning Engine do Cisco Email Security faz quatro perguntas básicas: Quem, onde, o que e como - eliminar mensagens legítimas de ameaças combinadas. 

• "Quem" é a reputação de e-mail do remetente - que enviou a mensagem. 
• "Onde" é a reputação da fonte que hospeda o site - analisando para onde o link o levaria. 
• "O que" é uma análise do conteúdo da mensagem - o que a mensagem contém (os sistemas de primeira geração normalmente dependem apenas do tipo de análise "O que"). 
• Finalmente, "Como" é uma análise de como a mensagem é construída.

Essa estrutura básica de análise de quem, onde, o que e como funciona tão bem para deter o spam quanto para evitar ataques de vírus, ataques de phishing, spyware transportado por e-mail ou outras ameaças por e-mail. Os conjuntos de dados e de regras de análise são ajustados especificamente para cada ameaça. A tecnologia CASE permite que o Cisco ESA detenha a mais ampla gama de ameaças com a maior eficiência possível, processando essas ameaças em um único mecanismo de alto desempenho.