Dlhodobé skúsenosti s MIMEsweeper od Clearswift
K rozhodnutiu použiť MIMEsweeper (bývalý názov Mailsweeper) prišlo s rozmachom používania komunikácie pomocou elektronickej pošty. Jasne sme videli nástup všetkých možných hrozieb, ktoré ako nosič používajú práve e-mail.
V danej dobe boli na vrchole práve vírusy a podobná háveď, ktorá bola akýmsi tréningom pre dnešnú „popularitu“ viac maskovaných záškodníkov, ktorí sa už nesnažia poškodiť svojho hostiteľa a prešli na parazitovanie so záujmom čo najdlhšie sa na ňom udržať.
Medzi ďalšie veľké hrozby patrí notoricky známy spam a vo firemnom prostredí sa k týmto technickým opatreniam pridávajú aj ďalšie potreby. Príkladom je nevyhnutná kontrola a analýza prichádzajúcich príloh. Dôvody k nej sú rôzne, môžete ich označiť ako „big brother“ ale omnoho častejšie sú to technicky zamerané záležitosti. Nie je súčasťou tohto článku venovať sa motivácii ku „strojovej“ kontrola obsahu – naviac je toto slovné spojenie laicky chápané v paranoicky obmedzenom priestore a dovysvetľovanie ďalšich okolností je nesmierne vyčerpávajúce a pre laika ťažko vnímateľné.
Medzi primitívne spôsoby ochrany vnútornej siete patrí množstvo riešení nad existujúce poštové systémy obvykle postavené nad linuxovými záležitosťami typu „exim“, „sendmail“ atď. Spočiatku sa zameriavali hlavne na antivírusovú kontrolu. Neskoršie skúsenosti ukázali, že je výhodné blokovať niektoré nebezpečné typy príloh (.exe, .com, skripty atď.). Najjednoduchšie riešenia proste zisťovali príponu súborov a podľa toho sa rozhodli o zablokovaní (či dokonca odrezaní prílohy). Keďže ide o široko používané systémy, tak sa samozrejme rozšírila jednoduchá obchádzka a v mailoch používateľov sa vyskytuje veta „premenuj na .exe“ :-)
Akonáhle používateľský mainstream pochopil výhody e-mailu, tak sa rozšírilo do nebývalej miery preposielanie. Dnes je „FW“ synonymum pre ručnú distribúciu – niekto mi poslal mail s prílohou (mp3, pps, avi, …) a ja som to ďalej preposlal ľudom z môjho adresára.
Preto niektoré firmy stratili po problémoch s lavínami takýchto mailov trpezlivosť a ku spustiteľným popridávali aj prípony takýchto multimediálnych príloh.
Problémom detekcie podľa prípony je to, že to nie je detekcia. Ak premenujem príponu, súbor sa vnútri nemení a domnelá detekcia zlyháva. Musí nastúpiť analýza obsahu. A tým sa vraciame ku kontrole obsahu. Spočíva v analytických algoritmoch.
Práve systémy typu MIMEsweeper sú založené na analýze. Rozoberú mail a preskúmajú ho na základe charakteristík jednotlivých typov „mime“ v ich vnútri. Typicky totiž každý zo skúmaných typov súborov je možné kvalifikovať „čo to je“ aj bez prípony. Vnútri má totiž štruktúru, ktorej zmena či zamaskovanie by poškodilo súbor (typický problém: nejde mi spustiť príloha!).
Nasadili sme teda z dôvodov antivírusovej a antispamovej ochrany komplexnejší systém a voľba padla na MIMEsweeper. Dodnes som jednoznačným zástancom presne tohto riešenia. Prináša dostatočnú až vysokú schopnosť ochrany.
MIMEsweeper je software, ktorý po nainštalovaní robí „vrátnika“ medzi firmou a internetom. Je pomerne široko konfigurovateľný a dokážete riadiť jeho rozhodovanie pomocou stromu pravidiel a tie aplikovať za žiadaných podmienok.
Pre administrátora prináša webové rozhranie na rutinnú operátorskú obsluhu a na konfiguráciu používa MMC konzolu. Operátorská webová konzola je kvalitne vypracovaná a je z nej možné sledovať obsah karantén či stav servera.
Logika je asi táto: stanovíte si základné pravidlá na základe potrieb firmy. Preskúmate ich možnosti aplikovania a pokúsite sa definovať typy karantén, nastaviť parametre kontroly (scenáre). Popritom samozrejme bežné „poštárske“ nastavenia (routing a pod.). Administrátor systému obvykle zasahuje pri potrebe zmien správania systému.
Potom zistíte aké sú potreby pre operátorskú obsluhu systému. Operátori musia v systéme pracovať v podstate nepretržite resp. na základe vonkajších podnetov.
MIMEsweeper pracuje tak, že pravidlami v scenároch môžeme „nežiadúce“ e-maily zadržovať v karanténach. Tie opäť môžem široko konfigurovať. Napríklad po zaradení do karantény (môžem mať naraz niekoľko karantén podľa charakteru) sa môžu vygenerovať súvisejúce aktivity – napríklad e-mailová notifikácia postihnutému používateľovi.
Keďže charakter niektorých príloh môže vykazovať „nežiadúce“ znaky – napríklad video reklamnej kampane – ale systém nemá AI, tak iba ho technicky označí za „multimédia“ a zasunie do karantény. Preto sa oplatí aby systém o tom používateľa informoval a ponúkol mu riešenie (kontakt na operátora).
Celú logiku fungovania systému sme vypracovali ešte v začiatkoch používania a dodnes funguje prakticky bez zmien – tie spočívali v postupných upgrade a raste celého softwaru (pôvodná operátorská konzola bola v MMC, neskôr webová). Kým v prvých rokoch sme pôsobili do značnej miery exoticky, dnes majú identické systémy prakticky všetky dôležité firmy. Keďže miera prispôsobiteľnosti je široká, každá z firiem zvolila svoju vlastnú cestu a tak sa identický software môže prejavovať v každom prípade inak.
Mám odskúšanú rolu administrátora (vrátane návrhu celkovej koncepcie systému), operátora (nepríjemnejšia časť) a aj používateľa (hehe). Získal som kompletný prehľad v celej problematike kontroly prechádzajúcej elektronickej pošty a bez váhania odhaľujem všetky trendy. Či už v správaní používateľov, spamových lavín a pod.
Pokiaľ dnes budujete väčšiu firmu a snažíte sa poskytovať solídne prostredie pre elektronickú komunikáciu, nezabudnite, že systémy ako MIMEsweeper sú už nevyhnutnosť. :)
Informácie o systéme MIMEsweeper.
PS: toto nie je „komerčný“ článok. Píšem o ňom pretože ma to napadlo a pretože jeho kvality poznám.
tak hod nejake anonymizovane statistiky lavin :-)