СВІТ IT

Proventia Mail Filter

Електронна пошта стала невід’ємною складовою бізнесу. Але супроводом до зручності та швидкості обміну інформацією засобами електронної пошти є проблеми, пов’язані зі спамом, вірусами, витоком службової інформації та інші загрози. Для подолання цих проблем необхідно застосовувати засоби захисту, які здатні у режимі реального часу аналізувати усі вхідні та вихідні потоки пошти.

Програмний продукт Proventia Mail Filter компанії Internet Security Systems дозволяє ефективно боротися зі спамом, блокувати віруси, небажаний вміст поштових відправлень і приєднаних файлів, в результаті чого звільняються ресурси мережі, підвищується продуктивність і забезпечується захист від витоку конфіденційної інформації через електронну пошту.
Ефективна фільтрація Proventia Mail Filter забезпечується глибоким аналізом поштових відправлень в поєднанні з вичерпною базою більш ніж 200 000 методів спаму і 20 мільйонів WEB-сайтів. В процесі фільтрації поштові повідомлення звіряються з базою спаму, встановленими текстовими категоріями, одночасно перевіряються за базою WEB-сайтів адреси URL, які містяться в пошті. До складу Proventia Mail Filter входить спеціалізований модуль розпізнавання графічних зображень, який може блокувати небажані графічні об’єкти, наприклад порнографічного змісту. На відміну від систем фільтрації інших виробників, які обмежуються порівнянням адрес з чорним списком та пошуком за ключовими словами, Proventia Mail Filter здійснює інтелектуальний аналіз тексту і присвоює йому одну з категорій. Вбудований модуль Proventia Mail Filter Spam Learn постійно оновлює базу спаму та URL і чотири рази на день розсилає її кінцевим користувачам, що забезпечує актуальний захист в режимі реального часу. Завдяки багаторівневу аналізу різних ознак спаму та небажаної пошти система забезпечує високу достовірність фільтрації і не блокує поштові повідомлення, які відносяться до інформаційного обміну компанії.

Proventia Mail Filter аналізує вихідні поштові повідомлення і блокує листи, зміст яких може привести до втрати інтелектуальної власності компанії, або витоку конфіденційної інформації. Системою проводиться аналіз тексту, графічних зображень і приєднаних документів незалежно від їх формату. Система дозволяє створювати гнучкі політики безпеки шляхом встановлення правил для вхідних і вихідних повідомлень. Автоматичне сканування документів запобігає витоку навіть окремих фрагментів конфіденційної інформації (наприклад фінансових звітів чи контрактів). Proventia Mail Filter розпізнає більше 80 різних типів hyperlinks, що дозволяє заблокувати небажаний вміст пошти як наприклад гороскопи чи вітальні листівки.

Впровадження Proventia Mail Filter дасть компанії наступні переваги:

підвищиться продуктивності праці співробітників;

знизяться витрати на обслуговування мережі;

дозволить захистити службову інформацію і репутацію компанії.

Архітектура

Proventia Mail Filter встановлюється між корпоративною мережею і Інтернет. Система налаштовується на роботу з існуючим сервером SMTP.

До складу системи входять 3 компоненти:

Proventia Mail Filter Server;

Proventia Mail Filter Management Console;

Content Analysis Library (CAL).

Proventia Mail Filter Server імплементує обрану політику безпеки, переглядає усі вхідні та вихідні повідомлення, що проходять через SMTP сервер і відбирає ті, які відповідають встановленим критеріям.

Консоль управління Proventia Mail Filter Management Console надає графічний інтерфейс для конфігурування політик безпеки і перегляду статистичних даних, з консолі здійснюється конфігурування сервера.

Content Analysis Library містить низку модулів фільтрації які дозволяють виявляти шкідливий контент у документах різних форматів, у тому числі архівованих. В кожному з правил, які адміністратор встановлює при конфігуруванні політики можуть бути задіяні декілька модулів аналізу.

Proventia Mail Filter може інтегруватися зі службами директорій Microsoft Windows NT Domain Active Directory, або Lightweight Directory Access Protocol (LDAP). Така інтеграція дозволяє використовувати облікові записи користувачів і групи при формуванні правил політики безпеки.

Впровадження

Типовий сценарій розгортання передбачає встановлення Mail Transfer Agent між внутрішньою мережею та Інтернет. Поштовим сервером може слугувати Microsoft Exchange server або Postfix SMTP server. При такому розгортанні Proventia Mail Filter служить ретранслятором для поштового серверу і фільтрує поштовий трафік в обох напрямках.

Аналіз вмісту(Content Analysis)

Вмістом (content) пошти може бути текст, графічні образи, файли відео, архіви, документи у різних форматах і т.д. Основними технологіями аналізу вмісту є Optical Character Recognition (OCR), система розпізнавання логотипів, торгових марок і символів. Доповнюють ці базові технології системи категорування графічних образів, тексту, цифрових відбитків і навіть детектор оголеності.

Взаємодія CAL з Proventia Mail Filter

Для кожного поштового повідомлення аналіз здійснюється у чотири етапи.

Перший етап: Розпізнавання типу файла

До поштового повідомлення можуть бути приєднані файли різних типів. Інколи, внаслідок перейменування, за розширенням не можна визначити тип файлу. У цьому випадку CAL визначає тип за характерними ознаками, що містяться безпосередньо у самому файлі. Коли у невідомому файлі відсутні ознаки будь-якого формату, Proventia Mail Filter може блокувати поштове повідомлення.

Другий етап: розчленування контенту файлів

Приєднані файли можуть містити різний контент, наприклад архів може містити в собі файли різних форматів, файли Word можуть включати графічні зображення. Тому на другому етапі здійснюється розчленування файлів і виділення окремо кожного виду контенту.

Третій етап: аналіз контенту

На третьому етапі вбудовані в CAL модулі здійснюють аналіз контенту відповідно до своєї спеціалізації:

Keyword Search

Pornography Detector

Media Type

Source Code Detector

Text Categories

Important Documents

URL Checker

Attachment Checker

Message Field Checker

Virus Detector

Spam Detector

Результати роботи одного модуля можуть бути вхідними даними для іншого.Так, наприклад, якщо аналіз графічного файлу показав наявність у ньому зображення тексту, то цей текст розпізнається і передається модулю, який аналізує текст за ключовими словами.

Четвертий етап: побудова резюме за результатами аналізу

Після аналізу будується детальна формальна характеристика поштового повідомлення, яка потрібна для Proventia Mail Filter, щоб отримані дані можна було правильним чином співвіднести з категоріями поштових відправлень і заданими правилами політики безпеки. Дані про поштове повідомлення генеруються в форматі XML і можуть в подальшому використовуватися як для аналізу, так і для звітності.

Функціонування модулів CAL

Keyword Search (модуль пошуку ключових слів)

Модуль здійснює пошук ключових слів, або їх комбінацій в будь-якому тексті. Модуль допускає застосування символів підстановки (wildcards). Наприклад:

1. Confidential contract - ідентифікує контент, в якому слово “confidential” стоїть біля слова “contract” у тексті документу.
2. Porn* - ідентифікує контент, в якому міститься будь-яке слово, яке починається префіксом “porn” (pornographic, pornsite і т.д.)

Important Documents (модуль контролю важливих документів)

Модуль дозволяє запобігти витоку конфіденційних документів. Для функціонування цього модулю в Proventia Mail Filter передбачений окремий репозиторій документів. У такий спосіб можуть бути захищені будь-які дані:контракти, файли проектів, дані про клієнтів, фінансові дані і т.д. Необхідно лише ввести інформацію про місце зберігання таких документів (надані у спільне користування директорії, файлові сервери і т.і.) до Proventia Mail Filter, після чого система автоматично будує спеціальну базу даних (репозиторій) з зазначенням усієї інформації, необхідної для ідентифікації документів з метою їх перехоплення при спробі долучити такий документ, або його частину до поштового відправлення. Для ідентифікації документу за його частиною достатньо, щоб у поштовому відправленні було знайдено декілька рядків, що відповідають оригіналу. При наявності у документі графічних образів, система однозначно їх ідентифікує навіть у випадку зміни графічного формату, або зміни роздільної здатності графічного образу.

Porn Detector ( Порнодетектор)

Модуль ідентифікує графічні зображення порнографічного змісту шляхом виявлення оголених частин тіла з застосуванням декількох алгоритмів. Спочатку локалізуються всі обличчя, після чого інформація про колір, текстуру і відтінки шкіри використовується для аналізу решти зображення. Якщо в зображенні відсутні обличчя, за вихідну інформацію приймаються типові параметри, закладені у базі даних, яка побудована на основі великої кількості зразків.

Media Type (модуль визначення формату)

Інколи буває потрібно ідентифікувати певні типи файлів. Цей процес здійснюється шляхом аналізу наявності у файлі певних бінарних послідовностей. Наприклад, можна блокувати пересилання будь-яких файлів у форматі PDF навіть після того як ці файли були навмисно перейменовані в файли з розширенням .jpg, ущільнені у ZIP архів, а сам архів перейменований в файл з розширенням .doc.

Source Code Detector (детектор програмного коду)

В деяких організаціях програмний код та скрипти і сторінки HTML можуть становити інформацію, витік якої необхідно блокувати. Модуль Source Code Detector, може ідентифікувати уривки коду написаного різними алгоритмічними мовами (C++, Visual Basic,Java, Perl, SQL, HTML та інші)

Text Categories (Модуль категорування тексту)

Модуль категорування тексту може бути використаний для аналізу змісту тексту. На відміну від модуля Keyword Search аналіз здійснюється не за ключовими словами, а
на основі семантики і статистичних методів обробки. Текст розбивається на частини, кожна з яких порівнюється з наперед зформованими категоріями. Існуюча база даних категорій містить розділи порнографії, злочинності, насильства та інші. До бази постійно долучаються нові актуальні категорії та розширюються і уточнюються характеристики існуючих категорій. Застосування модуля категорування тексту дозволяє блокувати небажану пошту навіть за відсутності у контенті характерних ключових слів.

Spam Detector (детектор спаму)

Спам є однією з найбільш розповсюджених проблем. Він не лише несе в собі небажаний контент, але і завантажує телекомунікаційні канали і відволікає системні ресурси. Детектор спаму виявляє спам у поштових відправленнях і повідомляє про це Proventia Mail Filter. Spam Detector застосовує декілька методів виявлення спаму:

Spam Online Classifier

Spam Signature Database

Spam URL Check

Spam Heuristics

Детальний опис механізмів виявлення спаму наведений в документі ProventiaMailFilter_Techwhitepaper.pdf

Virus Detector (детектор вірусів)

Електронна пошта є одним з каналів розповсюдження вірусів, тому в Proventia Mail Filter вбудований окремий модуль, який здійснює сканування пошти для виявлення і блокування вірусів.

URL Checker (модуль контролю адрес)

Цей модуль порівнює дані, які містяться в електронному листі з адресами Інтернет, які зберігаються у базі даних. База даних адрес розбита на 58 категорій і постійно оновлюється.

Message Fields Checker (модуль перевірки заголовків)

Модуль дозволяє здійснювати пошук у заголовках поштового відправлення. Для конфігурування критеріїв пошуку адміністратор може використовувати готові макроси.

Attachment Checker (модуль контролю вкладень)

Можливість надсилати разом з поштовим повідомленням приєднані файли широко використовується у повсякденному листуванні, в той же час користувачі досить часто приєднують до листів файли значних обсягів, які не стосуються службової діяльності, що призводить до марного завантаження ресурсів і розповсюдження небажаного контенту. Модуль контролю вкладень перевіряє приєднані файли на відповідність наперед заданим критеріям (кількість приєднаних файлів, їх обсяг), що дозволяє, за необхідності, блокувати відправлення з недозволеними вкладеннями.

Концепція фільтрації у Proventia Mail Filter

Кожне поштове відправлення, яке проходить через Proventia Mail Filter аналізується шляхом перевірки на відповідність встановленим правилам. Розмежування фільтрації в правилах здійснюється за принципом:

WHO – хто надсилає, чи кому надсилають листа.

WHEN – коли надсилається лист.

WHAT – що міститься у листі.

ACTION – які дії повинна виконати система після того, як з’ясовані перші три пункти.

Фільтрація за E-mail адресою

Самий простий і дієвий спосіб контролю за поштовими потоками – скласти список адрес, на які дозволено відправляти пошшту і з яких дозволено отримувати пошту.

Фільтрація користувачів і груп

Така фільтрація дозволяє забороняти чи дозволяти пошту для користувачів чи груп користувачів у відповідності до їх повноважень. Для спрощення адміністрування можуть використовуватися облікові записи і групи, які зформовані Directory Service.

Фільтрація за критерієм WHAT (які дані передаються чи отримуються)

При такій фільтрації порівнюються вимоги встановлених правил з результатами аналізу контенту, який здійснюють модулі CAL.

Реагування

В правилах політики безпеки необхідно вказати які дії повинна виконати Proventia Mail Filter в залежності від отриманих результатів фільтрації. Такими діями можуть бути:

Allow (дозволити);

Block (заблокувати);

Delete (знищити);

Delay (затримати на певний час);

BCC (направити отримувачу копію листа з вилученим контентом);

Report (доповісти);

Store (зберегти);

Send Mail (відправити поштове повідомлення);

Daily Report (включити у звіт);

Modify (модифікувати);

Remove Attachment (видалити вкладення).

Системні вимоги

Windows 2000/2003 або Windows XP;