Jak si vybrat ideální antispam?

1. 10. 2010

Sdílet

Antispamová aplikace, hardwarová appliance nebo hostovaná služba? To je jedna z mnoha nutných voleb při bitvě se spamem. Má se volit pouze filtrační systém, nebo by měl zahrnovat i prevenci úniku dat? K této problematice přinášíme několik doporučení.

Na nejzákladnější úrovni chrání podnikové systémy, jako jsou třeba UTM zařízení či specializované brány, před e-mailovými hrozbami tím, že identifikují a mažou nežádoucí poštu a zprávy zaslané se zlými úmysly. Mezi hlavní hrozby patří podle organizace Radicati Group viry, útoky zaměřené na získání adres a také útoky s cílem způsobit odepření služby (DoS).

„Tyto systémy rozšířily svou působnost, aby udržely krok se zvýšenou potřebou shody s předpisy a s neustále se vyvíjejícími e-mailovými hrozbami obsahujícími phishing a distribuci adres URL s malwarem,“ uvádí Chenxi Wangová, analytička společnosti Forrester Research.

Mnoho systémů nyní například podporuje antivirovou kontrolu, filtrování obsahu pro příchozí a odchozí e-maily, webové protokoly a zasílání rychlých zpráv. Nabízené funkce zahrnují i šifrování, archivaci a e-discovery. Všechny uvedené možnosti jsou podporovány buď přímo, nebo prostřednictvím integrace se systémy dalšími. Forrester nazývá takový typ systému „filtrování e-mailů“ zatímco společnost Radicati používá pojem „zabezpečení e-mailů“ a Gartner volí termín „e-mailová brána“.

Antispamové systémy existují ve třech podobách: jako aplikace, jako appliance či hostovaná služba. Ačkoli je softwarová podoba podle firmy Radicati současně největším segmentem, mají být v příštích čtyřech letech appliance nejrychleji rostoucí kategorií s rychlostí meziročního nárůstu více jak 50 %. Druhou nejrychleji rostoucí kategorií jsou podle Radicati hostovaná řešení.

„Zájemci stále více chtějí řešení filtrování e-mailů na klíč,“ prohlašuje Wangová. To vysvětluje popularitu appliancí a rostoucí zájem o hostované služby, protože obě tato řešení snižují náklady a zjednodušují správu.

Gartner očekává, že se objeví i další hybridní řešení obsahující appliance u zákazníka doplněnou o hostované služby -- oboje se společnou správou přes jedno rozhraní a s možností snadno migrovat funkce oběma směry.

Radicati předpovídá všem třem antispamovým segmentům mírný nárůst z více než 3,9 miliardy dolarů v roce 2008 na více než 6,2 miliardy v roce 2012.

Organizace jsou vybízeny, aby se před e-mailovými hrozbami chránily kvůli nákladům spojeným se zvládáním spamu, ztrátě produktivity uživatelů, odstávkám sítě, nákladům za šířku pásma a také z důvodu zachování důvěrnosti a shody s předpisy. Protože má mnoho společností již nějaký antispamový systém nainstalovaný, bude výrazná část růstu trhu tvořena upgradováním a náhradami těch stávajících, tvrdí Radicati.

 

Když Forrester v nedávné studii hodnotil dodavatele filtrování e-mailu, zahrnul subjekty nabízející následující možnosti:

* Antispam, antivirus a filtrování obsahu pro příchozí i odchozí e-mailovou komunikaci.

* Podpora zásad pro zajištění shody s legislativou, jako jsou například zákony HIPAA, PCI DSS, Sox a Gramm-Leach-Bliley Act.

* Možnosti filtrování mimo e-mail, tj. například pro webovou komunikaci a zasílání rychlých zpráv.

 

Tipy pro správný výběr

Požadujte více než jen funkce antispamu.

„Spam tvoří 80 až 90 procent veškerých soudobých emailů, takže antispamový systém začíná být neodmyslitelný,“ prohlašuje Peter Firstbrook, analytik Gartneru a dodává, že všechny současné systémy dokážou blokovat téměř veškerý spam.

Pokud však dnes kupujete antispamový systém, ujistěte se, že jeho funkce sahají dále a že nabízejí funkce komplexnější ochrany e-mailové komunikace, jako jsou např. systémy DLP (ochrana před ztrátou dat) nebo šifrování.

„I když takové funkce nemáte v úmyslu používat nyní, budete je požadovat během příštích tří nebo čtyř let,“ uvádí Firstbrook. „Potřebujete si koupit platformu, která vám umožní rozšiřování bez nových investic do jiného podobného řešení.“

„Takové pokročilé funkce v současné době dostupná řešení skutečně odlišují,“ tvrdí Firstbrook. Programy DLP dokáží prohledávat těla a hlavičky e-mailů, zda neobsahují informace, které by vyžadovaly speciální ochranu (rodná čísla, čísla kreditních karet, zdravotní záznamy atd.) a poté použijí podnikové zásady, aby zajistily potřebné akce, které je nutné vykonat -- včetně blokování a šifrování.

Nyní některé státy schvalují zákony vyžadující, aby byly informace umožňující osobní identifikaci šifrovány, takže v podstatě „velmi potřebujete systém DLP, abyste požadavkům dokázali vyhovět,“ upozorňuje Firstbrook.

Jeff Strang, ředitel IT ve společnosti Dakota Growers Pasta -- třetí největší výrobce těstovin ve Spojených státech -- uvádí, že zkoumá schopnosti šifrování antispamového systému firmy Proofpoint založeného na poskytování služby. Jeho společnost začala tento produkt využívat před necelým rokem. „Poskytuje inteligentní analýzu příloh a rozhoduje, zda by měly být šifrované,“ pochvaluje si.

Bob Clarke, síťový správce u finanční organizace United Bank and Trust podobně prověřuje webový filtrovací modul řešení, které nabízí Google/Postini. „I když dovolíte procházet daný web, můžete blokovat škodlivý obsah tak, aby neprošel,“ popisuje. „Zatím jsme nedospěli k rozhodnutí systém nasadit, ale uvažujeme nad tím.“

V bance Franklin Synergy používá ředitel IT, Kevin Herrington, pět appliancí od firmy Barracuda, včetně archivátoru a zálohování e-mailu, webového filtru, vyvažování zátěže připojení a antispamu.

 

Zvažte využití cloud computingu

Forrester předpovídá rostoucí využívání hostovaných nebo na cloudu založených služeb filtrování e-mailů, zejména v souvislosti s tím, jak zájemci požadují řešení na klíč, které neklade velké nároky na čas ohledně své správy. Tato výzkumná firma také tvrdí, že hostovaná řešení poskytují nižší celkové náklady na provoz, rychlé zřizování uživatelů a méně problémů pro interní provoz IT.

Firstbrook souhlasí, že mnoho společností preferuje hostovaná řešení. „Z perspektivy nákladů se cena snižuje na 12 dolarů za uživatele ročně a u velkých firem dokonce až na 6 dolarů za uživatele ročně.“

Strang zvolil hostovaný přístup, protože chtěl řešení umístěné mimo vlastní síť firmy Dakota Growers. „V minulosti jsme měli problémy s tím, že zabezpečovací software pro e-mail ovlivňoval naše hardwarové vybavení,“ vysvětluje.

Líbí se mu, že Proofpoint nabízí jak hostovaný systém, tak i řešení využívající appliance. „Pro žádnou z našich služeb jsme dosud nepoužívali model hostování, takže bylo potřebné tuto flexibilitu získat,“ uvádí. „Pokud by něco nefungovalo dobře, mohli bychom použít stejné řešení a umístit applianci přímo u nás.“

„Na základě kladných výsledků, kterých jsme dosáhli, ale nakonec přecházíme na hostované řešení i v ostatních oblastech našeho podnikání,“ pochvaluje si Strang. Například razantně ubylo hovorů na linku podpory související se spamem a společnost fungovala šest měsíců bez nutnosti volat firmě Proofpoint kvůli řešení nějakého problému souvisejícího s podporou.

Clarke v United Bank & Trust vybral hostovaný systém Google/Postini, protože bylo snadnější ho spravovat. „Jen jsme vytvořili účty pro uživatele, ukázali jim, jak mají funkci používat, a spam již nikdy nezasáhl naši síť,“ dodává. U 45 osob, kterým zajišťovali podporu dva zaměstnanci oddělení IT, „je to o úkol méně, který by se jinak musel interně zvládnout,“ uzavírá Clarke.

 

Počítejte s laděním, pokud koupíte applianci

Herrington z banky Franklin Synergy, zvolil applianci Barracuda, protože ji už používal jako IT manažer v jiné bance. Předtím, než opustil svého předchozího zaměstnavatele, si udělal kopie konfigurací, na kterých velmi těžce pracoval, aby je přivedl k dokonalosti, takže je nyní v bance Franklin mohl použít.

„Strávil jsem velmi mnoho času laděním konfigurací, abych zastavil obyčejný spam a umožnil průchod skutečným e-mailovým zprávám,“ uvádí. Konfigurace zahrnují hodnotící kritéria pro spam, které určují, co bude označeno nebo blokováno, stejně jako funkce tzv. whitelistingu definujícího domény považované za bezpečné. „Musel jsem si s těmito čísly docela vyhrát a nakonec nalézt takové, co pracují dobře,“ vysvětluje.

 

Posuďte výkon

„Výkon a propustnost při zpracování velkých objemů e-mailů může z produktu udělat úspěšný systém, nebo ho naopak pohřbít,“ varuje Wangová. V některých organizacích, kde spam tvoří až 14 z 15 příchozích e-mailů „určuje výkon filtrovacího řešení, zda zaměstnanci firmy dostanou e-mail včas, nebo zda budou e-maily každého uživatele filtrovacím procesem zpožděny a některé z nich dokonce smazány.“

 

Zkoumejte, jak dodavatel drží krok s novými technikami

Dan Blum, analytik Burton Group, srovnává boj se spamem se závody ve zbrojení, které vyžadují více úrovní neustále rostoucí ochrany. Hlavní zbraně zahrnují filtrování na základě reputace odesilatele a odesílající domény, klíčové ověření domény, aktivní kontrolu obsahu zahrnující obrázky a heuristickou analýzu zpráv.

Spamovací techniky se neustále mění, takže je důležité, aby je dodavatel dokázal rychle odhalit a reagovat na nové spamové kampaně, které se mohou vyhnout filtrům, radí Firstbrook. Clarke uvádí, že Google/Postini aktualizuje spamové filtry každý den a efektivně zachytí více než 95 procent spamu. Existují případy, kdy některé nové techniky nezachytí, „a nás se potom uživatelé telefonicky ptají, proč něco takového dostali,“ popisuje.

 

Zvažte potřebu dodržení shody s legislativou

„Požadavky legislativy nadále ovlivňují a formují antispamový trh,“ popisuje Wangová. Systémy nyní obsahují technologie inteligentního filtrování obsahu, aby chránily před nedovolenými úniky soukromých a důvěrných dat, stejně jako nabízejí integraci s technologiemi archivace a e-discovery.

Clarke uvádí, že zkoumal archivační schopnosti e-mailového řešení Google/Postini, zda vyhovují předpisům. Nakonec však podle svých slov zvolil řešení, které je pro jeho účely levnější a snáze se používá, protože je založeno na počtu uživatelů a ne na množství archivovaných dat. „Naše uživatelská základna se moc nemění, ale objem dat se měnit bude. Je praktické mít oddělené systémy,“ dodává.

 

Určete, kolik vlivu ponecháte koncovému uživateli

Některé systémy umožňují koncovým uživatelům kontrolovat seznam e-mailů v karanténě, tedy e-mailů, které byly označeny za spam. Je na konkrétním správci, aby určil, kolik vlivu ponechá uživatelům, aby mohli seznam kontrolovat. „Někteří nechtějí, aby uživatelé mohli prohlížet seznam s označenými e-maily z důvodu snadné použitelnosti nebo rizika, že by se uživatel mohl špatně rozhodnout,“ tvrdí Blum. „Mohli by otevřít zprávu, která je phishingovým útokem, a odpovědět na ni.“ Jiní naopak chtějí mít karanténu přístupnou, aby neriskovali ztrátu autentických e-mailů chybně označených za spam.

Clark z United Trustu uvádí, že většina uživatelů nerada dostává každodenní oznámení o karanténě e-mailů. Nastavil službu tak, aby uživatelé mohli volně kontrolovat obsah karantény. Mají možnost e-maily schválit a sdělit službě, aby od daného odesilatele poštu již nikdy neblokovala, nebo mohou přidat adresy a domény na seznam obsahující položky vždy považované za spam.

„Zaznamenali jsme, že pokud to budete dělat jeden měsíc a kontrolu provádět dvakrát až třikrát týdně, je riziko mylného označený e-mailů malé,“ prohlašuje. Sám kontroluje e-maily ve své karanténě dvakrát týdně a „potřeba rušit karanténu je skutečně mizivá.“

Strang oceňuje flexibilitu přehledu zpráv od Proofpointu, protože může vše vyřešit přímo z reportu, který kontroluje každý den. „Mohu přejít na účet a spravovat ho nebo jen dostat seznam, který mne informuje, co bylo zablokováno. Mohu přejít na web a provést tam schválení, odmítnutí a odblokování.“

 

Zjistěte poměr správných a nesprávných detekcí

„Bohužel není snadné získat dobrá a nezávislá testovací antispamová data podobně, jako je to možné u antivirové kontroly,“ upozorňuje Blum. „Je velmi těžké provést testování, které by porovnalo dodavatele,“ dodává. Zákazníci se mohou pokusit porovnat základní poměr správných a nesprávných detekcí referencemi od podobných subjektů s obdobnými e-mailovými potřebami nebo mohou provést ověření konceptu.

 

Hledejte integraci s filtrováním webu

Často jsou e-mailové hrozby spojeny s hrozbami vyžadujícími po uživatelích kliknutí na nějakou adresu URL. Z toho důvodu obsahuje podle Bluma dobrý antispamový systém schopnost filtrování webu nebo nabízí integraci s takovým systémem, takže může zkontrolovat reputaci dotyčné adresy URL. „Takový druh propojení je fantastický,“ dodává Blum.

bitcoin_skoleni

 

Tento článek vyšel v tištěném SecurityWorldu 1/2010.