你的郵件被標記為垃圾郵件嗎? IP信譽評比技術與垃圾郵件防護

在今天,垃圾郵件(SPAM)可能不是最受關注的威脅,但它仍然是每天都要面對的嚴重問題。光是我們的使用者,每月就要處理數十億封的垃圾郵件。而且它們也常被用來透過附加檔案或惡意網站連結來散播惡意軟體。

spam

處理垃圾郵件最有力的工具之一是IP信譽評比技術。它會檢查電子郵件的寄送IP地址來和已知曾送過垃圾郵件的IP地址比對。這些IP地址來自於外部來源或內部威脅情報來源。

IP信譽評比技術是必要的,因為所有企業所要面對的垃圾郵件是相當的巨量。只靠內容或是內嵌連結來過濾電子郵件是無法處理這麼大的數量。IP信譽評比技術可以封鎖大量的垃圾郵件,也讓企業耗費較少的資源。這同時也減少其他安全解決方案(像內容和檔案掃描)的負擔。透過回應的錯誤訊息,電子郵件發送者可以知道為什麼他們的訊息沒有被接受的原因。

許多企業都依靠電子郵件作為主要通訊工具。因為有越來越多垃圾郵件出現在他們的信箱,他們也一直在尋找垃圾郵件過濾解決方案。IP信譽評比技術在這方面是個很好的解決方案;企業的郵件伺服器在建立SMTP連線前先檢查發送伺服器的IP信譽評比分數。這讓接收的伺服器有機會去拒絕送入的電子郵件。

不過有時候連正常的郵件寄送者都可能會受到影響。舉例來說,如果他們所使用的伺服器或是他們的電子郵件服務商的伺服器被標記為過去曾經發送過垃圾郵件,那他們所送出的電子郵件就可能會被標記為垃圾郵件。在這篇文章裡,我們會更進一步地解釋為什麼會出現這種情況,和郵件發送者可以採取什麼行動。

正常的郵件發送者如何會被標記為垃圾郵件發送者?

電子郵件牽涉到許多角色,不是只有「寄件者」和「收件者」而已。實際上有多重「角色」參與其中,其中包含了:

  • 電子郵件服務商(ESP)
  • 電子郵件服務商的客戶
  • 垃圾郵件發送者
  • 安全解決方案廠商
  • 電子郵件安全解決方案使用者

繼續閱讀

《CTO看資安趨勢》長遠的端點防護~從 Google 號稱每月可阻止約五萬個惡意軟體下載談起

當 Google談到 CAMP時,號稱這系統每天都會利用信譽評比技術做出數以百萬計的決策,每個月可以識別並阻止約五萬個惡意軟體下載。這真是做得好呀,讓網路成為更安全的地方!

不過話說回來,資安產業已經這樣做許多年了,所以並不是什麼新玩意。比方說,趨勢科技每天封鎖二億五千萬次的威脅(檔案、網站和垃圾郵件),我們的系統每天處理超過一百六十億次的查詢請求。這些查詢請求每天產生6TB的資料要分析……這才是所謂的巨量資料。

作者:Raimund Genes(趨勢科技 CTO技術長)

CTO

 

上個月,Robert Lemos在Dark Reading上有篇文章提到:是時候將防毒技術拋到端點防護之外了嗎?它引用Google最近所介紹的新信譽評比技術報告(CAMP,未知內容惡意軟體防護)。他們號稱可以防禦98.6%經由Chrome所下載的惡意軟體,而他們所測試的防毒軟體中,最好也僅能擋掉25%。

這聽起來就跟變魔術一樣。不過你認為這是白魔法或黑魔法就取決於你知不知道Google會將所有你電腦上或他們線上服務內「未知」檔案的屬性送回做分析。

不過對我們來說,這是舊聞了。早在二〇〇八年,趨勢科技就已經指出標準偵測技術還需要結合其他技術,像是信譽評比技術,白名單等等。我們已經大量投資在偵測惡意基礎設施和生態系統所需要的技術上。

因為趨勢科技收集這麼多的資料,我們可以幫助各地的執法者將網路犯罪份子繩之以法。當Google談到CAMP時,號稱這系統每天都會利用信譽評比技術做出數以百萬計的決策,每個月可以識別並阻止約五萬個惡意軟體下載。這真是做得好呀,讓網路成為更安全的地方!

不過話說回來,資安產業已經這樣做許多年了,所以並不是什麼新玩意。比方說,趨勢科技每天封鎖二億五千萬次的威脅(檔案、網站和垃圾郵件),我們的系統每天處理超過一百六十億次的查詢請求。這些查詢請求每天產生6TB的資料要分析……這才是所謂的巨量資料。

文章裡還談到有些客戶遇到傳統防毒軟體問題時會怎麼做。通常有下列幾種:

放棄防毒軟體

那篇作者自己都說這是個壞主意,根據最近的微軟資安情報報告沒有端點防毒軟體保護的電腦被感染的機率增加5.5倍。所以就算是在理想狀態,比方說Chrome保護我不會中毒,那我USB 3.0介面卡最新驅動程式的光碟呢?我剛剛從朋友那所拿到的隨身碟呢?如果數位相框裡有惡意軟體呢?更別提那些會透過軟體漏洞或其他方式進來的威脅。端點防護仍然是必要的,也是有效防禦的基準線。

加強黑名單

趨勢科技多年來一直都這樣說。黑名單可以結合信譽評比技術、進階啟發式技術、通訊監控去偵測惡意殭屍網路指令,再加上我們擁有的新工具。使用者必須了解,有著確定目的而且複雜的目標攻擊是可以攻入的,但也有方法去偵測這些威脅,特別是當它們嘗試「回報(phone home)」惡意伺服器的時候。

使用白名單

沒錯!趨勢科技已經建立超過220萬已知好檔案的白名單,我們將它作為我們產品內信譽評比服務的一部分。這可以用在關鍵端點上,以最小化運行惡意軟體的風險。

繼續閱讀

抓到所有的壞人,而不會抓到好人:防止誤判,防毒軟體該做些什麼?

回到惡意軟體還沒有那麼猖獗的時候,防毒軟體很大程度上是依賴病毒特徵碼的更新去偵測惡意程式。在那時,這樣的效果非常好,而誤報問題也非常少見的,除非是因為作業流程出錯而導致錯的病毒碼被發布出去。

抓到所有的壞人,而不會抓到好人:防止誤判,防毒軟體該做些什麼?
抓到所有的壞人,而不會抓到好人:防止誤判,防毒軟體該做些什麼?

最近幾年,因為地下經濟蓬勃的發展,我們看到惡意軟體以倍數地增長,功能也變得更加複雜。可能是因為網路犯罪份子會資助複雜惡意軟體的開發。先進的偵測躲避技術還有隱匿活動的能力也是今日惡意軟體的特徵,讓它更難以被偵測和追踪。

面對這些狀況,大多數防毒軟體廠商會不斷地創新,引進新方法來偵測更多惡意軟體,特別是在惡意軟體尚未擴散之前。大多數都是利用啟發式偵測來幫助防毒軟體分析判斷是否為病毒。但是這種做法是把兩面刃:有助於提高偵測率,也容易導致誤報。

誤報真的可能會造成傷害

誤報,也就是假陽性,就是當正常或乾淨的檔案被防毒軟體誤判為惡意或中毒的檔案。

在某些時候,誤報只是會很擾人,因為會在使用者螢幕上跳出警告訊息。但在其他狀況下,誤報是會極具破壞性的,尤其是當因為誤判而刪除系統檔案的時候(可以在這裡這裡找到一些例子)。如果這發生在企業環境中,對業務的影響可能會非常昂貴,在處理誤判問題以及回復的過程中,生產力也受到了影響。 繼續閱讀