|
 "Seguridad
e -mail basada en la reputación"
Mario Velarde
IronPort Systems
EL envío masivo de spam, virus, phishing y otras
amenazas de email, ha experimentado un importante incremento,
el cual dificulta a su vez la tarea del departamento
de TI. Asimismo se han llevado a cabo importantes esfuerzos
para desarrollar sofisticados filtros basados en contenido,
capaces de identificar y marcar los mensajes con el
fin señalar el nivel de riesgo de cada variedad de amenaza.
Mientras estas técnicas continúan incorporando mejoras,
como la introducción del filtrado bayesiano, su eficacia
siempre se verá comprometida por la acción de los "spammers",
los cuales, continuamente modificarán sus contenidos
para poder saltarse la barrera de filtrado. Algunos
remitentes de información comercial no solicitada por
email han llevado más allá el proceso de esquivar el
filtrado de contenidos. Para ello se sirven de las herramientas
de escaneo de mensajes, disponibles mediante populares
paquetes anti-spam, antes de enviarlos, de tal manera
que pueden modificar el contenido y garantizar así que
el mensaje llega a su destino.
Una defensa en profundidad
La efectividad de los filtros basados en el contenido
puede incrementarse cuando se combinan con sistemas
de control del flujo email basado en la reputación.
Este tipo de sistemas suponen la siguiente generación
de herramientas antispam basadas en la identidad, la
evolución más inteligente al ya obsoleto formato de
las listas blancas y negras, cuyas decisiones son tomadas
en base a la información sobre la fuente del mensaje.
A diferencia de las listas negras (listas de sospechosos
de servidores "malos"), y listas blancas (listas de
servidores "buenos"), los filtros de reputación dependen
de datos objetivos para calcular la probabilidad de
que un mensaje, que proviene de una determinada dirección
IP, es spam. Esto se basa en datos como la cantidad
de mensajes que provienen de ese servidor, de cuántas
quejas dispone, dónde se ubica la organización productora
del mensaje, cuánto tiempo lleva enviando emails la
organización, y otros factores múltiples.
La utilización de un filtro de reputación en combinación
con el filtrado de contenidos supone un incremento de
beneficios para una organización:
- Incremento del ratio de capturas (bloqueando más
spam).
- Reducción de falsos positivos, legitimando mensajes
identificados de forma incorrecta como spam.
- Reducción del coste hardware e incremento del rendimiento
de mensajes.
- Reducción del riesgo ante ataques de denegación
de servicio o el directorio de ataques.
Elementos clave de un sistema basado en reputación
Cuando se despliegan sistemas de control de flujo de
mail basado en la reputación, hay diversas cuestiones
que las organizaciones deberían tener en cuenta:
- Capacidad de evasión; La reputación del remitente
debería basarse en las últimas direcciones IP del
productor del email.
- Amplitud. La mayoría de datos que se mantienen
datan sobre el origen del email, de forma que las
decisiones se toman sobre un mensaje de esa fuente.
- Fiabilidad. Un filtro basado en reputación
proporciona un acceso rápido y fiable a los datos
de red.
- Variabilidad. La gran riqueza de los datos
basados en la valoración de la reputación, deberían
permitir una respuesta gradual al spam. Así el origen
más sospechoso tendría como consecuencia un acceso
mucho más restrictivo.
Los filtros de reputación de IronPort se han desarrollado
sobre la base de SenderBase, el sistema de monitorización
web e email más amplio de red. Los filtros de reputación
proporcionan una identificación unitaria, basada en
patrones de ratios de suministro ilimitados y la posibilidad
de envío de archivos adjuntos sin límite de tamaño,
evitando el escaneo de contenidos que limita los ratios
de suministro al no permitir adjuntos o el rechazo completo
de las conexiones con el remitente.
Una red mundial de sensores
Uno de los puntos más importantes de la recolección
de datos en cualquier envío de una dirección IP, es
el volumen global de mails enviados. Los spammer son
auténticos maestros en hacer que el email tenga la apariencia
de correo legítimo, pero el parámetro relacionado con
el volumen no puede enmascararse. Es bastante difícil
para cualquier administrador de correo, medir el volumen
de spam diseminado a través de millones de dominios.
En cualquier caso, con una red de más de 100.000 ISPs,
universidades y corporaciones, SenderBase proporciona
una visión global de los mails que han sido enviados
desde cualquier dirección IP. SenderBase rastrea 5 millones
de mensajes por día, contabilizando cerca del 25% de
todos los correos a nivel mundial. Esta visión global
permite bloquear e identificar una gran variedad de
fuentes productoras de spam.
Conclusión
La siguiente generación de soluciones de control del
spam, necesitará moverse más allá del simple filtrado
de contenidos para poder ser más efectiva. La información
basada en reputación dota a los filtros actuales de
mayor efectividad y da forma a nuevos sistemas de control
del flujo de mail mucho más sofisticados. Cuando se
utiliza junto a los sistemas basados en contenidos,
el resultado es una solución de filtrado más exacta
y más segura. Así, las personas receptoras de los correos
pueden empezar a utilizar información basada en la reputación
para rastrear cualquier remitente. Hoy en día los receptores
buscan controles más potentes para los emails de entrada,
con el fin de aprovechar todas la ventajas de la monitorización
de flujos de mail avanzada y las capacidades de control
de flujo, para ello emplean productos como los appliances
de seguridad de IronPort .
Mario Velarde
IronPort Systems
|
Boletín Octubre