Архив новостей

Линейка продуктов McAfee

О компании McAfee, Inc.

Корпорация McAfee, Inc. — мировой лидер в области разработки решений для обеспечения компьютерной и сетевой безопасности, предотвращения вторжений, защиты компьютерных систем от атак и угроз смешанного типа и вирусов последнего поколения. В рамках стратегии McAfee Protection-in-DepthT компания разрабатывает два семейства решений — McAfee System Protection Solutions (средства безопасности для настольных систем и серверов) и McAfee Network Protection Solutions (средства безопасности для корпоративных сетей). Компания была основана в 1989 г. В период с 1997 по 2004 гг. компания работала на рынке под именем Network Associates, Inc. Ее штаб-квартира расположена в Санта-Кларе, Калифорния (США). Над реализацией решений в рамках корпоративной стратегии работают более 3800 сотрудников по всему миру.

Пользователи продуктов McAfee, Inc. в мире

  • Более 70 миллионов пользователей по всему миру.
  • Более 4 миллионов подписчиков на онлайновые сервисы.
  • 100 миллионов ящиков электронной почты защищено через поставщиков услуг.
  • Правительственные организации США: Управление национальной безопасности, Управление перспективных исследовательских программ, Cеть передачи данных Министерства обороны, ЦРУ, ФБР.

Официальный сайт: www.mcafee.com

О компании Associates

Компания Associates является единственным авторизованным партнером McAfee, Inc. в России и имеет официальный статус McAfee Elite Partner. В штате компании имеются инженеры, сертифицированные McAfee, Inc. Компания предоставляет техническую поддержку на территории России и СНГ, консалтинговые услуги, обучение, внедрение и сопровождение по всему спектру решений McAfee, Inc.

Официальный сайт: www.associates.ru

Продукты семейства McAfee SpamKiller

Решения McAfee для защиты от спама представлены как автономными высокопроизводительными аппаратно-программными комплексами, так и продуктами для встраивания в распространенные системы корпоративной почты (MS Exchange Server, Lotus Domino) и межсетевые экраны (MS ISA Server).

Все продукты McAfee SpamKiller используют общий сканирующий механизм на основе технологии SpamAssassin и готовы к интеграции с системами антивирусной защиты McAfee.

Аппаратно-программные комплексы McAfee SpamKiller Appliance

Флагманскими продуктами линейки McAfee SpamKiller являются автономные высокопроизводительные аппаратно-программные комплексы SpamKiller Appliance и WebShield Appliance серии 3000 с предустановленным программным обеспечением. Конструктивно решения выполнены как промышленные компьютеры, готовые для монтажа в стойку 19′, имеющие два сетевых интерфейса с автоматическим выбором скорости 10/100/1000.

McAfee WebShield Appliance 3300

 

 

 

Рис. 1. McAfee WebShield Appliance 3300

Особенностью данной серии является возможность программной активации антивирусной, антиспамовой или обеих защит одновременно, в зависимости от типа лицензии.

В первую очередь, системы данного класса предназначены для средних и больших сетей. Задача контентной фильтрации является ресурсоемкой, и ее совмещение с другими задачами на одной аппаратной платформе часто приводит к недопустимой потере производительности.

Системы WebShield/SpamKiller Appliance 3000 имеют унифицированный WEB-интерфейс управления. Первичная настройка происходит с использованием мастера настройки, содержащего минимальный набор необходимых опций. Как следствие, комплекс сможет ввести в эксплуатацию даже сетевой инженер средней квалификации, без наличия специальных знаний. Решение допускает управляемую балансировку нагрузки, сочетает в себе возможности почтового релея и прокси-сервера протоколов SMTP, POP3, HTTP, FTP.

Административный интерфейс

Рис. 2. Административный интерфейс McAfee WebShield/SpamKiller Appliance 3.0

Appliance может быть легко установлен в стык сегмента, действуя по принципу прозрачного перехвата, не нарушающего топологию сети заказчика. Вместе с тем, Appliance способен взаимодействовать с уже имеющейся инфраструктурой заказчика через протокол LDAP. Платформа способна получать информацию непосредственно из сервера Exchange 2000/2003, Lotus Domino или любого другого (требуется соблюдение определенной схемы). Задается только несколько шаблонных фильтров запросов LDAPv3. Это может быть и коммерческий сервер Communigate Pro, и бесплатная Open Source система на базе OpenLDAP.

Несомненным достоинством аппаратно-программных комплексов WebShield и SpamKiller Appliance 3000 является гибкость при интеграции в сетевую топологию заказчика за счет поддержки трех режимов работы: прозрачный мост с перехватом, прозрачный шлюз с перехватом и явный сервер прокси.

Прозрачный мост с перехватом (на уровне соединения)

 

В этом режиме устройство логически объединяет два физических сегмента в один, осуществляя перехват трафика. С точки зрения третьего уровня сетевого взаимодействия устройство прозрачно и имеет единственный логический сетевой интерфейс. Прозрачный мост не сегментирует сеть на третьем уровне, невидим для приложений и упрощает маршрутизацию трафика, осуществляя вместе с тем его безопасный перехват по заданным условиям. Этот режим практически не потребует никаких настроек сетевого оборудования заказчика.

Прозрачный шлюз с перехватом (на сетевом уровне)

 

В этом режиме устройство разделяет два логических сегмента на уровне сетевого протокола (IP), осуществляя безопасный перехват трафика. Система имеет два логических сетевых интерфейса, соответствующих физическим интерфейсам: один соединяется с внутренним корпоративным сегментом, а другой — с внешним сегментом (Интернет).

В отличие от прозрачного моста, прозрачный шлюз требует явной маршрутизации на уровне IP, но по-прежнему остается ‘невидимкой’ для уровня приложений.

Прокси-сервер (на уровне приложений)

 

В этом режиме устройство работает как обычный (некэширующий) прокси-сервер уровня приложений с контентной фильтрацией и требует явного указания себя в качестве такового всем приложениям сети.

Производительность устройств McAfee WebShield/SpamKiller серии 3000

 

Системы McAfee WebShield/SpamKiller Appliance серии 3000 могут реализовывать антивирусную, антиспамовую и контентную фильтрации.

Таблица 1. Производительность McAfee WebShield/SpamKiller Appliance 3000

  Модель 3100 Модель 3200 Модель 3300I
Размер сети До 250 узлов До 1000 узлов Более 1000 узлов
HTTP AV 6.5 Мбит/с 8 Мбит/с 16 Мбит/с
SMTP AV 60 тыс./час 120 тыс./час 240 тыс./час
SMTP AV + CS 55 тыс./час 105 тыс./час 210 тыс./час
SMTP AV + CS + SK 30 тыс./час 55 тыс./час 110 тыс./час
SMTP SK 35 тыс./час 70 тыс./час 140 тыс./час

Примечания к таблице 1:

  • Все результаты приведены в расчете на один протокол, то есть либо 120 тыс. сообщений SMTP, либо 8 Мбит/с поток HTTP для модели 3200.
  • AV: антивирусное сканирование, CS: контентное сканирование, SK: антиспамовое сканирование SpamKiller.

 

Аппаратная платформа устройств McAfee WebShield/SpamKiller серии 3000

 

Таблица 2. Аппаратная платформа устройств McAfee WebShield/SpamKiller серии 3000.

  Модель 3100 Модель 3200 Модель 3300I
Форм-фактор 1U 19′ 1U 19′ 1U 19′
Процессор 1 x 2.4 ГГц Celeron
@400 МГц FSB
1 x 2.8 ГГц Xeon
@800 МГц FSB
2 x 2.8 ГГц Xeon
@800 МГц FSB
Дисковая подсистема 1 x 80 Гб IDE 2 x 73 Гб SCSI U320
RAID1
2 x 73 Гб SCSI U320
RAID1
Память 512 Мб 1 Гб 4 Гб
Сеть 2 x 10/100/1000
Ethernet
2 x 10/100/1000
Ethernet
2 x 10/100/1000
Ethernet
Резервное питание Нет Нет Да

Компонентные программные решения

Данную линейку продуктов образуют программные решения, предназначенные для интеграции в коммерческие системы безопасности и корпоративного обмена информацией, такие как Microsoft Exchange Server 2000/2003, Microsoft Internet Security and Acceleration Server 2000/2004, Lotus Domino 5/6.

Как и в случае с аппаратно-программными комплексами, продукты SpamKiller могут использоваться совместно с системами антивирусной защиты McAfee GroupShield® либо в виде самостоятельных решений.

SpamKiller для Microsoft Exchange и Lotus Domino

 

Данный продукт SpamKiller предназначен для интеграции непосредственно в сервер MS Exchange 2000/2003 или Lotus Domino 5/6 и решает задачи обнаружения, маркировки и перенаправления почты, классифицированной как спам.

Продукт SpamKiller может быть установлен либо как дополнение к существующей системе антивирусной защиты McAfee GroupShield для Microsoft Exchange или Lotus Domino, либо как самостоятельный продукт. В первом случае происходит объединение антивирусной и антиспамовой защиты на одной программной базе, что существенно сокращает издержки на ввод в эксплуатацию и администрирование. Кроме этого, снижается общее потребление ресурсов.

Данное компонентное решение предназначено для сетей любого размера. В числе дополнительных возможностей присутствует также генерация списков разрешенных респондентов на основе адресных книг пользователей.

SpamKiller для ISA Server

 

McAfee SpamKiller для MS ISA Server 2000/2004 представляет собой компонент интегрированного решения комплексной контентной фильтрации McAfee SecurityShield. Защита непосредственно на шлюзе значительно снижает нагрузку на почтовые системы, расположенные за ним.

Технологии защиты от спама

Продукты McAfee® SpamKillerT основаны на известном проекте SpamAssassin, адаптированном под соответствующую платформу. По сравнению с бесплатной версией повышена общая производительность работы фильтра в 3-4 раза. Это обеспечивается использованием коммерческих трансляторов языка PERL, производящих машинный код, и значительной оптимизацией самого исходного кода SpamAssassin.

Механизм SpamAssassin использует комплексную многоуровневую оценку почтовых сообщений по принципу штрафных очков. Специалисты McAfee проводят регулярный анализ, тестирование и обновление серии правил проверки (часть правил не имеет аналога у SpamAssassin), адаптируя их в соответствии с принципом решения ‘out-of-the-box’. SpamKiller является самостоятельным коммерческим решением на базе SpamAssassin. Он использует свою собственную инфраструктуру для управления и хранения, собственный пользовательский интерфейс и собственную интеграцию с почтовыми системами.

Мозгом антиспамового фильтра является набор из более 700 элементарных алгоритмов, выявляющий характерные для спама черты. Очевидно, что практически для любого автоматизированного фильтра можно составить такое сообщение, которое он не распознает. С этим и связан ‘синдром релаксации’, когда с течением времени знание поведения того или иного фильтра становится доступным распространителям спама, в результате чего фильтр перестает обнаруживать новый спам.

С одной стороны, одна из главных задач борьбы со спамом — это создание, анализ и регулярное дополнение наборов алгоритмических правил обнаружения, в ответ на новые технологии распространения спама. Фактически, правильно составленные наборы правил и определяют качество фильтра в терминах долей обнаруженного спама и ложных срабатываний.

С другой стороны, одной из важных целей, преследуемой McAfee, является получение готового решения, которое способно обнаруживать высокий процент спама без каких-либо дополнительных настроек, тренировок байесовского фильтра и прочего. В этом заключается принцип коммерческого решения, которое работает ‘out-of-the-box’. В этом же заключается и основное видимое отличие между бесплатным проектом SpamAssassin и коммерческими продуктами семейства McAfee SpamKiller: при установке ‘out-of-the-box’ SpamKiller имеет существенно лучший процент обнаружения, в том числе за счет готового (заранее натренированного) байесовского фильтра, входящего в продукт.

Специалисты McAfee ведут параллельную работу по созданию собственных серий тестов для SpamKiller, основываясь на опыте проекта SpamAssassin, но расширяя и дополняя его. Регулярность выхода обновлений систем SpamKiller составляет один раз в квартал.

Как было сказано, механизм SpamKiller основан на сериях тестов, в которых каждый тест имеет определенный весовой коэффициент, или ‘штрафной заряд’ (score) в виде действительного числа (со знаком и дробной частью). Если результат отдельного теста положительный, то его заряд алгебраически складывается с общей суммой. Общая сумма штрафных очков и определяет степень принадлежность сообщения к спаму, а устанавливаемые администратором пороговые значения используют данный результат для принятия окончательного решения: пропустить сообщение, пропустить и маркировать его как спам, либо перенаправить в специальный отстойник.

В соответствии с заданными порогами срабатывания возможны следующие ответные действия SpamKiller:

  • Отказ от доставки с генерацией диагностики.
  • Отказ от доставки без генерации диагностики (‘черная дыра’).
  • Простая доставка получателю (легитимная почта).
  • Доставка с видимой маркировкой сообщения.
  • Перенаправление в личную папку-отстойник пользователя (user junk folder).
  • Перенаправление в системную папку-отстойник (system junk folder).

Администратор должен задать необходимые пороги штрафных очков для тех или иных действий, задать координаты системной папки-отстойника и настроить автоматические обновления, если не устраивает поведение по умолчанию. После этого система полностью готова к фильтрации.

Основные группы тестов, используемые продуктами McAfee SpamKiller, классифицированы и описаны далее.

Анализ целостности

Под анализом целостности подразумевается серия проверок, основанная на стандартах Интернет RFC, регламентирующих MIME (Multi-purpose Internet Mail Extensions). До сих пор значительная часть спамерских сообщений содержит ‘нарушения различной степени тяжести’, т.е. 8-битные данные в заголовках и прочие. Поскольку при разработке сетевых приложений (почтовых агентов и клиентов) большое внимание обычно уделяется стабильности, дизайн продуктов часто имеет большой ‘запас прочности’, и продукт сохраняет способность воспроизводить ‘битые’ сообщения, содержащие недопустимые символы в заголовках, написанные в неизвестных кодировках, и т.п.

Анализатор целостности, наоборот, ‘уделяет пристальное внимание’ различным ошибкам компоновки (кодирования) сообщений, как бы убирая этот запас прочности и начисляя штрафные очки в соответствии с частотой обнаружения данной ошибки в потоке спама. Предполагается знание фильтра a priori о степени характерности таких ошибок.

Сильным инструментом являются также т.н. мета-правила (строго говоря, мета-правила не принадлежат ни к одной из описанных здесь групп). Это специальные правила (обычно, с высокими штрафными очками), которые срабатывают только при одновременном срабатывании группы других правил. Часто спам-сообщения содержат не одну, а несколько ошибок, и данный факт можно эффективно использовать с помощью мета-правил.

Эвристическое обнаружение

К этой группе тестов можно отнести алгоритмы, обнаруживающие попытки распространителя спама подделать санкционированную отправку сообщения.

Распространитель спама часто подделывает заголовки таким образом, чтобы имитировать отправку сообщения известной программой (The Bat!, Outlook, и т.д.). SpamKiller обнаруживает некоторые характерные признаки подобных действий, начисляя штрафные баллы.

К другим тестам в данной группе можно также отнести распознавание ‘почерка’ конкретной утилиты распространения спама (spam tool pattern). Обычно этот тест выявляет характерные способы кодирования сообщения, невидимые пользователю.

Еще один излюбленный трюк спамеров — это компоновка сообщений в виде документа HTML, с интенсивной ‘набивкой’ комментариями-помехами. Такие комментарии не видны пользователю, но хорошо ‘сбивает с толку’ примитивные антиспамовые фильтры (метод получил название ‘obfuscating text’). К чести SpamKiller следует сказать, что подобные попытки не только не сбивают с толку контентную фильтрацию, но и получают довольно высокие штрафные баллы.

Контентная фильтрация

В широком смысле, любая фильтрация на основе анализа содержимого (контента) является контентной, т.е. защита от спама уже является таковой. Здесь под контентной фильтрацией следует понимать анализ ‘видимого’ содержимого, т.е. анализ с защитой от помех типа ‘obfuscating text’, описанных выше.

SpamKiller содержит тесты, обнаруживающие порядка нескольких сотен фраз и слов, таких, как ‘viagra’, ‘sex’ и прочих, а также чрезмерные восклицательные знаки, фразы типа CALL NOW!. Появившийся в последнее время метод рассылки сообщений в виде картинок также приводит к положительному срабатыванию определенных тестов.

Списки разрешенных и запрещенных респондентов

Списки разрешенных используются для защиты от ложных срабатываний, которые часто представляют собой серьезную проблему. При наличии отправителя в списке разрешенных анализ сообщения не прерывается, но к общему числу очков добавляется отрицательное по знаку значение штрафного балла (обычно достаточно большое), что приводит к уменьшению ‘спамовости’ сообщения.

Списки запрещенных адресатов, в противоположность спискам разрешенных, начисляют положительные штрафные очки при наличии в них отправителя.

В большинстве случаев личная адресная книга пользователя — это список разрешенных в чистом виде, поэтому SpamKiller, встроенный в систему корпоративной почты, предоставляет механизм автоматической синхронизации контактов пользователей. Мало кто из спамеров сейчас пойдет на издержки, связанные с хищением и персональной подделкой почты на основе адресной книги получателя.

Вместе с этим, SpamKiller дает возможность ведения статических списков разрешенных и запрещенных ‘вручную’, для каждого пользователя отдельно, с индивидуальным доступом.

Автоматическая адаптация к окружению (динамическая подстройка)

Важным свойством коммерческого продукта является автоматизация задач администрирования и стабильная работа без вмешательства квалифицированного персонала.

Для удовлетворения этих требований SpamKiller реализует механизмы SpamAssassin для автоматической тренировки байесовского фильтра (bayes auto learn) и вычисления «отбеливающего» фактора (auto whitelist factor).

«Отбеливание» приводит к изменению веса правил, применяемых к отправителям, ранее определенным как легитимные.

Допустимые пороги для самообучения байесовского фильтра выбраны более жестко (по сравнению с бесплатной версией SpamAssassin) с целью предотвращения неустойчивого поведения системы.

Эти возможности обеспечивают более ровное поведение фильтра в целом в период между обновлениями базы правил.

Поддержка DNSBL (RBL)

Продукты SpamKiller, поставляемые в виде аппаратно-программных решений, производят проверку сетевого и почтового адреса отправителя по спискам запрещенных DNSBL (DNS Black List), ранее известных как RBL (Real-time Black List).

Факт нахождения отправителя в списке запрещенных только увеличивает шанс сообщения быть трактованным как спам, потому что положительный результат тестов DNSBL, как и других, только добавляет штрафные очки к общей сумме. В ответ могут сработать «отбеливающие» правила, нейтрализующие своим отрицательным зарядом положительные штрафные очки от DNSBL, в результате чего санкционированное сообщение успешно достигнет своего получателя.

Фильтрация на основе алгоритмов Байеса

Байесовский фильтр — относительно молодая и довольно перспективная технология фильтрации, основанная на статистическом анализе.

McAfee SpamKiller содержит предварительно натренированный байесовский фильтр, контролируемое обучение (supervised training) которого производится специалистами McAfee. Каждое квартальное обновление базы тестов для SpamKiller содержит и обновленную версию Байеса. В период между обновлениями SpamKiller допускает самообучение фильтра на рабочем потоке, ужесточая правила по сравнению с оригинальными настройками SpamAssassin.

Отсутствие необходимости тренировки байесовского фильтра является несомненным качеством продукта, как коммерческого решения ‘out-of-the-box’. Байесовский фильтр от McAfee, несмотря на свое американское происхождение, эффективно обнаруживает и русскоязычный спам, характерный для российского сегмента Интернет.

Возможности продуктов McAfee SpamKiller

Интеграция, управляемость и отчетность

Являясь частью семейства продуктов, предназначенных для защиты от нежелательного контента (в том числе вирусов и спама), McAfee SpamKiller поддерживает систему централизованного управления и отчетности McAfee ePolicy Orchestrator.

При использовании решения ePolicy Orchestrator все агенты безопасности (в т.ч. и SpamKiller) начинают функционировать как единое целое: административный комплекс ePO не только самостоятельно установит и настроит программное обеспечение всюду, где это необходимо, но и будет генерировать соответствующую отчетность. При этом ePO работает на основе политики, создаваемой администрацией сети.

Решения ‘out-of-the-box’

McAfee SpamKiller избавляет заказчика от большинства рутинных и трудоемких задач, связанных с пусконаладочными работами и текущим администрированием.

Все продукты с маркой SpamKiller содержат натренированный вручную (supervised training) байесовский фильтр, обновляемый ежеквартально. SpamKiller без дополнительных усилий администратора имеет существенно более высокие показатели по сравнению со своим бесплатным прототипом SpamAssassin, установленным ‘out-of-the-box’.

Серии тестов McAfee максимально адаптированы для работы ‘out-of-the-box’, с учетом байесовской фильтрации, автоматического обучения системы, работы со списками разрешенных и прочим.

Системы SpamKiller практически избавляют администратора от ручного ведения списков разрешенных и запрещенных, синхронизируя их содержимое с адресными книгами и предоставляя возможность пользователям (с согласия администратора) вносить изменения в списки самостоятельно.

Заключение

Враждебность современных сетевых окружений и растущая зашумленность информационного эфира предполагает комплексные меры противодействия. Задачи фильтрации содержимого были и останутся наиболее технологичными и ресурсоемкими.

Для защиты корпоративных сетей большой интерес представляют решения с широкими функциональными возможностями и большим охватом платформ — такие как интегрированные решения McAfee SpamKiller для обнаружения, маркировки и перенаправления содержимого, содержащего спам и прочий нежелательный контент.

McAfee SpamKiller — это:

  • Специально адаптированные наборы правил McAfee.
  • Предварительно натренированный байесовский фильтр.
  • Регулярные обновления базы правил и байесовского фильтра.
  • Сетевая инфраструктура и пользовательский интерфейс для администрирования.
  • Интеграция в популярные почтовые системы MS Exchange, Lotus Domino.
  • Автоматическая адаптация к среде выполнения.
  • Интеграция в системы антивирусной защиты McAfee.
  • Интеллектуальное использование ресурсов типа DNSBL.
  • Отлично зарекомендовавший себя сканирующий механизм SpamAssassin.

Линейка продуктов McAfee

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике