Мнение

Рынок антиспам-решений ждут слияния и поглощения

Рынок средств защиты от спама сегодня напоминает антивирусный — образца начала 90-х. Множество игроков, множество технологий, все новые старт-апы. При этом даже наиболее крупным поставщикам пока не удалось занять здесь более 10%. В контексте подобного уровня дифференциации рынка, очевидно, следует ждать нарастания волны слияний и поглощений.

Количество рассылаемого спама, несмотря на все большее количество антиспам-продуктов и сервисов, меньше не становится. По данным антиспам-аналитиков «Лаборатории Касперского», доля незапрошенных массовых рассылок в общем почтовом трафике Рунета колеблется в области 80%, а на популярных почтовых службах, таких как, например, Mail.Ru, зашкаливает за 90-95%. В подобной ситуации уже для каждой компании остро стоит вопрос: сможет ли она защитить себя от этой лавины мусорной почты, блокирующей один из основных каналов деловой коммуникации, и каким способом. Вопрос же целесообразности мер защиты от спама как таковых уже давно стал риторическим — обойтись без них практически нереально.

Определенную сложность в данной ситуации представляет обилие различных предложений по фильтрации почтового трафика, отсеивания спамерской корреспонденции. Рынок средств для защиты почтовых систем от спама похож на антивирусный образца начала 90-х. Множество игроков, множество технологий, все новые стартапы — еще пару лет назад редкая неделя проходила без анонса очередного «окончательного решения проблемы спама». Сходство с антивирусным рынком упомянуто не случайно. Во-первых, трансформация спамерского сообщества привела к тесному его переплетению с вирусописателями. Спамеры рассылают вирусы, заражают новые ПК, создают «зомби-сети», а вирусописатели поддерживают их новыми вредоносными программами. Естественно, на взаимовыгодной основе. Таким образом, для борьбы с, казалось бы, сторонней проблемой понадобился именно антивирусный экспертный опыт.

Во-вторых, большинство потенциальных покупателей антиспам-продуктов предпочитают всеобъемлющие решения от одного вендора, защищающие сеть и от спама, и от хакерских атак, и от вирусов. Порой даже в ущерб качеству той или иной компоненты. Неудивительно, что в этой ситуации у каждой крупной антивирусной компании найдется в рукаве и собственное антиспам-решение.

Ажиотаж переполненного рынка

Сейчас рынок антиспам-решений переполнен, игрокам все труднее идентифицировать себя на фоне конкурентов. Многие из них находятся в активном поиске дополнительных ниш и дополнительного функционала, востребованного клиентом. Начинается консолидация — в мире уже прокатилась череда поглощений.

Так, Brightmail, одна из наиболее успешных антиспам-компаний, как технологически, так и коммерчески, поглощена Symantec в 2004 году. Сумма сделки составила 370 млн.долл., т.е. более доллара за каждый защищаемый к тому времени продуктом Brightmail почтовый ящик. Годом спустя, компания Kelkea куплена Trend Micro, и теперь разработанный ею сервис RBL+ дополняет антиспам-продукты в линейке японской корпорации. Ведущий российский антиспам-проект «Спамтест» тем же летом 2005 года был куплен «Лабораторией Касперского». Теперь российский вендор успешно продвигает собственный продукт Kaspersky Anti-Spam 3.0. Сумма приобретений в последних двух случаях не разглашалась, однако можно предположить, что Brightmail остался несомненным рекордсменом.

Тогда же, в 2005 г. отметилась на поприще поглощений антиспам-компаний и Microsoft — теперь «уже почти де-факто» антивирусный и антиспам-вендор. В 2005 г. редмондский гигант объявил о покупке нью-йоркской компании Sybari, в составе которой ей доставалась еще одна технология фильтрации спама. В июле того же года стало известно о покупке крупного поставщика messaging security сервисов — компании FrontBridge. Недолго медлив, Microsoft объявила о том, что новые продукты и сервисы неплохо дополнят новое поколение ее почтового продукта Exchange.

Об объемах антиспам-рынка и доле того или иного вендора говорить достаточно сложно, так как разные исследовательские компании предоставляют порой противоречащие друг другу результаты. Однако, что вызывает доверие — так это факт, что даже самые крупные игроки не занимают более 10% рынка (по данным исследовательской группы Radicati). Рынок все еще значительно дифференцирован и нас ждут новые слияния и поглощения.

«Технологический минимум»

Эффективность того или иного продукта для борьбы со спамом во многом базируется на используемых методах и подходах. При выборе конкретного средства нелишне обратить внимание на то, какие именно технологии заложены в его основу, за счет чего определяется спам во входящем почтовом потоке и обеспечивается сохранность «нормальной» почты.

Одним из старейших методов блокирования спама по праву считаются DNSBL-списки, блокирующие IP-адреса с которых рассылается спам. DNSBL (DNS-based Block Lists; типичные примеры — Spamhaus, Spamcop и др.) хороши тем, что осуществляют заслон спаму еще на уровне начала SMTP-сессии — и тем самым разгружают почтовые сервера, экономят трафик, не принимая письма отнесенные к спамерским. Побочный же эффект — высокая доля ложных срабатываний, блокирование легальных сообщений, которые при этом даже нельзя позднее найти в карантине — ведь они даже не приняты сервером.

Еще один пример работы со спамом на этапе «до приема письма» — это так называемый gray listing, «серый список». При получении письма от неизвестного отправителя, которого нет ни в списке разрешенных, ни в списке запрещенных, данный метод ставит письмо в очередь, отвечая серверу-отправителю «подожди несколько минут». Добропорядочный сервер, на основе известного ПО, как правило, должен спокойно воспринять этот тайм-аут и попытаться переслать письмо через указанный промежуток времени. Спамерское же ПО «заточено» под максимально быстрое «пропихивание» рассылки, и ему не до тайм-аутов — скорее всего оно сразу же попытается послать письмо снова. На этом основании отправитель и будет заблокирован и автоматически внесен в список запрещенных.

Для борьбы с «быстрыми рассылками» все чаще применяют средства детектирования массовости сообщений (такие как DCC, Razor, Pyzor), доступные крупным провайдерам или антиспам-вендорам. Сообщения в «быстрых рассылках» либо идентичны, либо отличаются друг от друга крайне незначительно. Это позволяет достаточно быстро определить аномалию — одновременную рассылку множества условно одинаковых писем с тысяч разных ПК по всему миру — и заблокировать прием этой почты. С другой стороны, существует множество легальных рассылок, которые нельзя относить к спаму, поэтому слабым местом подобных систем является их способность отличить «большую и легальную» рассылку от спамерской рассылки. Также они бессильны против полярно противоположного типа рассылок — длящихся очень долго, но каждое письмо в которых специально модифицировано (шум в виде текста, графики, и т.д.), чтобы не быть идентичным с предыдущими.

Вендорские антиспам-лаборатории — достаточно мощное оружие в борьбе со спамом. Такие службы (как правило, круглосуточно) отслеживают ситуацию со спамом в интернете, обновляют продукты, установленные у пользователей сигнатурами обнаруженного спама или лингвистическими эвристиками, постоянно анализируют новые спамерские технологии с тем, чтобы совершенствовать способы противостояния им. Примерами использования таких служб можно назвать Symantec и «Лаборатория Касперского».

Существует и противоположный подход к постоянном анализу спамерских сообщений — основанный на том, что этот процесс должен быть полностью автоматическим. Его демонстрируют продукты, основанные на алгоритме Байеса. Такие продукты проходят первичное «обучение» — когда на вход программе подаются определенные как спам сообщения. Это обучение может осуществляться как пользователем, так и вендором — с использованием накопленных баз спама. После первичного обучения продукт создает «словари», учитывающие какие слова, с какой частотой, с какой вероятностью и находясь в каких частях письма, — указывают на то, что письмо является спамом.

Применение байесовских алгоритмов позволяет отказаться от списков запрещенных и постоянного обновления ПО. Однако эффективность таких решений достаточно нестабильна — они могут удовлетворительно фильтровать на одних потоках спама, работая из рук вон плохо на других. Также обучение ПО гораздо лучше работает в персональных продуктах, где легко выявляются закономерности — что конкретный пользователь считает спамом, а что нет. В серверных же продуктах, обслуживающих многих получателей, данные алгоритмы могут давать серьезные сбои.

Лингвистические методы — хороший пример технологии контентного анализа письма. Эти методы используют алгоритмы поиска по телу сообщения типичных спамерских терминов, фраз, выражений, а также большие базы данных подобных терминов. Такие базы данных должны постоянно обновляться вендором. Также немалую часть успеха данных методов определяет и то, насколько сбалансированы «очки» начисляемые за каждое слово, чтобы в итоге сделать вывод о том, спам это или нет. Ведь не каждое письмо со словом «виагра» — спам.

Ну и, конечно же, очень важно знать, как часто выбранный продукт получает обновления от вендора, с новыми сигнатурами, правилами, алгоритмами анализа почты. У присутствующих на рынке решений этот интервал времени реакции колеблется от нескольких часов до 20-30 минут. Но постепенно становится стандартом де-факто реагирование на спам в режиме реального времени, как, например, в продукте Kaspersky Anti-Spam 3.0, который мгновенно получает информацию о начале новых рассылок.

Общее правило при первом обзоре и выборе нескольких альтернативных продуктов — комплексность, сочетание нескольких методов лучше ставки на одну технологию. Пусть даже и называемую самыми лестными эпитетами в маркетинговых брошюрах вендора.

Если компания решает провести «боевое» сравнительное тестирование ряда наиболее привлекательных для себя альтернатив, необходимо помнить несколько простых правил подобного сравнения — для того, чтобы получить объективный результат и сделать верный выбор.

Во-первых, чтобы понять, как продукт фильтрует спам, надо фильтровать спам. Но ни в коем случае нельзя использовать те или иные «спам-коллекции», например, почтовый массив, из папки, куда спам пересылался вместе с жалобами пользователей. Каждый антиспам-вендор стремится, чтобы его решение блокировало спам, рассылаемый именно сейчас. Никого не интересует эффективность против прошлогоднего спама, который уже никогда не придет получателю снова. Исходя из этого, проще всего направить на тестируемые продукты «живой» почтовый трафик, например, с нескольких почтовых ящиков корпоративной сети.

Во-вторых, продукты логично поставить в идентичные условия. Фильтруемый трафик должен быть одним и тем же. Скорость обновлений, по возможности, должна быть выставлена одинаковая. Если один из продуктов не использует DNSBL по умолчанию, а другой включает его сразу, логично также привести настройки к общему знаменателю, и т.д.

В-третьих, еще до начала выбора конкретного продукта или решения, важно понимать, что ни одно современное средство не способно избавить от спама на 100%. Лучшие образцы отрасли демонстрируют отсеивание 90-95% спама во входящей почте, и это, пожалуй, максимум, при условии, что отсутствуют ложные срабатывания, что нужные письма не летят в корзину, будучи признаны «спамом».

Типы решений для защиты от спама

Коммерческое ПО. Лидирующие программные продукты для защиты от спама, как правило, характеризуются сочетанием нескольких технологий фильтрации незапрошенной корреспонденции, что позволяет более взвешенно определять статус каждого сообщения (спам — не спам). Также чаще всего антиспам-продукты требуют частых обновлений своих баз данных — известного спама, IP-адресов спамеров, правил анализа сообщений и т.д. При этом, если чем выше частота обновлений — тем лучше, при прочих равных (в том числе если обеспечивается обмен данными с вендором в режиме реального времени), то большой объем обновлений свидетельствует о недостаточной оптимизации и, возможно, неверной архитектуре продукта.

Цены на антиспам-продукты разнятся достаточно сильно. Зачастую это связано и с тем, что некоторые вендоры (такие, как например Clearswift) позиционируют свои продукты не как «антиспам-фильтр», но как «всеобъемлющую систему контентной фильтрации» — а это понятие включает также и антивирусное сканирование, и контроль над утечками конфиденциальной информации и др. В целом же, защита 1 почтового ящика обходится компаниям в сумму от 1,5 до 50 долл. в год — в зависимости от функционала системы, качества и известности продукта, а также масштаба внедрения.

Многие антиспам-продукты разработаны для *nix платформ. Это объясняется с одной стороны популярностью и безопасностью, в частности, Linux — как платформы для почтового шлюза. С другой стороны, целый ряд клиентов, использующих гомогенную серверную платформу на базе Windows и не желающих поддерживать несколько ОС, либо вынуждены выбирать из ограниченного круга Windows-продуктов, либо обращают свои взоры в сторону аутсорсинга защиты от спама или аппаратных решений.

На российском рынке шире всего представлены отечественные же разработки — Kaspersky Anti-Spam 3.0 (работает в крупнейших почтовых системах и провайдерских сетях России) и «Спамооборона» от Яндекс (опирается на статистику Яндекс.Почты). Во многом это связано с региональной и лингвистической спецификой российского спама. Российские продукты, что немудрено, гораздо больше информации получают от местных провайдеров, почтовых служб и т.д., что позволяет реагировать в том числе и на сугубо локальные рассылки. Определенную активность на рынке проявляют также Trend Micro, Barracuda Networks, и другие западные вендоры.

Messaging Security Services. Доводы провайдеров сервисов защиты почтового трафика в пользу своих услуг просты и убедительны. Вы не инвестируете в оборудование и не поддерживаете его. Вы не покупаете ПО и не конфигурируете его. Вам не нужно дополнительно обучать ИТ-персонал и затрачивать его усилия на поддержание системы защиты от спама (вирусов и т.д.) в действии. Кроме этого, как правило, утверждается, что специализированная организация способна обеспечить более высокий уровень надежности и устойчивости сервиса.

Модель работы сервиса — перенаправление входящего почтового трафика организации таким образом, чтобы вначале он поступил на сервера сервис-провайдера, был проверен (на спам, вирусы, spyware и пр.) и лишь затем, будучи «чистым», трафик поступил на сервера организации-клиента. Учитывая то, что приведенные выше преимущества являются далеко не умозрительными, стоимость сервисов ощутимо превышает цены на коммерческое ПО как альтернативу. Тем не менее, если учесть экономию на аппаратной части и затратах на ИТ-персонал — игра может стоить свеч.

Из крупнейших мировых игроков в этой сфере можно отметить Message Labs, Postini, BlackSpider, а также FrontBridge в своей новой реинкарнации после продажи компании Microsoft — Exchange Hosted Services.

В России на поприще аутсорсинга защиты почтовых систем отметились Data Fort, а также «Лаборатория Касперского» запустившая в 2006 году сервис Hosted Security.

Аппаратные решения. Примерно теми же аргументами, что и сервис-провайдеры, манипулируют производители аппаратных антиспам-шлюзов: низкая стоимость владения, простота настроек, легкое встраивание в существующую почтовую инфраструктуру.

Только в этом случае, в роли «волшебной палочки» выступают не сервера провайдера, а аппаратное решение. По сути, это некий сервер, с предустановленной усеченной версией ОС (как правило Linux), предварительно настроенным антиспамерским ПО и средствами дистанционного управления. От системных администраторов он требует одного — перенаправить входящий трафик организации через него, с тем, чтобы выдавать на выходе почту без спама (или, если точнее, почти без спама) и вирусов.

Поставщики — BorderWare, CipherTrust, Proofpoint и представленный в России системным интегратором «Техносерв А/С» Barracuda Networks.

Списки запрещенных. Списки запрещенных IP-адресов, с которых рассылается спам (DNSBL, DNS-based Block Lists) — традиционный и, одновременно, один из наиболее противоречивых инструментов борьбы со спамом. В связи с достаточно высоким уровнем ложных срабатываний и невозможностью восстановления потерянной почты, на данный момент DNSBL можно рассматривать только как вспомогательный инструмент, «один из барьеров» в системе фильтрации спамерского трафика.

На рынке присутствуют как платные сервисы, такие как Trend Micro RBL+, так и бесплатные альтернативы — Spamcop.org, Spamhaus.org. Собственные списки запрещенных широко применяются крупными онлайновыми почтовыми службами (такими как Mail.ru).

Open source проекты. Open source сообщество конечно же не могло остаться в стороне от столь острой проблемы, как спам. Наиболее известный из всех проектов — SpamAssassin, предлагает комплекс методов проверки почты и гибкость, позволяющая встраивать его в стороннее ПО и оборудование. Код этого проекта взят за основу коммерческого продукта McAfee SpamKiller.

Тем не менее, с финансовой точки зрения «бесплатность» открытых антиспам-продуктов, и SpamAssassin, в частности, быстро нивелируется высочайшей квалификацией (читай — размером зарплаты) требуемой для его поддержки и настройки, а также трудоемкостью этих настроек. Так, например, на прошедшей недавно 4-ой конференции «Проблема спама и ее решения» своим опытом защиты корпоративной почты без использования коммерческих решений делился системный инженер одного из крупных издательских домов. Он сам же признавал, что в конечном итоге любая подобная экономия нивелируется высокими зарплатами сотрудников ИТ, вовлеченных в этот проект, а также рисками, когда с уходом одного человека весь подобный опыт может быть потерян.

Рынок антиспам-решений ждут слияния и поглощения

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике