Если не учитывать алгоритмические особенности, то получится, что в настоящее время существуют всего три с половиной варианта решений по борьбе со спамом (под решением здесь понимается комплекс мер, позволяющих уменьшить количество спама у клиента). Первый вариант — это установка программной системы защиты (или фильтрации) на клиенте. Программ, фильтрующих спам, множество — от платного Norton Antispam до сотен бесплатных реализаций байесовского алгоритма. Плюсы и минусы того или иного решения можно обсуждать часами, и именно поэтому мы не будем останавливаться на этом варианте.
Модификация первого варианта — установление системы фильтрации сразу на сервер (это и будет как раз та половинка варианта, о которой говорилось выше). По сравнению с установкой ПО для защиты от спама на клиенте выгоды этого варианта решения очевидны — одна программа защищает много почтовых ящиков, можно организовать карантин подозрительных писем, можно добавить методы фильтрации по SMTP-сессии и вообще не принимать спам на сервер и т.д. Плюсов, действительно, много, но есть и минусы. Главный — такое решение необходимо поддерживать в работоспособном состоянии, что иногда требует серьезной квалификации сотрудников, обеспечивающих эту работоспособность. Примеров подобных решений тоже довольно много, взять тех же непримиримых борцов с русскоязычным спамом — Спамооборону и Kaspersky Anti-Spam. На Западе тоже есть свои герои — Symantec Brightmail, McAfee SpamKiller, Trend Micro Spam Prevention Solution и, конечно, заслуживает упоминания SpamAssassin — бесплатное решение, попортившее много крови спамерам.
Второй вариант — использование программно-аппаратного комплекса по защите от спама. Казалось бы, каковы преимущества подобного решения по сравнению с установкой антиспама на сервер? Во-первых, установка программно-аппаратного комплекса проще по сравнению с установкой программы — не надо настраивать почтовый сервер, не надо патчить операционную систему и т.д. Во-вторых, его проще заменять (достаточно заменить одну «коробку» на другую). И, в-третьих, для клиента облегчается процесс покупки — одно решение, одна цена, одно устройство. Из решений, доступных в России, хочется отметить Barracuda Spam Firewall и Symantec Mail Security.
И, наконец, третий вариант, пока малораспространенный в России и поэтому наиболее интересный — это on-line сервисы или аутсорсинг IT-безопасности.
Для начала позвольте дать определение. Аутсорсинг — передача стороннему подрядчику некоторых бизнес-функций или частей бизнес-процесса компании. Это делается с целью концентрации собственных усилий на традиционных работах, выполняемых собственным персоналом и собственными ресурсами. Передавать на аутсорсинг можно все бизнес-процессы, которые не являются основными (core competence) для компании. На западе используется еще термин Managed Security Service (Управляемый сервис безопасности) или Hosted Security, и многие провайдеры таких услуг не называют себя аутсорсерами, а предпочитают термин MSS (HS) провайдер. Вне зависимости от названия, есть факт передачи функции защиты почтового потока третьей стороне.
В случае защиты от спама принцип работы сервиса прост — система сканирования встраивается в цепочку доставки почтовых сообщений и осуществляет проверку всей проходящей корреспонденции клиента до того как вирусы и спам попадут на почтовый сервер клиента. Встраивание осуществляется путем изменения MX записи в DNS. Первые подобные коммерческие решения, доступные многим, появились на рынке более пяти лет назад. Пионером этого направления является британская компания MessageLabs. Также можно упомянуть американскую компанию Postini. В начале сентября 2006 года «Лаборатория Касперского» также анонсировала подобный сервис — Kaspersky Hosted Security: mailDefend.
В чем же плюсы использования аутсорсинга по сравнению с другими вариантами? Как правило, сервисы защищают от всех угроз, распространяющихся через электронную почту — спама, вредоносных программ, атаки хакеров (в первую очередь DHA атаки, направленные на обнаружение реальных почтовых адресов).
Об актуальности комплексной защиты много говорить нет необходимости. Знание обо всех почтовых угрозах дает возможность экспертам не только информировать общество о существующих угрозах, но и прогнозировать развитие событий и готовиться к изменениям заранее. Эксперты MessageLabs регулярно выпускают отчеты по спаму и вредоносным программам в почтовых потоках своих клиентов. Один минус — среди клиентов MessageLabs нет российских компаний, и их отчеты не очень соответствуют Российским реалиям. Например, по данным MessageLabs в сентябре было около 64% спама среди всех сообщений, обработанных компанией. По данным «Лаборатории Касперского», в почтовых потоках клиентов Kaspersky Hosted Security (бизнес-аудитория) доля спама в сентябре в среднем составляла 74%. По количеству вредоносных программ Россия и остальной мир также не находятся в паритете: по данным MessageLabs, вредоносный код был в каждом 89 письме (1,12%), в России — в каждом 130 письме (0,77%). И рейтинги популярности тоже разные:
MessageLabs | «Лаборатория Касперского» (данные по почтовым потокам клиентов Kaspersky Hosted Security) |
||
Наименование | %% | Наименование | %% |
NetSky | 14,4% | Email-Worm.Win32.NetSky.q | 18,31% |
Nyxem.e | 6,22% | Email-Worm.Win32.Bagle.gen | 18,06% |
MyDoom.m | 5,01% | Email-Worm.Win32.Scano.gen | 12,58% |
Bagle.mail | 4,68% | Email-Worm.Win32.Bagle.mail | 6,98% |
Mytob.gen | 4,62% | Email-Worm.Win32.Scano.e | 4,53% |
Stration (Warezov) | 3,48% | Email-Worm.Win32.Mydoom.m | 4,13% |
Bagle | 2,55% | Email-Worm.Win32.Mydoom.l | 4,05% |
Zafi.d | 2,42% | Net-Worm.Win32.Mytob.c | 2,52% |
Кроме перечисленного ранее, on-line сервисы минимизируют риски, связанные с неработоспособностью почтового сервера клиента. Минимизация рисков заключается в возможности прочитать и ответить на сообщения, в случае если почтовый сервер клиента не может принять почту.
Среди преимуществ on-line сервисов хочется отметить следующие:
- Не требуется дополнительного программного и аппаратного обеспечения. Вся работа по проверки почтового трафика проводится на серверах провайдера. Клиент получает почту без спама, вредоносных программ и другого нежелательного содержимого. Все, что отфильтровано, хранится в карантине в течение определенного срока (как правило, две недели).
- Однозначная стоимость внедрения. Иногда стоимость внедрения традиционной системы ИБ превосходит планируемую стоимость в связи с необходимостью дополнительного приобретения аппаратного, программного обеспечения или установки дополнительных патчей или обучения персонала и т.д. В случае же сервиса стоимость внедрения всегда однозначна и минимальна.
Выгоды от использования аутсорсинга проверки почтовых сообщений с точки зрения IT-специалиста несколько другие:
- Гарантируется оптимальная и постоянно развиваемая защита. Для обеспечения надежной защиты периодически требуется обновлять систему IT безопасности. Сервисы находятся в постоянном развитии и всегда поддерживаются в наиболее актуальном, с точки зрения обеспечиваемой защиты, состоянии. При этом никаких затрат, как временных, так и материальных, клиент не несет.
- Нет необходимости беспокоиться об обновлении вирусных сигнатур даже в случае эпидемии. Система фильтрации почты находится на стороне сервис провайдера, все необходимые обновления устанавливаются автоматически сразу же после их создания и тестирования.
- Значительное снижение входящего почтового трафика и однозначное предсказание объема трафика повышает эффективность работы почтовой системы клиента и экономит ресурсы. Т.к. весь нежелательный контент будет отсеян и остается только легитимная почта, количество которой более-менее постоянно, системный администратор может легко рассчитать нагрузку на корпоративный почтовый сервер. Также исключаются пиковые нагрузки из-за спамерских рассылок.
- Полная независимость Сервиса и почтовой инфраструктуры. У клиента может быть любой почтовый сервер, который работает на любой операционной системе.
- Минимальный срок запуска системы защиты в эксплуатацию. Использование сервиса позволяет включить систему защиты почтового трафика в течение нескольких минут (требуется лишь изменить MX запись).
Кому и почему может быть интересен сервис? В первую очередь, малым компаниям, для которых экономически невыгодно (да и не имеет смысла) содержать в штате высококвалифицированного и дорогого сотрудника по IT-безопасности, который бы настраивал и постоянно следил за системой защиты почтового трафика. Используя сервисную модель организации IT-безопасности можно полностью переложить заботу о работоспособности системы на квалифицированных экспертов.
Компаниям средних размеров сервисная модель защиты почтовых серверов и корпоративной электронной почты также может быть интересна. Многие такие компании уже имеют в своем штате высококлассных специалистов, но эти люди сильно загружены, и использование сервисов позволит снять часть нагрузки с IT-персонала. Согласитесь, что, например, для торговой компании основа бизнеса — это качественное и быстрое обслуживание покупателей, а не фильтрация спама. И если IT-специалисты смогут больше времени уделять обеспечению повышения качества основной деятельности компании, то выиграет в первую очередь компания.
Для крупных компаний на первый план выходит сокращение издержек при использовании аутсорсинга и возможность ввести единую политику безопасности для различных филиалов. Поскольку использование сервиса позволяет проверять в одном месте почтовый трафик со всех филиалов, то внедрить единую политику безопасности для всех филиалов становится очень просто.
Надеюсь, что данная статья поможет преодолеть сомнения относительно преимуществ использования сервисов для защиты почтовых серверов и электронной почты.
Сервисная модель организации систем IT-безопасности — еще один способ защиты от спама