Module de sécurité
Antivirus, anti-spam, anti-phishing, …
SecurityPlus – Nouveautés
Protection instantanée
Anti-phishing Anti-spyware
Anti-spam
Antivirus Antivirus
Différences entre les versions
MDaemon 9.5 Standard
Antivirus traditionnel, basé sur des signatures
Dernier moteur antivirus Kaspersky
Définitions de virus et logiciels malveillants
MDaemon 9.5 Pro
Protection instantanée
Protection en temps réel contre les spams
Protection en temps réel contre les virus
Antivirus traditionnel, basé sur des signatures
Dernier moteur antivirus Kaspersky
Définitions de virus et logiciels malveillants
Fonctionnalités
Fonctionnalité
Mises à jour des définitions programmées
Service de mises à jour urgentes Protection contre les virus anciens
comme MyDoom et ILOVEYOU Signatures de reconnaissance des virus
et logiciels malveillants
Blocage des spams en temps réel Blocage des virus, vers, chevaux de
Troie… en temps réel
Blocage des attaques de phishing en temps réel
Protection instantanée
Signatures AV
9 9 9 9 9
9 9
Technologies incluses dans la Protection instantanée
RPD® (Recurrent Pattern Detection)
Détecte les nouvelles attaques en quelques minutes
Analyse des millions de messages dans le monde entier afin d’extraire des « modèles » : modèles de structure et modèle de distribution (voir schémas)
Détermine la validité des messages en fonction de ces modèles
Protection “Zero-Hour™” contre les virus
Couche de protection supplémentaire sans signatures
Identifie les nouveaux virus dès leur apparition
Technologie RPD – Fonctionnement
Technologie RPD – Fonctionnement
Classification des modèles dans une base de données
Technologie RPD
Analyse et détection des attaques
Cette technologie n’est pas basée sur le contenu des messages
Quasiment pas de faux positifs
Protection en temps réel et entièrement automatisée
Classification des résultats dans des bases
de données
Propagation des virus
Pic entre 3 et 7 heures mais plus de 10h sont nécessaires à la création des signatures
0%
20%
40%
60%
80%
100%
Pic
6-10 heures
20 heur es
Intensité
Attaques de virus typiques
Propagation des virus
Les solutions basées sur des signatures ne sont pas suffisantes
Attaques “brèves”
0%
20%
40%
60%
80%
100%
3-7 he
ures
Intensité
Nouveaux types de virus
Propagation rapide
Plusieurs variantes d’un même virus
0%
20%
40%
60%
80%
100%
Intensité
V.1 V.2 V.3 V.4
Temps de propagation des variantes
84 % des entreprises ont déjà été victimes d’attaques par e-mail
Source : Osterman Research, Messaging Security Market Trends, 2006 – 2009, Juillet 2006
Une nouvelle approche de l’antivirus
Pic de
l’attaque Publication des 1ères signatures
90 % des principales signatures publiées
Protection instantanée
20 à 30 heures
Détection RDP : 0,5 à2 min.
Signatures AV
Protection instantanée et signatures antivirus
Les deux composants de SecurityPlus sont complémentaires
Moteur basé sur des signatures
Protection instantanée
De 5 à 10 heures De 1 à 2 minutes
Temps de réponse
E-mail, web,
messagerie instantanée E-mail
uniquement Services protégés
Oui Oui
Protection
Oui Non
Nettoyage et réparation
Analyse après mise à jour
Bloque les attaques Défense contre les
logiciels espions
Mises à jour périodiques des signatures
En temps réel Système de mise à
jour
Exemple de spam inclus dans une image
Texte inclus dans une image
Texte destiné à leurrer les filtres
heuristiques/
bayésiens
Exemple de spam inclus dans une image
Assemblage de
plusieurs images
Faux positifs
Taux de faux positifs : 1/250 000
Les faux positifs proviennent des messages envoyés en masse
Système de liste blanche afin d’éviter ce
problème
Importance de la protection en temps réel
Pour chaque message reçu SecurityPlus interroge un cache local. Si le message ne correspond à aucun modèle, il interroge la base de données globale (hébergée chez Commtouch, l’éditeur de la
technologie RPD)
Chaque message est comparé aux données les plus récentes
La propagation des virus est si rapide qu’un délai de
5 minutes suffit à laisser passer des centaines de
virus
Bande passante
Si le modèle correspondant au message ne se trouve pas dans le cache, SecurityPlus N’ENVOIE PAS la totalité du message à la base de données globale
Seuls des “extraits” de modèles sont envoyés (environ 500 octets)
Les requêtes de SecurityPlus utilisent moins de 1 % de bande passante
Taille moyenne d’un message : 16 Ko
Taille du modèle envoyé pour les requêtes : 0,5 Ko
Si le modèle ne se trouve pas dans le cache l’utilisation est de 3,125 % (0,5 / 16 x 100 = 3,125 %)
Si 70 % des modèles se trouvent dans le cache,
l’utilisation de la bande passante est de 0,93 %
0,3 (0,5 / 16 x 100) = 0,93 % un pourcentage
négligeable !
Classification des messages : virus
SecurityPlus classe les messages selon plusieurs catégories
Le message ne contient pas de
logiciel malveillant
¾ Pas de risque
¾ Risque inconnu
Le message contient un logiciel malveillant
¾ Risque élevé
¾ Risque moyen
Classification des messages : spam
Le message n’est pas un spam
¾ Inconnu
9
Le message ne contient aucun modèle connu
¾ Non spam
9
Les modèles
indiquent que le message n’est pas un spam
Le message est un spam
¾ Spam confirmé
9
L’expéditeur est
identifié en tant que spammeur
¾ Envoi en masse
9
Les modèles indiquent
que le message fait
partie d’un envoi de
spam mais l’expéditeur
n’est identifié en tant
que spammeur
Configuration par défaut : spams
Les spams sont bloqués par défaut.
Si vous choisissez de les accepter, l’action effectuée dépend de la catégorie :
Spam confirmé Æ ajout de 2.5 points au score de spam
Inconnu Æ le message passe dans la file d’attente locale
Non spam Æ le message passe dans la file d’attente locale
Configuration par défaut : virus
Détection des virus
Risque élevé Æ blocage en temps réel (ou quarantaine)
Risque moyen Æ blocage en temps réel (ou quarantaine)
Inconnu Æ le message passe dans la file d’attente locale
Pas de risque Æ le message passe dans la file d’attente locale
Signalement des faux positifs/faux négatifs
Pour signaler des faux positifs ou faux négatifs, envoyez-les aux adresses indiquées dans les propriétés de la Protection
instantanée (menu Sécurité > Protection instantanée)
Les messages doivent être envoyés en tant que pièce jointe MIME.
Ils doivent contenir la valeur RefID (RefID est une chaîne contenue dans l’en-tête X-MDOP-RefID)
Les faux positifs doivent être envoyés dans un délai d’une semaine après la réception
Si un message provenant d’une liste de diffusion ou d’une
lettre d’information est considéré comme un spam, envoyez-le aussitôt à Alt-N afin d’optimiser le système