أمان البريد الإلكتروني من Cisco: فهم محرك المسح الضوئي القابل للتكيف للسياق (CASE)

المقدمة

إن الزيادة في حجم التهديدات الممزوجة كانت كبيرة. إن العديد من أكثر حالات تفشي الفيروسات خطورة في العامين الماضيين ارتبطت بتسليم البريد العشوائي بمعنى أن حمولة الفيروس تخلق جيشا من أجهزة الكمبيوتر "الميتة الحية" التي تستخدم لإرسال البريد غير المرغوب، والتصيد، وبرامج التجسس، بل وحتى المزيد من الفيروسات. كما تتضاعف برامج التجسس التي يحملها البريد الإلكتروني كل ستة أشهر، وليس من غير الشائع أن تقوم عناوين URL المدمجة بتثبيت "مشغلي المفاتيح" الذين يسرقون أسماء المستخدمين وكلمات المرور. بل يمكن إستخدام الفيروسات لإنشاء شبكة من "الزومبي" لشن هجوم شامل وموزع على حجب الخدمة، كما هو الحال عندما قام متغير Mydoom.B" بإيقاف موقع منظمة شنغهاي للتعاون عن العمل بهجوم منسق.

ما الذي يدفع إلى الزيادة المفاجئة في التهديدات الممزوجة؟ بإختصار، هو المال. ومع انتشار تقنيات مكافحة البريد العشوائي من الجيل الأول (مثل القوائم السوداء وعوامل تصفية المحتوى) على نطاق أوسع، فإن الطرق التقليدية (مثل إرسال البريد العشوائي من بنك ثابت من الخوادم يحتوي على "عرض" في نص الرسالة) أصبحت أقل ربحية. مع إستخدام المزيد من الشبكات لتقنية مكافحة البريد العشوائي، أصبح عدد رسائل البريد العشوائي "البسيطة" أقل مما يمكن من تجاوز عوامل تصفية البريد العشوائي ودخول علبة الوارد الخاصة بالمستلم. وهذا يضر بهامش ربح مرسلي البريد العشوائي ويجبرهم على التكيف مع هذه التغييرات. 

تعامل مرسلو البريد العشوائي مع هذا الموقف بطريقتين متميزتين: 

1. بل إنهم يرسلون المزيد من الرسائل المزعجة على أمل أن يشكل ما يخسرونه في معدلات التسليم تصعيدا في الحجم.
2. إنهم يتحولون إلى هجمات مختلطة لإخفاء رسائلهم وزيادة ربحهم لكل رسالة.

التقنية الثانية غالبا ما تصبح نشاطا إجراميا. لقد تم تأسيس شبكات الجريمة المنظمة بهدف تنفيذ الهجمات والاستفادة من الفيروسات والخداع والتهديدات الأخرى. وفي عام 2004، ألقي القبض على شخص يدعى جون دوفر بعد المتاجرة بأكثر من مليوني بطاقة ائتمان مسروقة من خلال هجمات التصيد الاحتيالي.

كما أصبحت التقنيات المستخدمة في الهجمات المخلوطة أكثر تطورا. أستخدم فيروس Sober.N البريد الإلكتروني وتنزيلات الويب وأحصنة طروادة والموزومبي. لا تتطابق مرشحات تحليل المحتوى التقليدي مع هذه التهديدات الذكية. وجد العديد من مستخدمي الجيل الأول من عوامل تصفية مكافحة البريد العشوائي أنهم يحتاجون إلى قضاء ساعات متزايدة في "تدريب" عوامل التصفية الخاصة بهم أو كتابة قواعد جديدة. ولكن على الرغم من هذه الجهود، فإن معدل صيدها وسعة تدفقها في انخفاض. والنتيجة هي أن التكاليف تتزايد حيث يلزم المزيد من الأنظمة لمواكبة هذا التحميل، في حين يتم إستخدام المزيد من وقت الإدارة لإدارة كل نظام. 

قام Cisco Email Security بمعالجة هذه التهديدات باستخدام تقنية فريدة ممزوجة للدفاع عن التهديدات تعرف باسم محرك المسح الضوئي المتكيف للسياق (CASE). تستخدم تقنية حالة Cisco Email Security لإيقاف كل من البريد العشوائي التقليدي والهجمات المتطورة القائمة على أجهزة الكمبيوتر المحمولة. تستخدم تقنية المسح الضوئي هذه أيضا لمنع الفيروسات والبرامج الضارة وذلك قبل توفر التوقيع ب 42 ساعة - مع إجراء فحص موحد أحادي لضمان الكفاءة.

فهم الحالة، الكشف عن التهديدات الممزوجة في السياق

تم تصميم الجيل الأول من المرشحات للنظر في محتوى رسالة وعمل تحديد. على سبيل المثال، إذا كانت كلمة "حر" تظهر في رسالة أكثر من مرتين، مع كلمة "أعشاب"، فإنها على الأرجح عبارة غير مرغوبة. هذا النهج سهل نسبيا لهزيمة مرسلي البريد العشوائي باستخدام حروف أو أرقام مخفية بدلا من الحروف مثل "f0r y0u" بدلا من "لك". حاولت تقنيات الجيل الثاني، مثل عوامل التصفية البايزية، معالجة هذا الحد عن طريق تعلم التمييز بين خصائص البريد العشوائي والبريد الإلكتروني المشروع تلقائيا. ولكن تبين أن هذه الأساليب تشكل تحديا كبيرا ولم يعد من الممكن تدربها أو إستجابتها بعد فوات الأوان، وأنها أبطأ من أن تسمح بالمسح الضوئي. 

نظرا لتقنيات التشويش المتقدمة المستخدمة مع البريد العشوائي اليوم، تحتاج المرشحات الفنية إلى فحص البريد الوارد في السياق الكامل. تستخدم CASE تقنيات التعلم الآلي المتقدمة التي تحاكي المنطق المستخدم من قبل الإنسان الذي يقيم شرعية الرسالة. يطرح القارئ البشري، بالإضافة إلى تقنية حالة أمان البريد الإلكتروني من Cisco، أربعة أسئلة أساسية:

1. من أرسل لي الرسالة؟
2. أين تأخذني الروابط في الرسالة؟
3. كيف بنيت الرسالة؟
4. ما الذي تحتوي عليه الرسالة؟

ويلي ذلك فحص لكل مجال منطقي يجري تقييمه. 

من؟ 

كما تمت الإشارة مسبقا، فإن الجيل الأول من عوامل تصفية البريد العشوائي يعتمد بشكل أساسي على عمليات البحث عن الكلمات الأساسية لتحديد البريد العشوائي. في عام 2003، أحدثت شركة Cisco (IronPort) ثورة في صناعة أمان البريد الإلكتروني عن طريق إدخال مفهوم تصفية السمعة. في حين أن تصفية المحتوى طرحت السؤال، "ما هو في الرسالة؟ "، فإن تصفية السمعة تطرح السؤال، "من أرسل الرسالة؟ ". وقد وسع هذا المفهوم البسيط ولكن القوي السياق الذي يتم من خلاله تقييم التهديدات. وبحلول عام 2005، كان كل بائع أمن تجاري تقريبا قد اعتمد نوعا من أنظمة السمعة. 

يتضمن تحديد السمعة فحص مجموعة واسعة من البيانات حول سلوك مرسل معين (يتم تعريف المرسل على أنه عنوان IP لإرسال البريد). تأخذ Cisco في الاعتبار أكثر من 120 معلمة مختلفة، بما في ذلك حجم البريد الإلكتروني بمرور الوقت، وعدد "فخاخ البريد العشوائي" التي يصطدم بها هذا IP، وبلد المنشأ، وما إذا كان المضيف معرضا للخطر، وغير ذلك الكثير. لدى Cisco فريق من الإحصائيين الذين يطورون الخوارزميات ويحافظونها، والتي تعالج هذه البيانات لتوليد درجة سمعة. وبعد ذلك، يتم توفير درجة السمعة هذه لجهاز أمان البريد الإلكتروني (ESA) من Cisco المتلقي، والذي يمكنه بعد ذلك كبح جماح المرسل استنادا إلى جدارتها بالثقة. باختصار كلما ظهر المرسل "إسفنجية"، كلما كان ذلك أبطأ. كما تعالج تصفية السمعة المشاكل المرتبطة بأحجام البريد الإلكتروني المتزايدة عن طريق رفض الاتصالات أو خنقها قبل قبول الرسالة، وبالتالي تحسين أداء نظام البريد وتوفره بشكل كبير. توقف عوامل تصفية السمعة الخاصة ب Cisco ESA أكثر من 80 بالمائة من البريد العشوائي الوارد، وهو ما يعادل ضعف معدل اكتشاف الأنظمة المتنافسة تقريبا.

أين؟ 

في حين أن الجمع بين تحليل محتوى البريد الإلكتروني والسمعة كان هو الآخر في عام 2003، إلا أن تطور تكتيكات مرسلي البريد العشوائي وكاتب الفيروسات لا يزال آخذا في النمو. وفي إستجابة لهذا، قدمت شركة Cisco (IronPort) فكرة سمعة الويب وسيلة جديدة بالغة الأهمية لتوسيع السياق الذي يتم فيه تقييم الرسالة. على غرار النهج المستخدم في حساب سمعة البريد الإلكتروني، تبحث Cisco Web Reputation في أكثر من 45 معلمة مرتبطة بالخادم لتقييم سمعة أي عنوان URL محدد. تتضمن المعلمات حجم طلبات HTTP إلى عنوان URL عبر الوقت، وما إذا كان عنوان URL يتم إستضافته على عنوان IP ذي درجة سمعة سيئة، وما إذا كان عنوان URL هذا مقترنا ب "زومبي" معروف أو مضيف كمبيوتر شخصي مصاب، وعمر المجال المستخدم من قبل عنوان URL. كما هو الحال مع سمعة البريد الإلكتروني، يتم قياس سمعة الويب هذه باستخدام علامة محببة، والتي تتيح للنظام التعامل مع غموض التهديدات المعقدة.

كيف؟ 

أسلوب جديد آخر للتحليل السياقي لأمان البريد الإلكتروني من Cisco هو فحص إنشاء رسالة. يقوم عملاء البريد الشرعيون، مثل Microsoft Outlook، بإنشاء الرسائل بطرق فريدة - باستخدام تشفير MIME أو HTML أو وسائل أخرى مشابهة. وفحص بناء رسالة يمكن ان يكشف الكثير عن شرعيتها. ويحدث أكثر الأمثلة دلالة على ذلك عندما يحاول خادم بريد عشوائي محاكاة إنشاء عميل بريد شرعي. وهذا أمر صعب، والمحاكاة غير الكاملة تشكل مؤشرا جديرا بالثقة على رسالة غير شرعية. 

ماذا؟ 

يجب أن يأخذ التحليل السياقي الكامل بعين الاعتبار محتوى رسالة ما، ولكن كما تمت الإشارة إليه سابقا، فإن تحليل المحتوى وحده لا يعد نهجا كافيا لتعريف البريد غير الشرعي. تقوم تقنية حالة Cisco Email Security’s بتحليل المحتوى بالكامل، باستخدام تقنيات تعليم آلة الرسم. وتفحص هذه التقنيات محتوى الرسالة وتدرسها في فئات مختلفة - هل هي مالية أو إباحية أو هل تحتوي على محتوى معروف بأنه مرتبط ببريد عشوائي آخر؟ يتم أخذ تحليل المحتوى هذا بعين الاعتبار في CASE مع السمات الأخرى - من، أين، كيف، وما - لتقييم السياق الكامل للرسالة.

دعوى قيد التنفيذ

نظرا لاتساع البيانات التي تم تحليلها حسب الحالة، يتم إستخدام التقنية في مجموعة متنوعة من تطبيقات الأمان - بما في ذلك IronPort Anti-Spam (IPAS)، و Graymail، و Virus Outbreak Filters (VOF). يسلط المثال التالي الضوء على كيفية إستخدام CASE لإيقاف البريد العشوائي. إن محتوى الرسالة مطابق تقريبا للمنظمة التي تم إختطافها، لذا فإن تحليل محتوى الرسالة لن يحدد أي تهديدات. إلى عوامل التصفية المستندة إلى المحتوى، تبدو هذه الرسالة رسالة مشروعة. لتحديد ما إذا كانت هذه الرسالة بريد عشوائي أم لا، يمكن بسهولة خداع عوامل التصفية التي تعتمد بشكل أساسي على "ما" في التعرف على الرسالة على أنها مشروعة. ومع ذلك، فإن تحليل السياق الكامل للرسالة يرسم صورة مختلفة.

• عنوان IP الخاص بخادم البريد المرسل مريب - لقد حدث زيادة مفاجئة في حجم البريد، والمجال، في المقابل، لا يقبل البريد. 
• يشير عنوان URL للبريد الإلكتروني إلى خادم يبدو أنه في شبكة ذات نطاق ترددي عريض للمستهلك. 
• يختلف عنوان URL المعلن عنه في الرسالة عن عنوان URL "الفعلي" الذي يتم الانتقال إليه من قبل المستخدم عند النقر فوق الارتباط.

وعندما تؤخذ هذه العوامل الثلاثة في الاعتبار في سياقها، يصبح من الواضح أن هذه ليست رسالة مشروعة، بل هي، في الواقع، هجوم عشوائي.

"عوامل تصفية المحتوى" التقليدية ما تبحث عنه عوامل تصفية المحتوى	المسح الضوئي المتكيف مع السياق اية قضية تجد
ماذا؟  محتوى الرسالة شرعي.	ماذا؟ محتوى الرسالة شرعي.
	كيف؟ بناء الرسائل يحاكي Microsoft عميل Outlook.
	من؟ 1) زيادة مفاجئة في حجم البريد الإلكتروني الذي يتم إرساله. 2) في المقابل، لا يقبل خادم البريد البريد البريد.  3) خادم بريد في أوكرانيا.
	أين؟ 1) عدم تطابق بين مجال موقع ويب عنوان URL للعرض والهدف الذي تم تسجيله منذ يوم. 2) موقع الويب المستضاف على شبكة النطاق الترددي العريض للمستهلكين.  3) تظهر بيانات "WHOIS" مالك المجال على أنه مرسل بريد عشوائي معروف.
الحكم: غير معروف	الحكم: المنع

عند إستخدام CASE في عوامل تصفية تفشي الفيروسات، يتم تطبيق نفس إمكانيات التسجيل والتعلم الآلي - وإن كان ذلك على مجموعة بيانات مضبوطة بشكل منفصل. عوامل تصفية تفشي الفيروسات هي حل وقائي لمكافحة الفيروسات تقدمه Cisco ويتم تشغيله بواسطة تقنية الحالة. يقوم حل "عوامل تصفية التفشي" بفحص الرسائل مقابل كل من قواعد التفشي "في الوقت الفعلي" (التي أصدرتها شركة Cisco Talos لتفشي الأمراض بشكل محدد) والقواعد القابلة للتكيف "المستمرة" (التي تنطبق على حالة التفشي في جميع الأوقات)، مما يحمي المستخدمين من التفشي قبل أن تتاح لهم الفرصة للتكوين بالكامل. تمكن الحالة "عوامل تصفية تفشي الفيروسات" من اكتشاف فاشيات الفيروسات والحماية منها بعدة طرق دقيقة. أولا، يمكن أن يقوم CASE بمسح الرسائل ضوئيا بسرعة بناء على معلمات مثل ملحق الملف من المرفق، حجم الملف، اسم الملف، كلمات اسم الملف الرئيسية، سحر الملف (الامتداد الفعلي للملف)، وعناوين URL المدمجة. نظرا لأن تقنية الحالة تحلل الرسائل إلى هذا المستوى من التفاصيل، يمكن ل Cisco Talos إصدار قواعد تفشي بالغة الدقة، والتي تحمي بدقة من تفشي بأقل قدر من الإيجابيات الخاطئة. ويمكن أن تتلقى الحالة بشكل ديناميكي قواعد جديدة لتفشي المرض، مما يضمن حمايتها من أحدث حالات التفشي. 

بالإضافة إلى تحليل الرسائل القائمة على قواعد التفشي، تقوم تقنية الحالة أيضا بفحص الرسائل القائمة على قواعد التكيف. أما القواعد القابلة للتكيف فهي عبارة عن قواعد دقيقة دقيقة ومضبوطة لفحص الرسائل الواردة بحثا عن التشوهات وخصائص الانتحال التي تشير إلى وجود فيروسات. بالإضافة إلى هذه المعلمات، تقوم "القواعد المعدلة" بتسجيل الرسائل استنادا إلى علامة فيروس SenderBase (SBVS) الخاصة بها. درجة SBVS مماثلة لدرجة SenderBase Reputation (SBRS)، ولكن مع تحديد المرتبة استنادا إلى احتمال إرسال الطرف المرسل رسائل بريد إلكتروني فيروسية، بدلا من البريد العشوائي. وترسل معظم رسائل البريد الإلكتروني الفيروسية بواسطة آلات "الزومبي" المصابة سابقا، ولذلك فان تحديد هوية هذه الاطراف المرسلة وتسجيلها هو عامل أساسي في التقاط الفيروسات.

تتيح تقنية حالة Cisco Email Security’s تمكين عوامل تصفية تفشي الفيروسات من إيقاف تفشي الفيروسات قبل حلول مكافحة الفيروسات التقليدية بكثير لأن الحالة تفحص الرسائل بطرق متعددة. كما أنه يتمتع بالقدرة على تحليل العديد من خصائص مرفقات الرسائل ومحتويات الرسائل وإنشاء الرسائل، بالإضافة إلى القدرة على تحليل الرسائل استنادا إلى سمعة المرسل. ولأن CASE يعمل أيضا كمحرك عوامل تصفية مكافحة البريد العشوائي والسمات ل IronPort، فلا يلزم مسح الرسالة إلا مرة واحدة لكل هذه التطبيقات.

أداء فائق وتكلفة منخفضة

يمكن أن يكون المنطق وراء تقنية حالة الأحرف متطورا للغاية، وبالتالي يتطلب معالجة وحدة المعالجة المركزية (CPU) بشكل مكثف للغاية. ولزيادة الكفاءة إلى أقصى حد، يستخدم المركز تقنية فريدة لتحقيق "الخروج المبكر". إن الخروج المبكر يعطي الأولوية لفعالية عدد لا يحصى من القواعد التي تعالجها دراسة الحالة. تقوم تقنية الحالة بتشغيل القواعد التي لها أعلى تأثير وأقل تكلفة أولا. في حالة الوصول إلى قرار إحصائي (سواء كان إيجابيا أو سلبيا)، لا يتم تشغيل قواعد إضافية، مما يوفر موارد النظام. تكمن الروعة في هذا النهج في التوصل إلى فهم جيد لفعالية كل قاعدة. تعمل الحالة تلقائيا على مراقبة وتكييف ترتيب تنفيذ القاعدة مع تغير الفعالية.

تتمثل نتيجة الخروج المبكر في أن معالجة تقنية الحالة للرسائل أسرع بنسبة 100 بالمائة تقريبا من عامل تصفية تقليدي يستند إلى قواعد. ويتميز هذا الأمر بمزايا متميزة لشركات تقديم خدمات الإنترنت والمؤسسات الكبيرة. ولكن لها أيضا فوائد بالنسبة للشركات الصغيرة والمتوسطة. تعني كفاءة CASE، بالاقتران مع فعالية نظام التشغيل AsyncOS لأمان البريد الإلكتروني من Cisco، أنه يمكن تنفيذ ESAs مع نظام التشغيل AsyncOS وتقنية CASE على أجهزة منخفضة التكلفة للغاية - مما يؤدي إلى خفض تكاليف رأس المال. 

طريقة أخرى تترجم تكنولوجيا الحالات إلى تكلفة منخفضة هي التخلص من النفقات الإدارية. يتم ضبط الحالة وتحديثها تلقائيا، آلاف المرات كل يوم. توفر Cisco Talos مهندسين مدربين وتقنيين متعددي اللغات وإحصائيين. يحتوي محللو Cisco Talos على أدوات خاصة تسلط الضوء على الأخطاء في تدفق البريد التي تم اكتشافها في أي شبكة من شبكات Cisco Email Security Customer، أو أنماط حركة مرور البريد الإلكتروني العامة. تقوم Cisco Talos بإنشاء قواعد جديدة يتم دفعها تلقائيا إلى النظام في الوقت الفعلي. وتحتفظ Cisco Talos أيضا بكمية هائلة من "البريد العشوائي واللحم"، والتي تستخدم لتدريب قواعد مختلفة تستخدمها CASE. وتعني قواعد حالة المعلومات التي تم تحديثها تلقائيا أنه لا يتعين على المسؤولين ضبط عامل التصفية أو قضاء الوقت في الخوض في عمليات حظر البريد العشوائي.

ملخص

فالبريد العشوائي والفيروسات والبرامج الضارة وبرامج التجسس وهجمات رفض الخدمة وهجمات حصاد الدلائل كلها مدفوعة بنفس الدافع الأساسي وهو الأرباح. وتتحقق هذه الأرباح إما من خلال بيع البضائع أو الإعلان عنها أو من خلال سرقة المعلومات. وتعمل الأرباح الناتجة عن هذه المبيعات على توجيه هجمات متزايدة التطور، وتطورها مهندسون محترفون. تحتاج أنظمة أمان البريد الإلكتروني المتقدمة إلى تحليل رسالة في أوسع سياق ممكن لمواجهة هذه التهديدات. تطرح تقنية محرك المسح الضوئي القابل للتكيف الخاصة بأمان البريد الإلكتروني من Cisco الأسئلة الأربعة الأساسية التالية: من، وأين، وما، وكيف - التخلص من الرسائل الشرعية من التهديدات المخلوطة. 

• "من" هي سمعة البريد الإلكتروني للمرسل - الذي أرسل الرسالة. 
• "أين" هو سمعة المصدر الذي يستضيف الموقع - مع تحليل أين سيأخذك الارتباط. 
• و"ماذا" عبارة عن تحليل لمحتوى الرسالة - ما تحتوي عليه الرسالة (أنظمة الجيل الأول تعتمد في الغالب على نوع تحليل "ماذا" فقط). 
• وأخيرا، "كيف" هو تحليل لكيفية بناء الرسالة.

هذا الإطار الأساسي من تحليل من، وأين، وكيف، وكيف يعمل بشكل متساو على منع البريد العشوائي كما يعمل على منع تفشي الفيروسات، أو هجمات التصيد الاحتيالي، أو برامج التجسس التي يحملها البريد الإلكتروني، أو تهديدات البريد الإلكتروني الأخرى. يتم ضبط مجموعات البيانات ومجموعات قواعد التحليل بشكل خاص لكل تهديد. تسمح تقنية الحالة ل Cisco ESA بوقف أكبر مجموعة من التهديدات بأعلى مستوى ممكن من الكفاءة من خلال معالجة هذه التهديدات على محرك واحد فائق الأداء.