Презентация на тему "Защита электронной почты,контроль информационного наполнения web трафика"

Скачать презентацию (0.44 Мб)
55 загрузок
0.0 оценка

Презентация: Защита электронной почты,контроль информационного наполнения web трафика

Включить эффекты

1 из 53

ВКонтакте Одноклассники Мой Мир Телеграм

Ваша оценка презентации

Оцените презентацию по шкале от 1 до 5 баллов

0.0

0 оценок

Аннотация к презентации

Посмотреть и скачать презентацию по теме "Защита электронной почты,контроль информационного наполнения web трафика", включающую в себя 53 слайда. Скачать файл презентации 0.44 Мб. Большой выбор powerpoint презентаций

Формат

pptx (powerpoint)
Количество слайдов

53
Слова

другое
Конспект

Отсутствует

Содержание

Слайд 1

Защита электронной почты,контроль информационного наполнения Web трафика

Центр информационных технологий Белгосуниверситет Крутых Александра Николаевна тел. 209-50-98 E-mail: krutykh@bsu.by
Слайд 2
Проблемы, связанные с использованием Интернет ресурсов

Источник распространения вредоносного код, почтовые черви Канал, через который осуществляются атаки Средство скрытого проникновения в корпоративные сети Канал утечки конфиденциальной информации Снижение производительности труда в коллективе
Слайд 3

Источник распространения вредоносного код, почтовые черви черви для интернет-пейджеров (IM-черви, Instant Messaging) черви для файлово-обменных сетей (P2P-черви, peer-to-peer) троянские программы (сокрытие по stealth-технологии, например, rootkit-технологии) потенциально опасные программы (riskware, greyware), например, программы дозвона (dialers), FTP-сервера, telnet-сервера, утилиты удаленного администрирования и т.п. программы шпионы (spyware) рекламные коды (adware)
Слайд 4

Канал, через который осуществляются атаки атаки с использованием социальной инженерии, т.е. человеческого фактора DoS фишинг – мошенничество, целью которого является получение идентификационных данных пользователей вымогательство денег (Gpcode, Krotten, Cryzip.a)
Слайд 5

Средство скрытого проникновения в корпоративные сети spam интернет-пейджеры (IM, Instant messaging) AOL (AOL IM – AIM, Trillian, SameTime Connect) ICQ (ICQPro, ICQ Lite) Microsoft (MSN Messenger, Windows Messenger, Trillian) Yahoo! (Yahoo! Messenger, Trillian) распределенные сети P2P (Peer-to-peer) Файловые обменные сети Распределенные вычислительные сети Службы сообщений Сети групповой работы
Слайд 6

Канал утечки конфиденциальной информации
Слайд 7

Снижение производительности труда в коллективе
Слайд 8
Основные Интернет сервисы

Электронная почта Web ресурсы Интернет пейджеры Пиринговые сети (P2P)
Слайд 9

Системы контроля контента электронной почты
Слайд 10
Основные функции систем контроля контента электронной почты

Предотвращение утечек конфиденциальной информации Защита от атак с использованием социальной инженерии (фишинг/фарминг) Защита от спама Защита от вирусов и другого вредоносного кода
Слайд 11
Электронная почта. Предотвращение утечек конфиденциальной информации

Методы: анализ текста по содержанию (т.е. по определенным ключевым словам или фразам); анализ формальных признаков документа (например, отправитель, получатель и т.д) fingerprints (цифровые отпечатки)- создание базы конфиденциальных документов-образцов, анализируемые документы проверяются на совпадение с образцами из базы
Слайд 12
Электронная почта. Защита от атак типа фишинг/фарминг

Фишинг (phishing)- вид интернет мошенничества, при котором осуществляется получение личной информации от пользователей Интернета путем рассылки электронных писем, направляющих пользователей на сфальсифицированный веб-сайт. Фарминг(pharming) сводится к автоматическому перенаправлению пользователей на фальшивые сайты с целью хищения конфиденциальной информации. В отличие от фишинга, фарминг-атаки практически не требуют выполнения каких-либо действий потенциальной жертвой. Symantec Intelligence Report :: JANUARY 2014
Слайд 13

Методы борьбы: Относитесь с опаской к сообщениям, в которых вас просят указать ваши личные данные. Вероятность того, что ваш банк может запросить подобные данные по электронной почте, чрезвычайно мала.Если вы получили электронное письмо, якобы отправленное банком, перезвоните в банк и уточните, действительно ли вам посылали сообщение. Не заполняйте полученные по электронной почте анкеты, предполагающие ввод личных данных. Подобную информацию безопасно вводить только на защищенных сайтах. Убедитесь, что его адрес начинается с "https://" Не проходите по ссылкам в электронных письмах в формате HTML: киберпреступники могут спрятать адрес подложного сайта в ссылке, которая выглядит как настоящий электронный адрес банка. Вместо этого скопируйте ссылку в адресную строку браузера. Убедитесь, что ваше антивирусное решение способно блокировать переход на фишинговые сайты или установите интернет-обозреватель, оснащенный фишинг-фильтром. Регулярно проверяйте состояние своих банковских счетов (в том числе счетов, к которым привязаны дебетовые и кредитные карты) и просматривайте банковские выписки, чтобы убедиться в отсутствии "лишних" операций. Связывайтесь с банком по телефону всякий раз, когда ситуация покажется вам подозрительной. Следите за тем, чтобы у вас всегда была установлена последняя версия интернет-обозревателя и все обновления безопасности.
Слайд 14
Электронная почта. Защита от спама

Признаки определения спама: сообщение является массовой рассылкой; сообщение рассылается без согласия пользователя; сообщение содержит рекламу; сообщение является анонимным.
Слайд 15
Электронная почта. Что не попадает под спам

Рассылки, на которые пользователь когда-то подписывался (даже если он уже не хочет ее получать и/или забыл, как отписаться). Технические сообщения систем электронной почты, включая сообщения о недоставке писем, которые пользователь не рассылал (во время последних вирусных эпидемий такие случаи участились). Технические сообщения антивирусных систем о том, что в письме найден вирус. Уведомления о доставке, недоставке или прочтении писем получателем.
Слайд 16
Доля спама в почтовом трафике

Январь 2014 в цифрах (от Symantec Corporation) Доля спама в почтовом трафике в январе 2014 составила 62,1 (февраль 2013 - 71,1%).
Слайд 17

Январь 2014 в цифрах (от Symantec Corporation) По категориям: По доменам:
Слайд 18
Электронная почта.Чем вреден спам

Паразитный трафик. 60-70% входящих сообщений - спам. Снижение производительности компании. Случайная потеря важных сообщений при ручной чистке электронной почты. Угроза стабильности работы почтовых серверов. Опасное содержание: вирусы, трояны, запрещенные материалы.
Слайд 19
Электронная почта.Многофакторный анализ

Уровень заголовка Уровень тела письма Вложение
Слайд 20
Методы защиты от спама

Проверка отправителя: Определение Зомби сетей (botnets) Механизм IP репутации Методы аутентификации почтовых серверов Механизм DNSBL (DNS blacklist) Механизм “белых” и “черных” списков Анализ сообщения: Детектирование массовых рассылок Лингвистические методы Механизм SURBL (Spam URI Realtime Blocklists)
Слайд 21
Защита от спама. Проверка отправителя

Технологии аутентификации почтовых серверов с использованием DNS аутентификация по IP адресу сервера отправителя: Sender Policy Framework (SPF) SenderID криптографическая аутентификация отправителя: DomainKeys Identified Mail (DKIM)
Слайд 22

Метод SPF (RFC4408) Администратор (владелец) домена публикует данные, описывающие возможные источники электронной почты с адресами отправителя из этого домена. Почтовый сервер, принимающий E-mail с адресом отправителя из данного домена, может сопоставить реальный источник сообщения (IP-адрес стороны, посылающей почту) с данными, которые опубликовал владелец домена. Результатом анализа SPF-политики на принимающей стороне является SPF-статус сообщения, который может иметь одно из следующих значений: Pass - отправитель сообщения не подделан (согласно анализу SPF-политики). Softfail - сообщение не отвечает "жестким" критериям достоверности отправителя, но нельзя и быть уверенным, что отправитель подделан. Fail - отправитель подделан.
Слайд 23

Метод SPF. Запись в DNS. domain.name. IN TXT "v=spf1 ip4:192.168.0.2/32 +a:www.another.domain.com -all" Данный пример означает: Поддержан протокол SPF версии 1 (v=spf1); Почта с From: someuser@domain.name может приходить (рекомендовано принимать) с: IP-адреса 192.168.0.2/32 Сервера с именем www.another.domain.com Не рекомендовано приниматьболее ниоткуда (-all).
Слайд 24

Проверяет “from”, содержащиеся в теле сообщения e-mail, а не только адреса отправителя уровня SMTP (envelope sender).
Слайд 25

Метод DomainKeys Identified Mail (DKIM) RFC4870, RFC4871 Владелец почтового сервиса (отправитель) генерирует пару криптоключей (публичный и приватный). Публичный ключ публикуется в DNS, а приватный ключ используется на почтовых серверах для пометки всей исходящей корреспонденции. К заголовку каждого письма добавляется DKIM-Signature, которая есть электронная подпись заголовка и тела письма. Другая сторона (получатель) извлекает из поля «From» имя домена и отправляет запрос к серверу DNS, чтобы получить публичный ключ для этого домена, после чего проверяет подлинность подписи в заголовке почтового сообщения.
Слайд 26

Пример записи в DNS:beta._domainkey.gmail.com IN txt "t=y; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4…” Заголовок почтового сообщения DKIM:DomainKey-Signature: a=rsa-sha1; c=nofws; s=beta; d=gmail.com; h=received:message-id:date:from... b=Gjon4OA2c8NfLCBauZskv99Eks....
Слайд 27

Фильтрация почты по распределенным черным спискам DNSBL http://www.spamhaus.org http://www.spamcop.net http://cbl.abuseat.org http://dnsbl.sorbs.net SBL Spamhaus Block List – спам машины и подсетиXBL Exploits Block List – инфицированные машины, открытые прокси различных видовPBL Policy Block List – диапазоны IP адресов, с которых не рекомендуется принимать почту
Слайд 28

Фильтрация почты по распределенным черным спискам DNSBL C:\Documents and Settings\krutix>nslookup Default Server: bsuad.bsu Address: 10.0.0.20 > mail.bsu.by Server: bsuad.bsu Address: 10.0.0.20 Non-authoritative answer: Name: mail.bsu.by Address: 217.21.43.4 > 4.43.21.217.spamhaus.org Server: bsuad.bsu Address: 10.0.0.20 Non-authoritative answer: Name: blocklist.address.is.wrong.spamhaus.org Address: 127.0.0.2 Aliases: 4.43.21.217.spamhaus.org
Слайд 29

Метод GreyListing Почтовый сервер отклоняет сообщение в момент прибытия с ошибкой 4хх Помещает в базу GreyListing следующие данные: IP-адрес сервера, отправляющего почту почтовый адрес отправителя почтовый адрес получателя Легитимный сервер, отправляющий почту повторяет попытку посылки сообщения, т.к. получил ошибку 4хх Сервер получатель по базе GreyListing проверяет вновь полученное сообщение, авторизация прошла – почта доставляется получателю
Слайд 30
Защита от спама. Анализ сообщения

Детектирование массовых рассылок Задачей детекторов массовой рассылки является обнаружение рассылки похожего письма большому количеству абонентов. Distributed Checksum Clearing house (DCC)http://www.rhyolite.com/anti-spam/dcc Для каждого входящего сообщения определяется контрольная сумма и отправляется на DCC-сервер, при сравнении контрольной суммы сервер определяет, сколько раз подобное письмо уже приходило в систему, и по достижении определенного порога прием подобных писем блокируется. Razon
Слайд 31
Слайд 32
Защита от спама. Анализ сообщения

Формальные методызащиты от спама Отсутствие адреса отправителя Отсутствие или слишком большое число получателей Отсутствие IP адреса в системе DNS Фальшивые или некорректные заголовки Фильтрация по размеру сообщения Фильтрация по формату сообщения
Слайд 33
Формальные методызащиты от спама. Фильтрация по формату сообщения
Слайд 34
Защита от спама. Анализ сообщения

Лингвистические методы Фильтрация на основе сигнатур Контентная фильтрация
Слайд 35
Слайд 36

Контентная фильтрация: Статистический метод (Statistical Token Analysis – STA) Метод Байеса (Bayes). Теорема Байеса — одна из основных теорем элементарной теории вероятностей, которая определяет вероятность наступления события в условиях, когда на основе наблюдений известна лишь некоторая частичная информация о событиях. Z = A/(A+B),где А = z1*z2*...*zn,B = (1-z1)*(1-z2)*...(1-zn),zn - спам-оценка каждого слова, входящего в письмо.
Слайд 37

Фильтрация по спискам URLдоменов SURBL (spam URL real-time blacklists) http://www.surbl.org
Слайд 38
Слайд 39
Простые правила защиты от спама

1) Заведите почтовый адрес не на бесплатном сервисе. 2) Никогда и ни под каким видом не публикуйте этот адрес на www-страничках (не указывайте его в письмах на форумах, не ставьте его на своих страничках, не ставьте его в подписи письма). Если же вам позарез нужно опубликовать адрес в ответ на какое-то письмо в форуме - публикуйте его через пробелы: имя @ домен.ru - в этом случае он не попадет в спамерскую базу. 3) Никогда не указывайте этот адрес в формах регистрации на различных серверах. Заведите отдельный бесплатный адрес - только для регистраций - и используйте именно его.
Слайд 40
Системы контроля контента электронной почты

Функции: декомпозиция электронного письма анализ содержимого каждого компонента фильтрация реагирование ведение архива переписки по электронной почте.
Слайд 41

Защита электронной почты– организационные меры в сочетании с техническими средствами

СТБ П 34.101.4-2002 Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Профиль защиты электронной почты предприятия. 01.07.2010
Слайд 42
Системы контроля Web контента
Слайд 43

Борьба с утечкой конфиденциальной информации фильтрации содержимого информации, исходящей из корпоративной сети вовне; блокирования доступа к любой группе ресурсов, которые считаются опасными в связи с принятой в компании политикой безопасности. К таким ресурсам относятся, например: бесплатные почтовые сервисы; файлообменные сайты; социальные сети (например: www.odnoklassniki.ru, http://moikrug.ru ); live journals (ЖЖ); IM (ICQ, jabber, msn и т.д.).
Слайд 44

Обеспечение безопасности использования Интернет-ресурсов блокировка Интернет-ресурсов, содержание которых нежелательно или подозрительно; фильтрация информации, передаваемой по каналу HTTP, по адресам, форматам и содержимому; антивирусная проверка; мониторинг активности пользователей; протоколирование действий пользователей; оповещение о нарушении политики безопасности.
Слайд 45

Повышение производительности и экономия средств категоризация и блокирование доступа к сайтам, не связанным с работой; блокирование загрузки файлов, не относящихся к работе; установка ограничений на типы скачиваемых файлов и на объем пользовательского трафика; получение реальной картины использования сотрудниками Интернет-ресурсов.
Слайд 46

Основные функции: Классификация трафика, приходящего из Интернет Проверка IP, протоколов, URL, типов и объема данных Анализ содержания текстов Распознавание графики Антивирусная проверка Разграничение доступа для определенных категорий пользователей Действие системы
Слайд 47
Алгоритм работы системы контроля Web контента

«Паук» crawler ползает по Сети Загрузка страниц в компьютерный центр Анализ содержания текстов и изображений этого сайта и их классификация Создание БД по категориям сайтов Обновление БД Пользователь просматривает Интернет-ресурсы Инициируется адаптация БД
Слайд 48
Схема классификации содержимого Интернета по категориям
Слайд 49
Пример категорий Web контента

Азартные игры Алкоголь Армия Автомобили/Транспорт Бизнес/услуги Благотворительные фонды Вебпочта Видео Вирусные и вредоносные сайты Для взрослых/эротика Дом/Досуг Загрузки Здоровье Знакомства Игровые порталы Компьютеры и Технологии Криминальная деятельность/хакерство Личные веб-страницы Магазины Музыка Наркотики Насилие Нецензурная речь Новости Образование и обучение Оружие Переводы Поиск работы Поисковые движки Политика и Закон Порнография/секс Правительство Путешествия Религия Риэлторские услуги Сайты знакомств Сообщества Социальные сети Спамерские сайты Спорт и Отдых Табак Фармация Финансы Фишинг Чат Юмор
Слайд 50
Настройка правил
Слайд 51
Технологии фильтрации IM и P2P трафика

Детектирование протокола передачи данных Мониторинг соединений на портах, характерных для IM и P2P трафика Проверка сигнатур передаваемых файлов Антивирусная проверка Фильтрация на основе смыслового анализа текстов сообщений Блокировка спима (спам для IM)
Слайд 52
Обзор систем контентной фильтрации
Слайд 53
Проблемы с русскоязычным контентом

- неполнота базы данных русскоязычных ресурсов; - систематическая погрешность категорирования сайтов, связанная с неучетом российских социально-политических реалий; - систематическая погрешность категорирования сайтов, связанная, как правило, с полностью автоматическим определением категорий русскоязычных сайтов; - низкая оперативность обновления.