décembre 13, 2011
par FREDERIC HER
Alors que Cisco IronPort Email Security Appliance v7.5 vient de sortir, arrêtons nous sur la nouvelle fonctionnalité Outbreak Filters. A la suite de la mise hors d’état de nuire de plusieurs botnets à la fin de 2010, il a été constaté une diminution significative puis une stabilisation du volume de messages spams envoyés dans le monde. Mais ceci n’est pas forcément une si bonne nouvelle car la tendance des spammeurs est de compléter les envois massifs par un nombre croissant d’ attaques plus ciblées et plus intelligentes. Même si les attaques ciblées ne représentent que de l’ordre de 1% du volume des messages spams, ce sont les plus efficaces et les plus difficiles à détecter car chaque message peut être différent. Nous entendons ainsi de plus en plus parler de Advanced Persistent Threats (APTs), de Spear Phishing et de Whaling. Les attaques sont personnalisées et certaines s’appuient notamment sur des données obtenues sur des réseaux sociaux tels que Facebook et Linkedin. Elles sont dangereuses car les messages contiennent une URL qui redirige vers une page Web qui contient du code malicieux. L’efficacité est maximale si un message est correctement orthographié et qu’il semble être envoyé par un ami ou par un collègue !
Les boitiers ESA embarquent depuis longtemps les filtres VOF qui permettent de détecter proactivement qu’une pièce jointe d’un message est infectée avant que les solutions antivirus n’aient la signature correspondante. Les Outbreak Filters sont une évolution de VOF qui peut en plus détecter que le site qui se cache derrière une URL est dangereux. Outbreak Filters permet ainsi de bloquer aussi bien les attaques virales que les attaques non-virales dans lesquelles le danger provient de la redirection vers un site Web externe. Voici comment Outbreak Filters fonctionne :
1- Un message entrant est contrôlé par le moteur Antispam de ESA.
2- Si après application de ses règles, le moteur Antispam considère le message comme potentiellement dangereux, celui-ci il est placé dans une quarantaine. Le message est réévalué périodiquement à l’intérieur de la quarantaine et la décision de la libérer est prise dynamiquement.
3- Lorsque le message est libéré de la quarantaine, il est contrôlé de nouveau par le moteur Antispam qui reçoit constamment des mises à jour de ses règles envoyées par Cisco Security Intelligence Operations (CSIO).
4- Si le verdict est alors que le message est un spam, celui- ci est traité selon la configuration du boîtier pour les messages spams. Il est par exemple placé dans la quarantaine spam de l’utilisateur.
5- Si le message est toujours vu comme un risque potentiel, il est modifié avant d’être délivré, avec la possibilité de réécrire l’URL et/ou de modifier l’objet ou le contenu du message.
6- Si le verdict est que le message est légitime et qu’il n’a pas de caractère dangereux, il est délivré sans modification à son destinataire.
Lorsque l’utilisateur clique sur l’URL réécrite dans le message, il est redirigé vers un proxy public et le contenu de la page Web est vérifié par le service de sécurité Web ScanSafe qui contrôle des milliards de requêtes HTTP par jour. Si la page Web n’est pas dangereuse, l’utilisateur y accède normalement. Par contre, si le site Web est dangereux, l’utilisateur ne peut pas y accéder directement et il voit une page de notification telle que celle-ci :
Il n’est bien évidemment pas nécessaire d’acquérir de licences du service ScanSafe pour profiter de cette fonctionnalité.
Des détails complémentaires concernant Outbreak Filters et les contrôles effectués par ScanSafe sont disponibles ici.
