Module de sécurité Antivirus, anti-spam, anti-phishing,
SecurityPlus Nouveautés Protection instantanée Anti-phishing Anti-spyware Anti-spam Antivirus Antivirus
Différences entre les versions MDaemon 9.5 Standard Antivirus traditionnel, basé sur des signatures Dernier moteur antivirus Kaspersky Définitions de virus et logiciels malveillants MDaemon 9.5 Pro Protection instantanée Protection en temps réel contre les spams Protection en temps réel contre les virus Antivirus traditionnel, basé sur des signatures Dernier moteur antivirus Kaspersky Définitions de virus et logiciels malveillants
Fonctionnalités Fonctionnalité Mises à jour des définitions programmées Service de mises à jour urgentes Protection instantanée Signatures AV Protection contre les virus anciens comme MyDoom et ILOVEYOU Signatures de reconnaissance des virus et logiciels malveillants Blocage des spams en temps réel Blocage des virus, vers, chevaux de Troie en temps réel Blocage des attaques de phishing en temps réel
Technologies incluses dans la Protection instantanée RPD (Recurrent Pattern Detection) Détecte les nouvelles attaques en quelques minutes Analyse des millions de messages dans le monde entier afin d extraire des «modèles» : modèles de structure et modèle de distribution (voir schémas) Détermine la validité des messages en fonction de ces modèles Protection Zero-Hour contre les virus Couche de protection supplémentaire sans signatures Identifie les nouveaux virus dès leur apparition
Technologie RPD Fonctionnement
Technologie RPD Fonctionnement Classification des modèles dans une base de données
Technologie RPD Analyse et détection des attaques Cette technologie n est pas basée sur le contenu des messages Quasiment pas de faux positifs Protection en temps réel et entièrement automatisée Classification des résultats dans des bases de données
Propagation des virus Pic entre 3 et 7 heures mais plus de 10h sont nécessaires à la création des signatures Attaques de virus typiques 100% Intensité 80% 60% 40% 20% 0% Pic 6-10 heures 20 heures
Propagation des virus Les solutions basées sur des signatures ne sont pas suffisantes Attaques brèves 100% 80% Intensité 60% 40% 20% 0% 3-7 heures
Nouveaux types de virus Propagation rapide Plusieurs variantes d un même virus 100% Intensité 80% 60% 40% 20% 0% V.1 V.2 V.3 V.4 Temps de propagation des variantes
84 % des entreprises ont déjà été victimes d attaques par e-mail Source : Osterman Research, Messaging Security Market Trends, 2006 2009, Juillet 2006
Une nouvelle approche de l antivirus Détection RDP : 0,5 à 2 min. Protection instantanée Signatures AV Pic de l attaque Publication des 1 ères signatures 90 % des principales signatures publiées 20 à 30 heures
Protection instantanée et signatures antivirus Les deux composants de SecurityPlus sont complémentaires Temps de réponse Services protégés Protection Nettoyage et réparation Défense contre les logiciels espions Système de mise à jour Protection instantanée De 1 à 2 minutes E-mail uniquement Oui Non Bloque les attaques En temps réel Moteur basé sur des signatures De 5 à 10 heures E-mail, web, messagerie instantanée Oui Oui Analyse après mise à jour Mises à jour périodiques des signatures
Exemple de spam inclus dans une image Texte inclus dans une image Texte destiné à leurrer les filtres heuristiques/ bayésiens
Exemple de spam inclus dans une image Assemblage de plusieurs images
Faux positifs Taux de faux positifs : 1/250 000 Les faux positifs proviennent des messages envoyés en masse Système de liste blanche afin d éviter ce problème
Importance de la protection en temps réel Pour chaque message reçu SecurityPlus interroge un cache local. Si le message ne correspond à aucun modèle, il interroge la base de données globale (hébergée chez Commtouch, l éditeur de la technologie RPD) Chaque message est comparé aux données les plus récentes La propagation des virus est si rapide qu un délai de 5 minutes suffit à laisser passer des centaines de virus
Bande passante Si le modèle correspondant au message ne se trouve pas dans le cache, SecurityPlus N ENVOIE PAS la totalité du message à la base de données globale Seuls des extraits de modèles sont envoyés (environ 500 octets) Les requêtes de SecurityPlus utilisent moins de 1 % de bande passante Taille moyenne d un message : 16 Ko Taille du modèle envoyé pour les requêtes : 0,5 Ko Si le modèle ne se trouve pas dans le cache l utilisation est de 3,125 % (0,5 / 16 x 100 = 3,125 %) Si 70 % des modèles se trouvent dans le cache, l utilisation de la bande passante est de 0,93 % 0,3 (0,5 / 16 x 100) = 0,93 % un pourcentage négligeable!
Classification des messages : virus SecurityPlus classe les messages selon plusieurs catégories Le message ne contient pas de logiciel malveillant Pas de risque Risque inconnu Le message contient un logiciel malveillant Risque élevé Risque moyen
Classification des messages : spam Le message n est pas un spam Inconnu Le message ne contient aucun modèle connu Non spam Les modèles indiquent que le message n est pas un spam Le message est un spam Spam confirmé L expéditeur est identifié en tant que spammeur Envoi en masse Les modèles indiquent que le message fait partie d un envoi de spam mais l expéditeur n est identifié en tant que spammeur
Configuration par défaut : spams Les spams sont bloqués par défaut. Si vous choisissez de les accepter, l action effectuée dépend de la catégorie : Spam confirmé ajout de 2.5 points au score de spam Inconnu le message passe dans la file d attente locale Non spam le message passe dans la file d attente locale
Configuration par défaut : virus Détection des virus Risque élevé blocage en temps réel (ou quarantaine) Risque moyen blocage en temps réel (ou quarantaine) Inconnu le message passe dans la file d attente locale Pas de risque le message passe dans la file d attente locale
Signalement des faux positifs/faux négatifs Pour signaler des faux positifs ou faux négatifs, envoyez-les aux adresses indiquées dans les propriétés de la Protection instantanée (menu Sécurité > Protection instantanée) Les messages doivent être envoyés en tant que pièce jointe MIME. Ils doivent contenir la valeur RefID (RefID est une chaîne contenue dans l en-tête X-MDOP-RefID) Les faux positifs doivent être envoyés dans un délai d une semaine après la réception Si un message provenant d une liste de diffusion ou d une lettre d information est considéré comme un spam, envoyez-le aussitôt à Alt-N afin d optimiser le système