Vervuiling, zo leren ons biologen en chemiewetenschappers, moet je aanpakken bij de bron. Vertaald naar cyberspace met zijn ontelbare informatiebronnen, impliceert dat een grote waakzaamheid aan de poort bij het doorlaten van elektronische berichten in de werkomgeving of zelfs het privédomein. De meest gebruikte internet toepassing is zonder twijfel nog altijd e-mail.
Je kan het zo gek niet verzinnen, maar mensen zijn nu bijna overal in de gelegenheid om een mailtje te sturen of te ontvangen. De wereld is een stuk kleiner geworden, althans voor wat betreft het berichtenverkeer. Tegelijkertijd zet die brede acceptatie van e-mail en alle voorzieningen daaromheen de poort open voor ongenode gasten op onze vitale informatie-infrastructuur. En ondanks alle waarschuwingen van IT-specialisten en beveiligingsexperts laten veel bedrijven omwille van het gebruiksgemak essentiële restricties in het e-mailverkeer achterwege of maken onvoldoende gebruik van de functionaliteit binnen de voorhanden beveiligingsvoorzieningen. Voor het installeren en onderhouden van een mailserver gaat een systeembeheerder een week op cursus. Die training wordt blijkbaar overbodig geacht wanneer het gaat om het optimaal inrichten van de anti-spam en al helemaal de e-mail beveiliging.
Tegenhouden in handshaking fase
Zo kent de veel toegepaste mailserver Microsoft Exchange uitgebreide functionaliteit voor het distribueren van e-mailberichten binnen een onderneming inclusief het mobiele verkeer naar en van de smartphones van de medewerkers in de buitendienst. Uit beveiligingsoogpunt is het gewenst om vanuit meerdere lagen een protectie tegen ongewenste mail op te bouwen. Exchangeserver versie 10 biedt een rudimentaire vorm van spamfiltering (Single Threat Management Gateway) maar die haalt niet het niveau van een volwassen email security appliance. Een combinatie van de mailserver met een appliance, blijkt in de praktijk een effectieve en noodzakelijke oplossing voor veilig in- en outbound mobiel en gewoon e-mailverkeer. De kracht van een E-mail Content Security Appliance zit in het tegenhouden van de ongewenste berichten aan de voorkant van het netwerk. Iedereen die wel eens het script van een smtp-sessie onder ogen heeft gehad, weet dat er eerst een reeks verkennende commado's over de lijn gaan voordat de echte connectie tot stand komt . De appliance richt zich op de reputatie van de bron en zal bij twijfel de 'e-mail – handshaking' fase gewoon afblazen. Er vindt dus helemaal geen overdracht van berichten plaats.
De aanpak met een E-mail Content Security Appliance is gebaseerd op een validatie van de IP-adressen via een permanent ingesteld controle orgaan, Reputation Authority, die de content van een bericht afzet tegen de reputatie van de bron van herkomst. Zo wordt aan de kwalificaties goed of slecht bepaalde wegingsfactoren gehangen. Immers er is geen grote e-mail bron die niet ergens op een blacklist staat. Juist het gewicht en de e-mail volumes waarop de analyse is gebaseerd, zijn maatgevend. Door dit ‘in the cloud te doen', wordt tijdwinst behaald, naar schatting 98 tot 99 procent van de berichten van in het verleden aantoonbaar verdachte bronnen komen niet naar binnen en de resterende iets minder verdachte worden op basis van allerlei ‘lokale' analyses onderzocht.
Legitieme e-mail wordt doorgelaten en verdachte e-mail wordt in quarantaine geplaatst. Die laat zich vervolgens door een systeembeheerder handmatig opschonen. Aan het proces van content controle ligt een statistische analyse te grondslag. Indien de tekst van een inkomend e-mailbericht bijvoorbeeld namen bevat van medewerkers van de onderneming waar een appliance is geplaatst, als er in het bericht verder ook bekende productnamen van het betrokken bedrijf staan, alsmede andere voor het betreffende bedrijf gangbare context, is de kans heel gering dat het om spam gaat. Ten behoeve van dit leerproces vanuit de context van het bericht is het juist daarom zinvol om een appliance zowel voor inkomende als uitgaande mail in te zetten. Aan de hand van automatisch aangeleerde criteria onderscheidt de appliance de normale berichten. Randvoorwaarde is om het automatisch forwarden van alle e-mail niet toe te staan. Slechte context zou anders ook als betrouwbaar zijn te kwalificeren, en door dit op deze wijze toe te passen wordt juist een optimale anti-spam score bereikt.
Content analyse versus blacklist
Spamfiltering op basis van content analyse levert een beter resultaat dan puur het controleren aan de hand van een blacklist, dus lijsten met woorden die associaties oproepen met ongewenste boodschappen. Maar wat voor de één spam is, hoeft dat niet voor een ander te zijn. In e-mail verkeer van- of naar een apotheek behoeft het woord viagra niet abnormaal te zijn, terwijl iemand op zijn particuliere adres wellicht helemaal niet gediend is van frequente e-mails met aanbiedingen van potentieverhogende middelen. In de context van de omgeving waarin toegepast, kijkt de appliance naar het volume van de berichten waarin bepaalde terminologie veelvuldig voorkomt. Indien de appliance zeker 98 tot 99 procent van de ongewenste e-mails afvangt, wordt er ook minder beslag gelegd op de opslagcapaciteit van e-mailservers en behoeft er ook minder back up capaciteit te worden aangesproken. Met een E-mail Content Security Appliance zijn besparingen op e-mail volumes te realiseren die afhankelijk van de toegepast systeemconfiguraties variëren tussen een factor 20 en een factor 50.
In omgevingen waar het e-mailverkeer van vitaal belang is voor de primaire bedrijfsprocessen , bijvoorbeeld in de financiële dienstverlening, biedt een appliance met een queuing-functie de garantie dat geen enkele e-mail verloren gaat tijdens de analyse van de inhoud. In redundante uitvoering met synchroon (in schaduw) lopende processen nemen de meervoudig uitgevoerde eenheden van de cluster elkaars taken over in geval van storing. Omwille van de juridische bewijslast bij geschillen over financiële transacties kan deze appliancecluster uitkomst bieden. Door de omvang van het e-mailverkeer zien financiële dienstverleners zich soms genoodzaakt externe, gespecialiseerde partijen in te huren. De appliance gedraagt zich dan conform de spelregels van Sender Policy Framework (SPF) waarin wordt bepaald vanaf welke ip-adressen namens bepaalde domeinen mail mag worden verstuurd. Bij afwijking wordt dit onmiddellijk vastgesteld.
Met Data Leakage Prevention (DLP) heeft een bedrijf ook in juridische zin zich ingedekt voor het geval er onverhoopt toch berichten terecht komen op plekken waar dat niet de bedoeling is. Deze oplossing kan documenten tegenhouden op basis van bestandstype. Maar via woordenlijsten is de E-mail Content Security Appliance ook aan te leren wat confidentieel is en wat niet. Indien we een document in PDF- formaat of ander formaat laden en dezelfde of soortgelijke tekst daarna ook in een ander formaat zoals MS Word-formaat zenden, dan herkent de appliance deze tekst en daarmee het document onmiddellijk. Maar ook op basis van logica zijn bepaalde patronen te herkennen zoals een Burger Service Nummer, een bankrekening of credit-card nummer en zelfs een medicijncode. Afhankelijk van de instelling wordt een document geweigerd of versleuteld. Verder is het mogelijk slechts aan bepaalde personen autorisatie toe te kennen om documenten te verzenden, die in dat geval uiteraard altijd versleuteld zijn.
NB. Dit artikel is mede tot stand gekomen in samenwerking met Etienne van der Woude, Sales Manager Benelux WatchGuard Technologies
