Comendo skifter motor: F-Secure ikke hurtig nok til en kvart milliard mails i døgnet
Der er ikke plads til for lang tænketid, når en kvart milliard e-mails skal filtreres i løbet af et døgn. Derfor har det danske sikkerhedsfirma Comendo besluttet at udskifte dets antivirusmotor til en hurtigere model.
Det betyder, at F-Secure bliver pillet ud og erstattet med Trend Micro.
»F-Secure var simpelthen ikke hurtig nok. Det kan slet ikke lade sig gøre at bruge den med den mængde data, vi ser. Vi scanner cirka en kvart milliard e-mails om dagen,« siger teknisk direktør Martin Sundahl fra Comendo.
Comendo har tidligere haft flere forskellige antivirusmotorer i dets e-mailscanningssystem for at være sikker på, at en ny trussel blev sporet. Men siden er alle leverandørerne blevet så gode til at opdatere signaturer, at hastigheden blev det vigtigste.
Derfor allierer Comendo sig nu med Trend Micro, som ifølge de to selskaber har en hurtigere motor, der kan følge med den enorme belastning på Comendos systemer. Det skyldes blandt andet, at Trend Micro har lagt en større del af detektionen ud i skyen.
I praksis betyder det, at systemet ser mere på såkaldt reputation til genkendelse af spam og virus end på et digitalt fingeraftryk eller signaturfil. Scanneren sender karakteristika fra en modtaget mail til Trend Micros sky, som giver et svar tilbage ud fra afsender og andre pejlemærker.
Traditionelt har antivirus anvendt signaturer, som kunne genkende et unikt stykke ondsindet software. Den model har imidlertid den ulempe, at signaturerne skal opdateres og sendes ud til hver kunde. I skyen er der reelt kun én kopi af signaturen, som alle kunder får adgang til i samme øjeblik, den bliver lagt ud.
Et andet problem er, at alle kunder får signaturer for alle trusler, også for de trusler der måske kun ramme en enkelt kunde. Det giver enorme signaturfiler og en langsom scanning. Derfor er Trend Micro og visse andre sikkerhedsfirmaer på vej væk fra den traditionelle model.
»Vi skal ikke lave en signaturfil med alt, der kan ske, og sende den ud til kunden. Vi bruger reputation-baseret detektion, men der vil altid være muligheder, som ikke er webbaserede, for at komme ind og ramme klienten,« siger landechef Kim Lindberg fra Trend Micro.
Det kan eksempelvis være trojanske bagdøre, der kan sprede sig via USB-lagermedier og derfor kan inficere en pc, der ikke er forbundet til skyen. Derfor er der nødt til at være mulighed for at opdage denne type trusler ved hjælp af signaturer.
Fokus på en cloud-baseret teknologi er også med til at gøre Trend Micro til en mere oplagt partner for Comendo.
»Vi vil gerne have en partner, der er inde i den verden, og Trend Micro er den eneste, der har endpoint-løsningen. Vi prøvede at kode en masse uden om F-Secure for at få det til at virke, sådan som vi gerne ville, men det kunne vi se, at vi ikke kunne blive ved med,« siger Martin Sundahl.
Partnerskabet mellem Comendo og Trend Micro indebærer også, at Comendo vil tilbyde dets managed security-tjenester på servere og klienter baseret på Trend Micros endpoint-sikkerhed. Det vil sige, at Comendo vil stå for at administrere opdateringer og vedligeholdelse af sikkerhedssoftwaren på kundernes servere og pc'er.
Kommentarer (10)
Er det bare mig eller lyder det ikke som et enormt stort tal? En hurtig udregning giver at det svarer til knap 3000 mails pr. sekund.
Eller har jeg bare en underdimensioneret fornemmelse for hvad "mange mails" i virkeligheden er?
-
0 -
0
Med de mange kunder comendo har ville det ikke overraske mig at tallet er korrekt
-
0
-
0
Tjaeh, jeg har flere kunder med mellem 5-10 brugere. De modtager i gennemsnit 1600 emails per doegn...
En masse spam, men ogsaa en masse relevante emails.
Saaeh en kvart milliard, tjoeh det skl nu nok passe.
-
0
-
0
"Hver dag, døgnet rundt sendes 200 milliarder spam-mails, hvis eneste formål er at lokke folk til at købe produkter som potensmidler og slankepulver.
Det svarer til, at godt 90 procent af alle e-mails, der sendes i dag, er spam."
-
0
-
0
Blot til sammenligning: Verdens største postvæsen, U.S. Postal Services, håndterer i gennemsnit 667 millioner breve og pakker i døgnet. :)
http://www.usps.com/communications/newsroom/postalfacts.htm
Mvh.
Jesper Stein Sandal
-
0
-
0
Mon ikke de fanger ca. 90% med greylisting? Greylisting kræver stort set ingen servertid da mails avises før indholdet analyseres.
-
0
-
0
Hej
Mig bekendt så ligger F-Secure's Signaturer allerede ude i skyen og har gjor det i et lille års tid nu. Alle version 9.X benytter "kun" skyen.
Kan det mon så være at Comendos kunder kan benytte SPF ?? - http://en.wikipedia.org/wiki/Sender_Policy_Framework
\Lenny
-
0
-
0
Der findes metoder der er meget billigere end greylisting. Det undrer mig at 250 mio "mails" (eller rettere mailforsøg) i døgnet skulle være noget problem.
Nogle få servere burde kunne ordne det hvis man ellers sætter det korrekt op. Mailscanning, altså læsning af mailen, bør kun være allersidste check. Det billigste check er HELO-kontrol. Hvis afsenderserveren bruger et eller andet obskurt navn som ETE88EAXY eller sådan, så er det 99,99% sikkert et hostnavn for en Windoze-boks er udsender spam. Kontrollerer man hostnavnet tager det ca. 60% af alle forbindelserne. Derefter kan man køre diverse DNS-, RBL- og SPF-kontroller, det tager typisk 20-30% mere. Derefter kan greylisting tage lidt. De få % der er tilbage kan komme igennem en mailscanning.
-
0
-
0
Det er nok rigtigt, men vi har oplevet at netop DNS og RBL opslag kan være et problem hvis man skal mase flere hundrede mails igennem i sekundet.
-
0
-
0
Der kan slf. være skaleringsproblemer med DNS. Det er klart at man må have noget lokalt DNS/RBL når mængderne stiger til flere hundrede opslag i sekundet.
En metode jeg har brugt tidligere er realtids (eller næsten realtids) statistik over logfiler. Hvis en host eller netværk inden for kort tid fejler med "sikre fejl". Det kan være mange greylistninger på vilkårlige modtageradresser, eller mange DNS-fejl, så rykker man hosten eller netværket over i et firewall-regel der tarpitter forbindelser fra hosten/netværket. På Linux kan det gøres meget billigt på kerneniveau.
Det har to virkning:
1. Det forhindre at spammerne bruteforcer greylistningen.
2. Det giver en en personlig tilfredsstillelse i at vide at man binder ressourcer på spambotten. :-)
Men igen, jeg har ikke prøvet i de mængder du taler om.
-
0
-
0
