Comendo skifter motor: F-Secure ikke hurtig nok til en kvart milliard mails i døgnet

Sikkerhedsfirmaet Comendo skifter til Trend Micro for at få en motor, der kan følge med til at scanne en kvart milliard mails i døgnet. Samtidig er de to firmaer enige om, at fremtiden ligger i skyen.

Der er ikke plads til for lang tænketid, når en kvart milliard e-mails skal filtreres i løbet af et døgn. Derfor har det danske sikkerhedsfirma Comendo besluttet at udskifte dets antivirusmotor til en hurtigere model.

Det betyder, at F-Secure bliver pillet ud og erstattet med Trend Micro.

»F-Secure var simpelthen ikke hurtig nok. Det kan slet ikke lade sig gøre at bruge den med den mængde data, vi ser. Vi scanner cirka en kvart milliard e-mails om dagen,« siger teknisk direktør Martin Sundahl fra Comendo.

Comendo har tidligere haft flere forskellige antivirusmotorer i dets e-mailscanningssystem for at være sikker på, at en ny trussel blev sporet. Men siden er alle leverandørerne blevet så gode til at opdatere signaturer, at hastigheden blev det vigtigste.

Derfor allierer Comendo sig nu med Trend Micro, som ifølge de to selskaber har en hurtigere motor, der kan følge med den enorme belastning på Comendos systemer. Det skyldes blandt andet, at Trend Micro har lagt en større del af detektionen ud i skyen.

I praksis betyder det, at systemet ser mere på såkaldt reputation til genkendelse af spam og virus end på et digitalt fingeraftryk eller signaturfil. Scanneren sender karakteristika fra en modtaget mail til Trend Micros sky, som giver et svar tilbage ud fra afsender og andre pejlemærker.

Traditionelt har antivirus anvendt signaturer, som kunne genkende et unikt stykke ondsindet software. Den model har imidlertid den ulempe, at signaturerne skal opdateres og sendes ud til hver kunde. I skyen er der reelt kun én kopi af signaturen, som alle kunder får adgang til i samme øjeblik, den bliver lagt ud.

Et andet problem er, at alle kunder får signaturer for alle trusler, også for de trusler der måske kun ramme en enkelt kunde. Det giver enorme signaturfiler og en langsom scanning. Derfor er Trend Micro og visse andre sikkerhedsfirmaer på vej væk fra den traditionelle model.

»Vi skal ikke lave en signaturfil med alt, der kan ske, og sende den ud til kunden. Vi bruger reputation-baseret detektion, men der vil altid være muligheder, som ikke er webbaserede, for at komme ind og ramme klienten,« siger landechef Kim Lindberg fra Trend Micro.

Det kan eksempelvis være trojanske bagdøre, der kan sprede sig via USB-lagermedier og derfor kan inficere en pc, der ikke er forbundet til skyen. Derfor er der nødt til at være mulighed for at opdage denne type trusler ved hjælp af signaturer.

Fokus på en cloud-baseret teknologi er også med til at gøre Trend Micro til en mere oplagt partner for Comendo.

»Vi vil gerne have en partner, der er inde i den verden, og Trend Micro er den eneste, der har endpoint-løsningen. Vi prøvede at kode en masse uden om F-Secure for at få det til at virke, sådan som vi gerne ville, men det kunne vi se, at vi ikke kunne blive ved med,« siger Martin Sundahl.

Partnerskabet mellem Comendo og Trend Micro indebærer også, at Comendo vil tilbyde dets managed security-tjenester på servere og klienter baseret på Trend Micros endpoint-sikkerhed. Det vil sige, at Comendo vil stå for at administrere opdateringer og vedligeholdelse af sikkerhedssoftwaren på kundernes servere og pc'er.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#8 Deleted User

Der findes metoder der er meget billigere end greylisting. Det undrer mig at 250 mio "mails" (eller rettere mailforsøg) i døgnet skulle være noget problem.

Nogle få servere burde kunne ordne det hvis man ellers sætter det korrekt op. Mailscanning, altså læsning af mailen, bør kun være allersidste check. Det billigste check er HELO-kontrol. Hvis afsenderserveren bruger et eller andet obskurt navn som ETE88EAXY eller sådan, så er det 99,99% sikkert et hostnavn for en Windoze-boks er udsender spam. Kontrollerer man hostnavnet tager det ca. 60% af alle forbindelserne. Derefter kan man køre diverse DNS-, RBL- og SPF-kontroller, det tager typisk 20-30% mere. Derefter kan greylisting tage lidt. De få % der er tilbage kan komme igennem en mailscanning.

  • 0
  • 0
#10 Deleted User

Der kan slf. være skaleringsproblemer med DNS. Det er klart at man må have noget lokalt DNS/RBL når mængderne stiger til flere hundrede opslag i sekundet.

En metode jeg har brugt tidligere er realtids (eller næsten realtids) statistik over logfiler. Hvis en host eller netværk inden for kort tid fejler med "sikre fejl". Det kan være mange greylistninger på vilkårlige modtageradresser, eller mange DNS-fejl, så rykker man hosten eller netværket over i et firewall-regel der tarpitter forbindelser fra hosten/netværket. På Linux kan det gøres meget billigt på kerneniveau.

Det har to virkning: 1. Det forhindre at spammerne bruteforcer greylistningen. 2. Det giver en en personlig tilfredsstillelse i at vide at man binder ressourcer på spambotten. :-)

Men igen, jeg har ikke prøvet i de mængder du taler om.

  • 0
  • 0
Log ind eller Opret konto for at kommentere