垃圾電子信息發(fā)展趨勢及防御方法

垃圾電子信息發(fā)展趨勢

及防御方法李志霄

微軟中國首席技術(shù)官2007年9月25日僵尸網(wǎng)絡(luò)和Rootkits技術(shù)病毒和蠕蟲網(wǎng)絡(luò)釣魚和網(wǎng)絡(luò)欺詐非授權(quán)訪問垃圾郵件間諜軟件法規(guī)符合性不適當(dāng)?shù)膬?nèi)容公司政策信息丟失/泄漏補丁管理非托管的計算機當(dāng)今面臨的挑戰(zhàn)家庭安全身份盜竊垃圾郵件和網(wǎng)絡(luò)釣魚趨勢在線威脅的演變垃圾郵件→

網(wǎng)絡(luò)釣魚→零天攻擊垃圾內(nèi)容→形象惱人的垃圾郵件→安全威脅的納污池

日益增長的混合迷惑和數(shù)量目標(biāo)攻擊–魚叉式網(wǎng)絡(luò)釣魚（spearfishing)如今90%以上的郵件都是垃圾郵件WindowsLive/Hotmail–每天都有50億電子郵件網(wǎng)絡(luò)釣魚–在一年里增加了9倍世界范圍的威脅“無防護(hù)的”計算機身份盜竊公司登錄授權(quán)驗證跨設(shè)備關(guān)鍵性基礎(chǔ)設(shè)施計劃設(shè)置攻擊數(shù)據(jù)收集貨幣化分析Source:MicrosoftResearch/FSTC網(wǎng)絡(luò)蠕蟲拒絕服務(wù)Phonephreaking-電話一窺-偽造控制頻率騷擾生產(chǎn)力網(wǎng)絡(luò)釣魚/社會工程謀取金錢的攻擊僵尸網(wǎng)絡(luò)和rootkits魚叉式網(wǎng)絡(luò)釣魚-有的放矢的攻擊，以特定的對象為標(biāo)靶身份盜竊惡意軟件零天攻擊更高技術(shù)的攻擊跨設(shè)備攻擊設(shè)定目標(biāo)攻擊信譽跨設(shè)備VOIP威脅的演變：

損害信任、身份和隱私對客戶信賴及在線信任的影響商業(yè)生產(chǎn)力和安全電子商務(wù)/網(wǎng)上銀行國家安全和經(jīng)濟(jì)成長過去現(xiàn)在未來微軟公司的安全策略通過安全創(chuàng)新、用戶指導(dǎo)和行業(yè)合作建設(shè)安全的平臺、產(chǎn)品和服務(wù)以確?？蛻舻陌踩珒?yōu)秀的跨平臺、產(chǎn)品和服務(wù)的基礎(chǔ)其他實現(xiàn)安全的創(chuàng)新教育資訊和工具權(quán)威的應(yīng)急回應(yīng)用戶體驗的安全生態(tài)系統(tǒng)意識和教育協(xié)作與行業(yè)合作關(guān)系政策和執(zhí)法電子郵件保護(hù)發(fā)件者身份架構(gòu)SmartScreen?反垃圾郵件/網(wǎng)絡(luò)釣魚Outlook郵戳瀏覽器保護(hù)微軟公司網(wǎng)絡(luò)釣魚過濾技術(shù)我/我的計算機一個多前線的戰(zhàn)場：

用戶、計算機、電子郵件和瀏覽器

為什么我們需要鑒定--發(fā)件者身份改進(jìn)電子信息的可靠性和信任狀況

從“發(fā)件者行”我們無從知曉其是否被偽造證明為發(fā)送域提供了“驅(qū)動器許可證”，即信譽的基礎(chǔ)商業(yè)價值具有信譽的發(fā)件者身份架構(gòu)（SIDF）改進(jìn)了過濾技術(shù)

改進(jìn)了輸送能力和因而發(fā)生的電子郵件打開率

（openrates）保護(hù)品牌和域的可信性和信譽用戶信賴和信任得到提高易用性發(fā)件者身份架構(gòu)SIDF機理:SIDF是以IP為基礎(chǔ)的解決方案，經(jīng)由合併「發(fā)件者策略架構(gòu)」(SPF)和「MicrosofteCallerID電子郵件呼叫者識別碼」而產(chǎn)生。2006年4月，IETF頒布了寄件者識別碼規(guī)格RFC4405-4408在SIDF內(nèi)，SPF記錄提供一份純文字記錄，載明了所有與某網(wǎng)域關(guān)聯(lián)的輸出郵件服務(wù)器，及其對應(yīng)的IP位址。組織會將SPF記錄發(fā)佈到其DNS服務(wù)器區(qū)域檔，供收件者郵件服器務(wù)日後檢查。設(shè)定SPF記錄是既快速、容易而又免費的過程?！讣募咦R別碼架構(gòu)SPF記錄精靈」(SenderIDFrameworkSPFRecordWizard)提供按部就班的操作程序，可檢查網(wǎng)域郵件伺服器並建立要準(zhǔn)備發(fā)佈的自訂記錄(有關(guān)如何發(fā)佈SPF記錄的詳細(xì)資料，請參閱/senderid。您可以從/senderid/wizard直接存取該精靈)。收件端SMTP服務(wù)器會對DNS中網(wǎng)域的區(qū)域檔執(zhí)行ping以檢查是否有SPF記錄。找到後，即檢查比對寄件服務(wù)器的IP位址與記錄中所列的IP位址。若發(fā)現(xiàn)相符項目，則驗明該郵件並非假冒。要不然，如果寄件者的網(wǎng)域SPF記錄與郵件的來源IP位址不符，就算驗證失敗並給予負(fù)分評價，而該郵件可能會被放入垃圾郵件資料夾中。具有信譽的鑒定標(biāo)示郵件後，SIDF會讓收件服務(wù)器根據(jù)寄件人過去的習(xí)性、信譽、郵件內(nèi)容或其他可依需要定義的條件來分析郵件。這項功能提供了額外的安全保障。例如，濫發(fā)垃圾郵件者可能會登記酷似的網(wǎng)域和SPF發(fā)佈記錄，而讓使用者和收件端網(wǎng)路受騙誤以為郵件來自合法的寄件者。但即使這類電子郵件能通過驗證檢查，寄件者濫發(fā)垃圾郵件惡名遠(yuǎn)播就足以構(gòu)成將郵件被封鎖、歸為垃圾或刪除的條件。具有信譽的鑒定

提高輸送能力失敗通過SPF正文記錄(DNS區(qū)文件）發(fā)件者身份檢查PRA/MailFrom發(fā)件者名譽系統(tǒng)鑒別發(fā)件者是誰鑒定證據(jù)信譽的應(yīng)用發(fā)送名譽用戶反饋信譽是如何實現(xiàn)的四種重要過濾方法四種都是有用的、必要的，仍需改進(jìn)的信譽可克服過濾技術(shù)局限性名譽內(nèi)容過濾器收件箱垃圾已刪除阻止列表------------------------------------------------------------------------個性化瀏覽器保護(hù)微軟公司網(wǎng)絡(luò)釣魚過濾技術(shù)WindowsIE7WindowsLiveToolBar

我/我的計算機強有力的安全保護(hù)

IE7–

第二道防線對技術(shù)攻擊的保護(hù)限制編程訪問減少受攻擊面當(dāng)設(shè)置不安全時發(fā)出警告簡化體系結(jié)構(gòu)對社會工程攻擊的保護(hù)反網(wǎng)絡(luò)釣魚輕松識別安全站點地址欄造假“單點”清除增強的第三方確認(rèn)證書（SSL）設(shè)計要求客戶利益和安全措施隱私

對虛假信息的防護(hù)微軟公司網(wǎng)絡(luò)釣魚過濾技術(shù)對欺詐性網(wǎng)頁站點的有力保護(hù)保護(hù)用戶免遭網(wǎng)絡(luò)釣魚威脅的3項“檢驗”將網(wǎng)頁站點與已知的合法站點的本地列表相比較掃描站點是否具有釣魚站點的共同特征

再次檢驗站點是否符合onlineMicrosoftservice上實時更新的已通告的釣魚站點。自Beta1啟用起，超過120萬釣魚攻擊都被阻攔下來。級別1:警告

以信號通知可疑的網(wǎng)頁站點級別2:阻止

對已證實的釣魚站點以信號通知并實行阻止。在InternetExplorer7和WindowsLive中警告和保護(hù)的兩種級別微軟公司網(wǎng)絡(luò)釣魚過濾技術(shù)

針對欺詐性網(wǎng)站的實時保護(hù)客戶指導(dǎo)和教育

/athome/security

在美國，每月不重復(fù)使用人數(shù)（uniqueuser）為1700萬。在全世界，有1300萬不重復(fù)使用人數(shù)24種當(dāng)?shù)卣Z言在超過35個市場應(yīng)用協(xié)作

政府、行業(yè)和企業(yè)立法和執(zhí)法立法的重要性是什么？為資訊人員的合法市場提供公告對已成為或?qū)⒁蔀槔]件制造者的人造成激冷效應(yīng)在適當(dāng)?shù)陌咐性试S實施各國一致的反垃圾郵件法有效避免“安全港”

促進(jìn)國際和公眾/企業(yè)合作政府在提高在線安全方面的積極作用它應(yīng)是什么樣的？嚴(yán)厲的民事或刑事處罰表現(xiàn)了常用的策略欺詐性的電子郵件（主題、標(biāo)題、發(fā)信人地址欄）

收獲（例如詞典攻擊）/Scripted帳戶創(chuàng)建不包含單純的通郵活動

保護(hù)ISP相應(yīng)的反垃圾郵件民間執(zhí)行權(quán)利所有有責(zé)任的方面，而并不僅是發(fā)件者保護(hù)觀念和信息的自由流通“PEBRs”和“未請自到商業(yè)郵件”

的清晰定義不包括無效的“DoNotEmailRegisters”執(zhí)法的重要性是什么？對我們客戶的威脅日趨增長客戶關(guān)注的電子郵件問題之一WindowsLive/MSN有超過兩億六千五百萬的常用帳戶，是世界上最大的基于網(wǎng)絡(luò)的電子郵件服務(wù)。

每天阻止超過45億的垃圾郵件--巨大影響對于公司的基礎(chǔ)設(shè)施、設(shè)備、人員、生產(chǎn)力有巨大的影響對ISP們來說應(yīng)擁有一定的民間執(zhí)行權(quán)利與執(zhí)法機構(gòu)和政府部門的合作至關(guān)重要微軟在全球起訴和協(xié)助執(zhí)法機構(gòu)處理了超過400個垃圾郵件、網(wǎng)絡(luò)釣魚、間諜軟件案件主要教訓(xùn)：垃圾郵件者的狡詐和國際化趨勢日益增長有效的立法和執(zhí)法至關(guān)重要需要政府和行業(yè)的積極協(xié)作#1

鑒別國內(nèi)和國外的電子郵件

支持可信生態(tài)系統(tǒng)#3

使用標(biāo)準(zhǔn)和最佳實踐開發(fā)創(chuàng)新產(chǎn)品和服務(wù)#4

給企業(yè)和客戶提供說明建議#2

企業(yè)、行業(yè)、政府部門的協(xié)作呼吁行動起來（CallToAction)

最大程度建立信賴和信心摘要

執(zhí)行發(fā)件者ID–國內(nèi)的和國外的發(fā)布您的SPF記錄

/senderid/wizard

部署IE7實施您的域防御計劃白皮書/safety更多信息/safety/senderid/athome/security

/

謝謝備份幻燈片公司SIDF采用

金融機構(gòu)－

早期采用者來源：10/20DNSquery美國銀行香港分行

中國銀行交通銀行東亞銀行中國中信銀行中國建設(shè)銀行道亨銀行星展銀行中國工商銀行港基國際銀行民生銀行浦東發(fā)展銀行深圳發(fā)展銀行7%24%0%14%56%80%+0%10%20%30%40%50%60%70%80%90%

F500-July-05

F500-Oct-07

ChinaBanks

FDICBanksF500-BanksF500-MktDomains發(fā)件者身份架構(gòu)（SIDF）公司采用財富500強和銀行網(wǎng)絡(luò)釣魚發(fā)展－日益增長的威脅來源：反網(wǎng)絡(luò)釣魚工作小組06年11月4,3677,1979,10311,12110,04719,00037,444OctDec-05FebAprilJuneAugOct唯一有效的網(wǎng)絡(luò)釣魚URLs-APWG11/2006發(fā)件者ID名譽示例垃圾郵件特征非垃圾郵件特征特征權(quán)數(shù)特征權(quán)數(shù)免費-0.0413文檔

+0.0084免費（主題欄）-0.2397記錄+0.0402熱點（Hot）-0.0453機密的+0.0925色情-0.0756工作+0.1323文憑-0.1776文章+0.0234Viagra-0.3222Apple+0.1196域垃圾郵件名譽非垃圾郵件名譽特征權(quán)數(shù)特征權(quán)數(shù)Softfail

-1.7203通過+3.1642大的ISPNeutral-1.4998通過+3.7272國家零售商Softfail-2.1300通過+2.1255商業(yè)站點Softfail-0.8428通過+3.6682內(nèi)容特征發(fā)件者ID名譽特征

注意：權(quán)數(shù)經(jīng)常改變。上表所示值僅供說明。域防御策略

看起來像的（looka-like）域,品牌侵害和欺詐性的域獲取

目標(biāo)保護(hù)您的客戶、保護(hù)您的品牌以及將網(wǎng)絡(luò)釣魚者繩之以法策略 1.觀察,2.記錄,3.恢復(fù)和幫助移除涉案內(nèi)容（takedown）戰(zhàn)術(shù)與“移除涉案內(nèi)容服務(wù)（takedownservice）”合作創(chuàng)建一個突發(fā)事件響應(yīng)策略清查盤存所有的品牌和域集中化管理/更新評審“Whois”信息微軟公司域結(jié)果超過125,000個域被監(jiān)控/超過3,300個域被獲得/4,700個域被移除涉案內(nèi)容（takedowns）名譽－對交付的影響涉及到投資、利率和財務(wù)信息的電子郵件通過過濾和啟發(fā)法得出負(fù)的得分-.3103,傾向于將郵件置于垃圾郵件文件夾。來自具有良好名譽的已知銀行的郵件通過SIDF，獲得了+3.6682的正得分網(wǎng)絡(luò)得分為3.3579，將導(dǎo)致其被傳送到收件箱Outlook2007電子郵件郵戳難題–個人用戶郵件出現(xiàn)時，可能會被過濾器當(dāng)作垃圾郵件。但其實它是合法的。

提高輸送能力和合法性，減少被認(rèn)定為垃圾郵件的風(fēng)險。解決方案－電子郵件郵戳MicrosoftSmartScreen分析郵件可能在接收網(wǎng)絡(luò)時引發(fā)啟發(fā)法的內(nèi)容Outlook在郵件發(fā)送前，附上一