web-dev-qa-db-ja.com

spamfiltersがすべてをキャッチするわけではないことを顧客に説明する方法

以前は、ユーザーに基本的なデスクトップサポートを提供していた小さなオフィスで働いていました。

ある日、私は非常に怒っている顧客からの電話に答える必要があり、彼は私の上司に頼みました。彼はどのようにone電子メールがスパムフィルター/ネットワークベースのウイルス対策ソフトウェアをすり抜けることができるかを知りたいと思っていました(そのようなものがあった場合、それは彼が主張したことです)、添付ファイルはウイルス対策によってフィルターにかけられた/キャッチされました。デスクトップ上のソフトウェア。

上司に連絡できるまで、スパムフィルターは完璧ではなく、完璧ではない場合があり、1つの電子メールの管理者が通過する場合があることを彼に伝えなければなりませんでした。

また、私の主張を裏付けるために、彼のウイルス対策ソフトウェアがメールを検出して削除したにもかかわらず、Gmail自体が添付ファイルへのメールを許可することを説明しました。

私の説明は正しかったですか?セキュリティの専門家はこの状況にどのように対処しますか?

28
Ulkoma

あなたの答えはまあまあですが、スパマーとスパムフィルターの間の進行中の「ゲーム」についてもう少し説明できます。これにより、一部のスパムが常に顧客に届く理由が理解できるようになります。

スパムフィルタースパムであるすべてのメールをキャッチしようとします。

Spammersスパムフィルターと人間の両方によって、スパムではないと信頼されているメールを作成しようとします。

スパマーにとって、これはメールを作成することに帰着します...

  1. スパムフィルターを通過させることができます。
  2. 受信トレイに到着すると、正当な電子メールのように見えるため、ユーザーはそれを開きます。
  3. そして、ユーザーが何かを購入したり、マルウェアをインストールしたりするために、ユーザーが内部のリンクをクリックするのに十分興味深いものです。

スパマーはスパムフィルターを購入し、新しいスパム戦略をテストして、メールがフィルターを通過するかどうかを確認します。メールが通過した場合、それらは一歩先です。次に、彼らは実際に出かけて、何百万ものメールを送信し、効果的に新しい戦術を示します。スパムフィルターメーカーは気づき、フィルターを更新します。これは進行中のゲームです。ウイルス業界でも同様です。

リンクや添付ファイルのないスパムを見つけた場合、おそらくフィルターを毒し、フィルターを混乱させ、後でそれらをだましやすくするスパムです。

57
SPRBRN

SPAMフィルターの主な機能は、スパムのように見えるものをすべてブロックすることです。 アンチウイルスソフトウェアの目的は、インストールされているウイルス定義に基づいて、ウイルス(ワームを含む)のシグネチャを持つものを検出して削除することです。両方のプログラムは、異なるヒューリスティックスに基づいて異なって機能します

スパムに見えないメールにはウイルスが含まれている可能性があります。 SPAMフィルターがウイルス対策の機能を実行することは、その主要なタスクではないため、現実的には期待できません。そして、アンチウイルスソフトウェアがインストールされていても、それはすべての種類のウイルスを排除するための絶対的な方法です決してありません

SPAMフィルターがブロックされた電子メールのログを保持している場合、多分あなたはそれが持っているunseen良い仕事を示すことによってクライアントに少し落ち着かせることができます完了しました。

23

すべてのスパムをブロックするスパムフィルターを作成できます。フィルターですべての受信メールをブロックすることもできます。ただし、ほとんどのユーザーはこのようなフィルターを受け入れられないため、ユーザーが受信したくないメールをブロックすると同時に、受信したいすべてのメールを許可するというバランスを見つけることが課題です。フィルターが非常に厳格である場合、誤検知が発生する可能性が高く、正当と見なされる電子メールがブロックされます。ユーザーの親類または友人がスパムメッセージに典型的ないくつかの特性を持つ電子メールを送信する場合、厳密なフィルターはそれをブロックするかもしれませんが、より緩い設定のフィルターはそれを通過させるかもしれません。

それで、フィルターは非常に厳密か、それほど厳密ではないでしょうか?異なるユーザーが問題について異なる見解を持っている可能性があります。正当な電子メールがブロックされないように設定を厳しくしない方がよい場合もありますが、これはより多くのスパムが通過することを意味します。一部のユーザーはスパムを非常に嫌い、スパムを減らす代わりに正当な電子メールがブロックされる可能性を犠牲にしてもかまいません。多数の電子メールユーザーを扱う企業では、すべてのユーザーに適度なレベルのフィルタリングを適用して、一部のスパムが通過するようにする必要があるかもしれませんが、うまくいけば、誤検知がほとんど発生しません。ただし、スパムのブロックと正当な電子メールをブロックする誤検知との間には常にトレードオフがあります。

そして、他の人が述べたように、スパム提供者は常にスパム対策フィルタを凌駕しようとしています。たとえば、スパム検出方法の1つは、既知のスパムメッセージと完全に一致するメールをブロックすることです。メールサービスプロバイダーが受信メールを既知のスパムと比較し、既知のスパムと一致するコンテンツを含むメールメッセージをブロックし始めた後、スパム提供者はスパムメールの本文にランダムな単語を挿入し始めました。テキストはメッセージの背景の色と一致します。たとえば、白い背景の白いテキスト。これにより、スパムフィルターは既知のスパムメッセージとの完全一致に依存できなくなります。

また、ユーザーは、ウイルス対策ソフトウェアがウイルス開発者によってリリースされた直後にすべてのウイルスを検出するわけではないことを理解する必要があります。ウイルス開発者はまた、ウイルス対策ソフトウェアの裏をかくよう常に努力しています。 2013年12月のプレスリリースで、ウイルス対策ベンダーのKaspersky Labは、Kaspersky Labが毎日315,000の新しい悪意のあるファイルを検出していると報告しました。彼らは、前年の数は20万であったと報告しました。新しく開発されたウイルスを含むファイルを最初に受信するほどユーザーが運が悪かった場合、すべてのウイルス対策ベンダーが受信時にその特定のウイルスを認識していない可能性があるため、ウイルスの署名がない可能性があります。ソフトウェア。 xとyの2つの新しいウイルスがリリースされたとします。アンチウイルスベンダーAはyを認識せずにウイルスxを認識し、アンチウイルスベンダーBはyを認識しxを認識しない場合があります。誰かがベンダーBのウイルス対策ソフトウェアを使用している場合、彼はウイルスyから保護されている可能性がありますが、xが侵入してシステムに感染する可能性があります。

10
MoonPoint

私は軍拡競争の類推を使いたいと思います。それは非技術者が理解している身近なテーマだからです。アナロジーは、このような概念を説明しようとするときに役立ちます。また、統計を投入します。最後に、疑似個人的なものを使用して、同じ船に乗っているように感じさせます。このような何かがうまくいくかもしれません:

スパムに対するあなたの不満を完全に理解しましたが、私自身は1日に少なくとも30のスパムを受信して​​います。スパムは、セキュリティ会社が構築したフィルターを回避するための新しい方法をスパマーが発明する軍拡競争です。フィルターが更新されて最新の戦略をブロックすると、スパマーは仕事に戻って、フィルターを回避する別の方法を見つけます。セキュリティ会社は賢いですが、スパマーもそうですが、どんなに優れたフィルターがあっても、一部のスパムは通過します。 130 Billionフィルターをだますために何百もの異なる方法を使用してスパムメールが毎日送信され、業界の最高の頭脳からの最高のテクノロジーでさえ、それを通過する人もいます。

10
GdD

私がいつも使用している説明は、「なぜ防弾チョッキが止まらなかったのかあの弾丸?」 箇条書きの証拠は誤称であり、誰かがあなたの箇条書きの耐性ベストを倒すために設計された弾丸を単に使用したためです。きつすぎる(メールの流れを制限する誤検知)とゆるすぎる(流れているビジネスリソースに対するスパムの流れ)であり、せいぜい、それはMOVINGターゲットです。

誰かが防御をテストするのと同じ速度で、または防御が適応できる速度よりも速くテストを自動化できる場合、どの設定も何かをキャッチしません。

それらは、すべての添付ファイルを取り除き、キューに入れ、x日間隔離するなどの非常に厳密な方法ですが、単なる常識的なメール処理やエンドユーザーの教育よりも管理するPIAです...それがまともな防御、エンドユーザー教育でさえある詐欺戦術に対する防御のみ。

7
Sabre

正解だと思います。

100%防弾ではありません。そのため、ユーザーはいつ、どのように奇妙に見え、次に何をすべきかを理解するために、ある程度の認識と知識が必要です。 (この最後の部分は忘れられ、人々はアプリケーションを信頼しすぎる傾向があります)そのため、これらの状況が発生し、人々はアプリケーションが100%効率的ではないことに気付きます。 :)

6
Hugo

あなたの説明は正しかった。問題を伝えようとするときに、あまり専門的でない用語で説明しようと思います。非技術者は気に入らず、技術的な説明を理解するのに問題があります。したがって、それらを避けてください。特に彼らがすでに動揺しているとき。

車が好きです。この場合、スパムフィルターは車を見るようなものです。車を見ると、メーカーとモデルがわかります。したがって、「GM車の乗り入れ禁止)のようなものは簡単に思えます。整備士がフォードの車体を取り、それをGM車?GM車はフォード車のように見え、視覚的には許可されます。たとえば、エンジンまたはインテリアを見ると、より詳細な外観を作成できます。ただし、エンジンとインテリアはGMを特定するために使用できるもののほとんどが優れたメカニズムによって改ざんされる可能性がある場合、どのように特定しますか?

3
Paraplastic2

電子メールのスパムフィルターは100%効果的ではありません。それは事実であり、あなたはそれを正しく言いました。その名前が示すように、それらはfiltersであり、何かがフィルターに一致しない場合、それはすり抜けますbutこれが、メールの受信中に複数のレベルのセキュリティが使用される理由です。したがって、1つが失敗した場合、実行されるチェックが増えます。今回はアンチウイルスソフトウェアに引っ掛かった。人々は複数のレベルの保護について聞くのが好きです。それ以外に、顧客がfiltersの動作を理解した場合、問題を報告したという事実のおかげで、フィルターを調整できるようになるため、フィルターを調整できないようにすることができます。同様の電子メールを使用して、システムをこれまで以上に安全にします。

2
Dropout

OH MANこれらに対処する必要がなくなったことを嬉しく思います。

スパムフィルターが実際にどのように機能するかを説明します。通常、スパムフィルターには「レーティング」システムがあります(Googleから提供されたシステムはこのように機能していました)。

  • 既知のパターンと一致した場合、評価は上昇します
  • 既知のキーワード(ドラッグ、ポルノ、既知のフィッシングスキームに関連する多くのキーワード)と一致した場合、評価は上がります。
  • システム全体で類似または同じパターンの多数のメールが短期間に受信された場合、評価は上昇します
  • 添付ファイルが「危険な」ファイルタイプと一致した場合、評価は上がる
  • 企業またはユーザーが定義したブラックリストに一致した場合、評価はすぐに100になります。

重要な警告:

  • 通常、スパムフィルターにはウイルス対策が組み込まれていません。
  • フィルターdoesにウイルススキャナーがある場合、100%に近い検出率を持つウイルススキャナーは世界中にありません
  • SPAMフィルターはリスク評価に基づいて機能します。通常、メッセージは、リスクがしきい値を超えている場合にのみスパムと見なされます。私たちの組織のしきい値は70/100でした。
  • SPAMフィルターは通常、繰り返しによって定義を構築します。受信するメッセージが一意であるほど、評価される「リスク」は低くなります
  • メールを「パーソナライズ」するほど、そのメールはユニークになるため、評価されるリスクは低くなります

本当に重要な警告(うまくいけば適用されます):

  • スパムフィルターは100%ではなく、保証されることはありません
  • あなたの会社は便利なものとしてSPAMフィルタリングを提供しています
  • ユーザーは自分のセキュリティを維持する責任があります
2
user41341

誰もが軍備競争について説明しようとしていますが、それは事実ですが、spamfiltersが完璧である場合、スパムはもはや利益がなく、もはや存在しないという非常に単純なロジックがあります。そして、何がスパムで何がそうでないかを100%確信しているので、スパムボックスは存在しないでしょう。

Gmailにもスパムボックスがあり、スパムを受信するので、明らかに、Googleでさえすべてのスパムを排除できないことは明らかです。顧客は、この数十億ドル規模のビジネスよりも優れた成果を期待できるでしょうか?

技術的な理由を尋ねる場合は、次のように説明できます(軍拡競争の別の代替案)。人々はスパムにさらされ、システムがパターンを検出し、スパムメールがブロックされます。しかし、その種の最初のスパム電子メールが到着したとき(100万通の同一のものの前に)、スパムフィルターはこれがまだスパムであることを認識していません。

もちろん、それだけではありませんが、だれでも理解できるものです。

2
Luc