Come spiegare a un cliente che i filtri antispam non catturano tutto

La tua risposta è abbastanza buona, ma potresti spiegare un po 'di più il "gioco" in corso tra spammer e filtri antispam. Ciò rende comprensibile il motivo per cui alcuni spam troveranno sempre la loro strada verso il cliente.

I filtri antispam cercano di catturare tutta la posta che è spam.

Gli spammer tentano di creare mail di cui non ci si può fidare, sia per i filtri antispam che per gli esseri umani.

Per gli spammer, questo si riduce alla creazione di mail che ...

1. può passare filtri spam;
2. quando arrivano nella posta in arrivo sembrano email legittime, quindi l'utente lo apre;
3. e quindi è abbastanza interessante da consentire agli utenti di fare clic sul link all'interno per acquistare qualcosa o installare un malware.

Gli spammer acquistano filtri antispam e testano le loro nuove tattiche di spam per vedere se la loro posta passa il filtro. Se la posta passa, sono un passo avanti. Poi escono allo scoperto, inviano milioni di mail, mostrando in modo efficace la loro nuova tattica. I produttori di filtri antispam notano e aggiornano il loro filtro. Questo è un gioco in corso. È simile nel settore dei virus.

Quando vedi lo spam che non ha collegamenti o allegati, è probabilmente lo spam ad avvelenare i filtri, a confondere i filtri, per rendere più facile ingannarli in seguito.

La funzione principale di un filtro SPAM è bloccare qualsiasi cosa che assomigli a uno SPAM. L'obiettivo di un software anti-virus è quello di rilevare e rimuovere tutto ciò che possiede la firma di un virus (worm incluso) in base alla definizione del virus installato. Entrambi i programmi funzionano in modo diverso in base a differenti euristiche .

Un'e-mail che non sembra uno SPAM può contenere un virus. Non è possibile aspettarsi realisticamente che un filtro SPAM esegua il lavoro di un anti-virus poiché non è il suo compito principale. E anche con un software antivirus installato, è mai un metodo infallibile per eliminare tutti i tipi di virus.

Se il tuo filtro SPAM mantiene un registro delle e-mail che sono state bloccate, allora forse puoi tranquillizzare il tuo cliente mostrando il buon lavoro non visto che ha fatto.

Mi piace usare l'analogia di una corsa agli armamenti poiché è un tema familiare che le persone non tecniche comprendono. Le analogie sono utili quando si cerca di spiegare concetti come questo. Anche inserire statistiche. Infine, usa alcune cose pseudo-personali per farle sentire come se fossi sulla stessa barca. Qualcosa del genere potrebbe funzionare:

Comprendo perfettamente la tua frustrazione con lo spam, io stesso ricevo almeno 30 spam al giorno, e anche se quasi tutti vengono rilevati dai filtri antispam, quello occasionale lo fa e sporca la mia casella di posta. Lo spam è una corsa agli armamenti in cui gli spammer inventano nuovi modi per aggirare i filtri creati dalle società di sicurezza. Quando un filtro viene aggiornato per bloccare gli ultimi stratagemmi, gli spammer tornano al lavoro per trovare un altro modo per aggirarlo. Mentre le società di sicurezza sono intelligenti, lo sono anche gli spammer, quindi non importa quanto siano buoni i filtri che uno spam sta per superare. 130 email di miliardi vengono inviate ogni giorno utilizzando centinaia di modi diversi per ingannare i filtri e anche con la migliore tecnologia di alcune delle menti più raffinate del settore, alcuni ce la fanno.

È possibile creare un filtro antispam che bloccherà tutto lo spam; si potrebbe semplicemente avere il blocco del filtro tutta la posta in arrivo. La maggior parte degli utenti troverà inaccettabile tale filtro, quindi la sfida è trovare un equilibrio tra il blocco delle e-mail che gli utenti non vogliono ricevere, ma allo stesso tempo consentire attraverso tutte le e-mail che vogliono ricevere. Se il filtro è molto severo, probabilmente vi saranno falsi positivi e le e-mail che considererebbero legittime verranno bloccate. Se un parente o un amico dell'utente invia un'email che ha alcune caratteristiche tipiche dei messaggi di spam, un filtro rigoroso potrebbe bloccarlo mentre un filtro con più impostazioni allentate potrebbe consentirlo.

Quindi il filtro dovrebbe essere molto severo o meno rigoroso? Utenti diversi possono avere opinioni diverse sull'argomento. Alcuni potrebbero preferire impostazioni meno rigide, in modo che nessuna email legittima sia bloccata, ma ciò significa che lo spam viene superato. Alcuni possono odiare lo spam così tanto da essere disposti a rinunciare alla possibilità di bloccare l'e-mail legittima in cambio della riduzione dello spam. Una società che si occupa di un gran numero di utenti di e-mail potrebbe dover scegliere un livello moderato di filtraggio che si applica a tutti gli utenti, in modo tale che lo spam passi attraverso, ma, si spera, ne risultino pochi falsi positivi. Ma c'è sempre un compromesso tra il blocco dello spam e dei falsi positivi che bloccano le email legittime.

E come altri hanno già menzionato, i fornitori di spam cercano costantemente di superare in astuzia i filtri anti-spam. Ad esempio, un metodo di rilevamento dello spam consiste nel bloccare l'e-mail che corrisponde esattamente ai messaggi di spam noti. Dopo che i provider di servizi di posta elettronica hanno iniziato a confrontare la posta in arrivo con lo spam noto e bloccato qualsiasi messaggio di posta elettronica con contenuto corrispondente allo spam noto, i fornitori di spam hanno appena iniziato a inserire parole casuali nel loro messaggio di posta indesiderata, spesso in testo invisibile agli utenti avendo il colore del il testo corrisponde al colore dello sfondo del messaggio, ad esempio il testo bianco su sfondo bianco, in modo che i filtri antispam non possano più fare affidamento su corrispondenze esatte con i messaggi di spam conosciuti.

E gli utenti dovrebbero capire che il software antivirus non cattura tutti i virus non appena vengono rilasciati dagli sviluppatori di virus. Gli sviluppatori di virus sono inoltre costantemente impegnati a superare i software antivirus. In un comunicato stampa del dicembre 2013, Kaspersky Lab, un fornitore di antivirus, ha riferito che Kaspersky Lab rileva ogni giorno 315.000 nuovi file dannosi. Hanno riferito che il numero per l'anno precedente era 200.000. Se un utente è abbastanza sfortunato da essere tra i primi a ricevere un file contenente un virus appena sviluppato, non tutti i produttori di antivirus possono essere a conoscenza di quel particolare virus nel momento in cui lo riceve e quindi potrebbe non avere una firma per il virus nella loro Software. Supponiamo che vengano rilasciati due nuovi virus, xey, il fornitore di antivirus A potrebbe essere a conoscenza di virus x, ma non di y, mentre il fornitore di antivirus B potrebbe essere a conoscenza di y ma non di x. Se qualcuno sta usando il software antivirus del fornitore B, potrebbe essere protetto dal virus y, ma x potrebbe passare e infettare il suo sistema, se non è cauto e apre un file che lo contiene.

La spiegazione che ho sempre usato è l'analogia di "Perché il mio giubbotto antiproiettile non si è fermato quel proiettile?" è perché la prova a prova di proiettile è un termine improprio e qualcuno ha semplicemente usato un proiettile progettato per sconfiggere il tuo giubbotto resistente ai proiettili ;) La maggior parte delle persone sembra aver capito che è un equilibrio troppo stretto (falsi positivi che limitano il flusso di posta) e troppo lento (flusso di spam sulle risorse aziendali fluenti) e nel migliore dei casi è un obiettivo MOVING.

Nessuna impostazione catturerà qualcosa quando qualcuno può automatizzare il test delle difese alla stessa velocità o potenzialmente più velocemente di quanto le tue difese possano adattare.

I loro sono metodi ultra severi per fare cose come rimuovere tutti gli allegati, metterli in coda e tenerli in quarantena per x giorni, ma sono più un PIA da gestire che una semplice gestione della posta di buon senso e l'educazione degli utenti finali ... QUESTA è l'unica difesa per le tattiche di truffa che è anche una difesa decente, l'educazione degli utenti finali.

Penso che la tua risposta sia corretta.

Nulla è al 100% a prova di proiettile. Questo è il motivo per cui l'utente deve avere una certa consapevolezza e alcune conoscenze per capire quando e come le cose sembrano strane e cosa fare dopo. (quest'ultima parte è dimenticata e le persone tendono a fidarsi troppo delle applicazioni) Ecco perché si verificano queste situazioni, le persone scoprono che le applicazioni non sono efficienti al 100%. :)

Avevi ragione nella tua spiegazione. Nel tentativo di trasmettere il problema, proverei a spiegare in termini meno tecnici. Le persone non tecnologiche non amano e avranno problemi a comprendere le spiegazioni tecniche. Quindi cerca di evitarli. Soprattutto quando sono già arrabbiati.

Mi piace usare le auto. In questo caso, i filtri antispam sono come guardare un'auto. Uno sguardo alla macchina rivelerà la marca e il modello. Quindi qualcosa del tipo 'non permettere alle auto GM in' sembra facile. Che cosa succede se un meccanico ha preso il corpo di una Ford e l'ha messo su una macchina GM? L'auto GM sembrerebbe un'auto Ford e visivamente sarebbe consentita. Aspetti più dettagliati potrebbero essere fatti guardando il motore o l'interno. Tuttavia, il motore e l'interno possono essere personalizzati. Come identificate un GM quando la maggior parte di ciò che potrebbe essere usato per identificarlo potrebbe essere falsificato da un buon meccanico?

I filtri antispam dell'e-mail non sono efficaci al 100%, questo è un dato di fatto e l'hai detto correttamente. Come suggerisce il nome, sono filtri , se qualcosa non corrisponde al filtro, scivola via, ma è per questo che ci sono più livelli di sicurezza utilizzati durante la ricezione di un messaggio di posta elettronica . Pertanto se uno fallisce, ci sono più controlli in corso. Questa volta è stato catturato dal software antivirus. Alle persone piace ascoltare più livelli di protezione. Inoltre, se il cliente ora capisce come funzionano i filtri , puoi dirgli che grazie al fatto che ha segnalato il problema, voi ragazzi potrete regolare i filtri in modo che non lascino più tramite e-mail simili e quindi rendendo il sistema sempre così sicuro.

OH MAN sono contento di non dover più occuparmi di questi.

Spiegherei come funziona effettivamente un filtro spam. Generalmente i filtri antispam hanno un sistema di "classificazione" (quello fornito alla nostra azienda da Google ha funzionato in questo modo).

• Il punteggio salirà se corrisponde a modelli conosciuti
• La valutazione aumenterebbe se corrispondesse a parole chiave conosciute (molte parole chiave correlate a droghe, pornografia e schemi di phishing conosciuti)
• Il punteggio salirà se molte e-mail di un modello simile o uguale sono state ricevute attraverso il sistema in un breve periodo di tempo
• Il punteggio salirà se gli allegati corrispondono a tipi di file "rischiosi"
• Il punteggio verrebbe immediatamente a 100 se corrispondesse a qualsiasi blacklist aziendale o definita dall'utente

Le avvertenze importanti:

• In genere non esiste un antivirus integrato in un filtro SPAM
• Se un filtro ha ha uno scanner antivirus, nessuno scanner antivirus nel mondo ha un tasso di cattura vicino al 100%
• I filtri SPAM risolvono la valutazione del rischio, in genere un messaggio viene considerato spam solo se il rischio supera una soglia. La soglia della nostra organizzazione era 70/100.
• I filtri SPAM tipicamente creano definizioni tramite ripetizione, più univoco è il messaggio ricevuto, minore è il "rischio" valutato
• Più un'e-mail è "personalizzata", più è unica e quindi minore è il rischio valutato

Le avvertenze DAVVERO importanti (che si spera siano applicabili):

• I filtri SPAM non sono al 100% e non sono mai garantiti
• La tua azienda fornisce il filtro SPAM come comodità e nient'altro
• I tuoi utenti sono responsabili della gestione della propria sicurezza

Tutti cercano di spiegare la corsa agli armamenti, il che è vero, ma c'è la logica molto semplice che se i filtri antispam fossero perfetti, allora lo spam non esisterebbe più perché non è più redditizio. E una spambox non esisterebbe perché siamo sicuri al 100% di ciò che è spam e cosa non lo è, quindi potrebbe andare direttamente al cestino senza prima entrare in una spambox.

Poiché anche Gmail ha una casella spam e riceve spam, dovrebbe essere abbastanza chiaro che, a quanto pare, anche Google non può tenere fuori tutto lo spam. Come potrebbe mai il cliente pretendere che tu faccia meglio di questa attività da molti miliardi di dollari?

Se chiedono ragioni tecniche, potresti spiegarlo in questo modo (un'altra alternativa per la corsa agli armamenti): le persone vengono spammate, il sistema rileva il modello e l'e-mail di spam verrà bloccata. Ma quando è arrivata la prima e-mail di spam di questo tipo (prima di un milione di identici), il filtro spam non sa che questo è ancora spam.

Ovviamente c'è molto di più, ma è qualcosa che quasi nessuno capirà.