A checklist normalizada para os produtos de segurança de mensagens inclui protecção contra spam, vírus, ataques de phishing, spyware, troianos e outras formas de malware nas mensagens recebidas e enviadas. Muitos fabricantes disponibilizam produtos relacionados para mensagens instantâneas que se tornaram um alvo de mensagens maliciosas. Adicionalmente a esta funcionalidades básicas, alguns produtos incluem filtro de conteúdos para assegurar a conformidade regulamentar, assim como um conjunto de funcionalidades de administração, que permitem o desenvolvimento de politicas, a definição de listas negras e brancas de spam e gestão da quarentena dos directórios dos utilizadores.

Tendências de mercado
Tendência 1: A agitação do Mercado de segurança de mensagens praticamente terminou
O mercado de gateways de segurança de mensagens acalmou desde a fase de crescimento que assistimos em 2003 e 2004. Desde o pico de mais de 125 fabricantes nessa altura, um conjunto reduzido de empresas consolidaram a maior parte do negócio e disponibilizam produtos com funcionalidades semelhantes. Uma onda recente de aquisições ajudou a separar as empresas com recursos financeiros e tecnologia abrangente daqueles que lentamente vão desaparecer. Apesar de existirem diferenças criticas entre produtos, a maior parte dos clientes corporativos irão encontrar o mesmo conjunto de fabricantes de produtos nas suas listas de aquisição:   Ironport (adquirida pela Cisco Systems), Secure Computing (que comprou a Ciphertrust), SonicWALL, Symantec (que adquiriu a Brightmail), Trend Micro, e Tumbleweed Communications.  A Barracuda Networks e a Proofpoint, que não são empresas cotadas, adquiriram uma quota de mercado substancial mesmo sem possuir os mesmos recursos financeiros dos seus concorrentes.

Tendência 2: O argumento de que a segurança de mensagens deve ser disponibilizado através de equipamentos ou de serviços não terminou.
Nenhum outro requisito de segurança se adapta melhor aos serviços hospedados como os filtros de anti-spam e anti-malware.  Apesar dos gateways de segurança de mensagens serem efectivos em custo, os benefícios de possuir uma equipa totalmente focalizada em estratégias anti-spam manteve os fornecedores de serviços hospedados de segurança de mensagens a crescer e rentáveis. Os principais actores no espaço dos fornecedores de serviços hospedados, incluem a MessageLabs (adquirida pela Symantec), a Microsoft (através da aquisição da Frontbridge) e a Postini (integrada no Google) que continuam fortes e com legiões de clientes satisfeitos.
Não existe uma tendência clara nos serviços hospedados; parece que as empresas caminham numa direcção ou noutra baseadas num ampla série de factores. A maior parte das razões apontadas pelos clientes de serviços hospedados para mudarem de serviços tem pouco a ver com a tecnologia e mais com outros factores, tal como custos internos e competências das equipas, direcção estratégica de TI e relacionamento com os fabricantes.

Tendência 3: As mensagens de spam não estão a diminuir
Baseado nos nossos testes contínuos de soluções anti-spam nos últimos cinco anos, não assistimos a sinais de que a quantidade de mensagens de spam esteja a diminuir ou que os spammers estejam a desistir devido à presença quase universal de gateways anti-spam. Com efeito, e na medida em que os gateways corporativos anti-spam bloqueiam cerca de 95% do spam recebido, esta realidade aumentou o número de mensagens de spam que são enviadas pelos spammers e (crescentemente) com os produtores de mensagens de phishing a trabalharem arduamente para conseguir ultrapassar as defesas corporativas.
A utilização intensiva de gateways de segurança pressionou os spammers para serem mais engenhosos na distribuição das suas mensagens de correio electrónico. Esta tendência implica que as empresas que adquirem gateways de segurança necessitam de se assegurar de que o fabricante possui recursos de I&D necessários para manter-se manter actualizado das técnicas em mutação dos spammers. Adicionalmente, os gateways de segurança devem ser adquiridos com reservas de desempenho, na medida em que as novas técnicas de filtro de spam requerem maiores recursos do gateway.

Tendência 4: Pouca diferenciação em produtos encarados como de consumo
Apesar dos melhores esforços da comunidade de fabricantes, os gateways de segurança de mensagens começam a ser encarados como um produto de utilização corrente com a ênfase colocado nas funcionalidades anti-spam. Os nossos testes sugerem que existem diferenças substanciais na funcionalidade dos diferentes motores de anti-spam. Contudo, muitos fabricantes ficam contentes em propagar o mito de que os motores tem um desempenho semelhante, na medida em que tal joga a seu favor porque coloca-os no mesmo patamar do que os fabricantes que possuem a liderança. Os compradores corporativos, devido à dificuldade de medir as diferenças nos motores de anti-spam, ficam contentes com esta percepção.
Numa tentativa de diferenciação acerca dos seus motores anti-spam, os fabricantes Numa tentativa de diferenciar-se, os fabricantes colocaram um conjunto de funcionalidades nos seus produtos. Algumas destas adições representam funcionalidades que não são as mais apropriadas para um gateway de segurança de mensagens (tal como filtragem e acesso IM), enquanto outras funcionalidades são específicas das mensagens, como seja o caso da encriptação, e estão focalizadas em nichos particulares ou mercados verticais. As funcionalidades mais criticas para a empresa, incluindo gestão e relatórios centralizados, escalabilidade e elevada disponibilidade, continuam a estar disponíveis em alguns produtos de gama alta.

Dicas para adquirir produtos
Na medida em que cada organização já possui alguma forma de segurança de mensagens instalada, a decisão de considerar um novo gateway é despoletada pelos problemas existentes no sistema implementado. Obviamente, que a dica central para adquirir é a de assegurar-se que o seu novo gateway é, pelo menos, tão bom como o anterior. Tal significa que deve identificar aquilo que gosta – e que não gosta – no gateway existente e utilizar essa informação para orientar os seus critérios de avaliação do novo gateway.
A migração da anterior solução para uma nova solução requer que avalie cinco diferentes áreas: funcionalidades anti-spam, funcionalidades antivírus, funcionalidades dos utilizadores finais, funcionalidades da arquitectura de sistema e funcionalidades adicionais de segurança. Vamos analisá-las uma a uma aqui.

Funcionalidades Anti-spam
Obviamente, o maior diferenciador entre produtos é a qualidade do motor anti-spam quando aplicado ao seu fluxo de mensagens de correio electrónico. Para determinar esta realidade, necessita de testar qualquer potencial gateway no seu ambiente. Assim que encontrar um motor que cumpra os seus objectivos de identificar falsos positivos, poderá querer ter em consideração os seguintes tópicos como forma de diferenciar os produtos e identificar aqueles que endereçam as suas necessidades:
•    Será que o motor anti-spam disponibiliza múltiplos níveis de veredicto como “spam definitivo” e “provavelmente spam”) que pode utilizar para reduzir falsos positivos não detectados?
•    Será que o gateway de segurança de mensagens possui filtro baseado na reputação que possibilita a recusa de uma mensagem no protocolo SMTP para reduzir a carga total do sistema?
•    Será que o gateway de segurança de mensagens se integra facilmente com a infra-estrutura de directório do correio electrónico?

Funcionalidades antivírus
A maioria dos produtos possui um único motor de antivírus seleccionado pelo fabricante. Infelizmente, esta escolha está relacionada com um conjunto de forças que estão fora do seu controlo, tais como as parcerias actuais e as estratégias de aquisição. Na medida em que constitui uma boa prática possui um diferente antivírus no gateway de segurança de mensagens do que aquele que possui nos computadores de secretária, tal pode afectar negativamente a sua implementação. Pode ter em consideração:
•    Será que o produto pode utilizar múltiplos motores de antivírus, quer seja em paralelo ou separadamente?
•    Qual o compromisso de longo prazo do fabricante na escolha do antivírus?

Funcionalidades para utilizadores finais
Alguns gateways de segurança de mensagens funcionam sem qualquer interacção com o utilizador final e este pode ser o cenário de implementação preferido. No entanto, deverá examinar produtos que possuam funcionalidades para os utilizadores finais:
•    O produto possui uma opção de quarentena anti-spam e antivírus para os utilizadores finais? A quarentena pode ser definida para um utilizador individualmente ou tem que ser activada para um conjunto de utilizadores?
•    O produto possui especificações de sensitividade, listas de bloqueio e listas brancas por utilizador? Estas funcionalidades podem ser geridas a nível de grupo, assim como a nível individual?
•    O produto pode ser integrado com a infra-estrutura de autenticação existente ou possui algum método para autenticar os utilizadores finais?

Funcionalidades de arquitectura
Numa implementação de um único sistema, a arquitectura de sistema não é critica. Mas no interior de uma organização, com requisitos de escalabilidade e disponibilidade, deverá ter em consideração:
•    O produto pode ser administrado centralmente com especificações para gateways ou grupos de gateways manipulado sem depender de um elemento da gestão?
•    O produto pode escalar facilmente através da adição de gateways num grupo de gestão ou cluster?
•    O fabricante disponibiliza ferramentas de acesso integradas ou adicionais que podem agregar informação de múltiplos gateways para suporte de help desk ou para finalidade de produção de relatórios?
•    No caso de uma falha de sistema qual a dificuldade de restaurar as especificações básicas do gateway e voltar a aplicar a sua configuração?
Funcionalidades adicionais de segurança
A maior parte dos gateways de segurança focalizaram-se em funcionalidades anti-spam e anti-malware. No entanto, a segurança de mensagens vai para lá destas duas realidades. Infelizmente, os requisitos corporativos adicionais de funcionalidades de segurança tem vindo a aumentar e é difícil de identificar um único produto como “excelente” em todas as funcionalidades adicionais. Em vez disso, tem que identificar o que necessita e assegurar-se que é suportado pelos produtos que procura. Aqui ficam algumas das funcionalidades que poderá querer utilizar:
•    Encriptação de mensagens através da utilização de TLS, debaixo de controlo de politicas apertado; integração com outros sistemas de encriptação e protecção de mensagens
•    Funcionalidades de filtragem de conteúdos, incluindo as suas e dicionários fornecidos pelos fabricantes.
•    Funcionalidades de arquivo de mensagens

Melhores práticas
A maioria das organizações empresariais possui alguma forma de segurança de mensagens implementada, na forma de filtros de spam e vírus. Quando instalar uma nova ou substituir um sistema de segurança de mensagens, o desempenho, a experiência dos utilizadores, a administração e os custos operacionais são áreas a que deve prestar atenção.
Normalmente, o desempenho é fácil de gerir. Para lá de ter o hardware disponível para realizar o trabalho, existem três áreas para manter o desempenho das aplicações.
Em primeiro, alguma forma de repudiação baseada em filtros deverá ocorrer o mais cedo possível, certamente antes da mensagem de correio electrónico ser aceite pelo gateway de segurança de mensagens. Este passo, irá bloquear entre 50% e 75% das mensagens recebidas num empresa típica, permitindo uma redução dramática da carga total. A utilização correcta de filtros baseados na reputação quase que eliminou os falsos positivos. Se a filtragem baseada em reputação for executada adequadamente, apenas resulta em falsos positivos detectados porque o emissor recebe a notificação do seu gateway de correio electrónico que a mensagem foi bloqueada. Tal permite um remédio rápido e é preferível ao típico falso positive dos sistemas anti-spam e antivírus, na qual a mensagem é enviada para um buraco negro e é impossível de ser descoberta. Os motores anti-spam que podem verificar o veredicto antes das mensagens serem aceites ainda são melhores, mas por questões de desempenho ainda não são uma estratégias comum.
Assegurar que o gateway de segurança de mensagens tem acesso ao directório das mensagens legítimas de correio electrónico, seja através de lookups dinâmicos ou através da transferência de informação do directório para o gateway constitui um segundo modo de optimizar o desempenho global do sistema. Através da aceitação de mensagens de correio electrónico de utilizadores que existem, assegura o desempenho do sistema. Tal resolve o problema do que fazer com as mensagens que foram endereçadas incorrectamente. Se, simplesmente, forem abandonadas, o emissor legítimo nunca vai saber que a mensagem não foi recebida. Algumas organizações empresariais têm sido relutantes em desenvolver informação de directório porque possuem a convicção errada de que esta medida auxilia os atacantes a realizarem ataques ao directório. Com efeito, a protecção contra estes ataques é facilmente executada e a todos os produtos corporativos possuem esta funcionalidade há alguns anos.
O terceiro aspecto da estratégia para assegurar um bom desempenho é o de assegurar que uma configuração de alta disponibilidade está em funcionamento desde o início. Contrariamente a outros equipamentos de segurança como os firewalls, os gateways de segurança de mensagens são servidores Linux (ocasionalmente Windows), com subsistema de disco e até sistema operativo de falha. Alguns fabricantes, num esforço para reduzir custos, seleccionam plataformas fracas em engenharia o que reduz a sua fiabilidade. Apesar de que a substituição de sistemas estar à distância de uma transacção FedEx, estar sem protecção contra spam durante 24 horas pode derrubar qualquer sistema de correio electrónico—e, consequentemente, estar sem correio electrónico durante 24 horas pode derrubar a empresa. A solução para estas vulnerabilidades é possuir equipamentos redundantes instalados para que um problema num sistema não afecte a funcionalidade do gateway.
A experiência dos utilizadores é outra das áreas a ter cuidado no decorrer da implementação de produtos corporativos. Os utilizadores são particularmente sensíveis a alterações nos seus sistemas de correio electrónico e um factor crítico para assegurar elevada satisfação dos utilizadores é a percepção do seu empowerment. Apesar dos gateways corporativos de correio electrónico possuírem uma taxa reduzida de falsos positivos, a taxa nunca será zero. À medida que os utilizadores detectam estes falsos positivos ficam zangados, frustrados e perdem a confiança no sistema de correio electrónico como uma ferramenta de negócio. A melhor maneira de reduzir a fúria e a frustração e aumentar a confiança é conferir privilégios ao utilizador para definir e manipular os seus falsos positivos. Em alguns ambientes, os utilizadores poderão querer gerir a sensitividade das especificações anti-spam e as listas brancas, apesar de tal ser um desperdício de tempo em grandes empresas e contribuir para um elevado ruído com poucos benefícios. Adquirir e gerir as quarentenas de spam dos utilizadores finais parece ser uma fraca utilização de recursos de TI, mas confere aos utilizadores finais uma sensação de maior controlo sobre o fluxo de mensagens de correio electrónico e, deste modo, contribui para uma satisfação global com o produto.
A área de implementação deve estar preocupada acerca dos custos operacionais e de gestão. Muitos gateways de segurança de mensagens actuam como “caixas negras”, aceitando o correio electrónico e reencaminhando-o, apagando ou enviando para quarentena. As organizações devem ter visibilidade dos seus gateways e a capacidade de identificar e analisar as mensagens rapidamente e efectivamente. Num ambiente de elevados volumes, tal circunstância requer uma aplicação ou servidor separado que pode agregar os ficheiros de acesso e disponibilizar funcionalidades de busca e de relatório às equipas de help-desk e de operações.
Quando implementar um gateway de segurança de mensagens, é critico ter todas estas ferramentas e serviços em funcionamento antes do gateway ser colocado em funcionamento— porque é quando um sistema é instalado que se coloca a pergunta “o que é que aconteceu ao meu correio electrónico” é colocada. Como teste, deverá ter a capacidade de responder à questão “qual era a disposição das mensagens do filho do presidente da AOL no último fim-de-semana” em menos de um minuto. Se não possui acesso rápido e visibilidade da sua caixa negra, vai acabar frustrado e zangado – algo a evitar num produto desenhado para nos proteger e tornar as nossas vidas mais fáceis.

Como funcionam?
Os gateways de segurança de mensagens encontram-se no centro da rede corporativa e actuam como a primeira barreira entre a Internet e o sistema corporativo de mensagens electrónicas.
Apesar de existir uma variação considerável nas funcionalidades e arquitecturas, a maioria dos sistemas de segurança de mensagens recebem o correio electrónico destinado à empresa enviado directamente do exterior. Como primeiro passo disponibilizam taxas de controlo e filtragem baseada em repudiação para o correio electrónico recebido. Para as mensagens que passam estes controles, os gateways de segurança de mensagens procedem ao scan destas mensagens para descobrir vírus e spam, assim como aplicam outros controles à mensagens recebidas. Assim que o correio é “limpo” (por vezes, estes produtos são designados como “higiene do correio electrónico” devido a este processo de limpeza), as mensagens são enviadas para o sistema de correio electrónico no interior da organização.
O mesmo gateway pode ser utilizado para a distribuição de mensagens a enviar, normalmente com um conjunto diferente de controlos de segurança activados (com frequência filtragem, arquivo e antivírus são aplicados às mensagens a enviar). Neste cenário, os sistemas de correio electrónico corporativos simplesmente transferem todo o correio Internet para o gateway, que fica responsável pela sua distribuição. A funcionalidade mais utilizada na distribuição de correio a enviar é a estampagem do rodapé, a prática corrente em algumas profissões de colocar uma adenda em cada mensagem sugerindo que alguém que leia uma mensagem que não lhe seja endereçada que a apague.
Os gateways de segurança de mensagens constituem um refinamento dos antigos gateways de correio electrónico que foram implementados em redes de grandes dimensões para converter formatos de mensagens Internet (SMTP e MIME) para formatos proprietários e endereçar esquemas utilizados nas empresas (tais como MS Mail, cc:Mail, ou GroupWise). Esta nova geração de gateways de segurança de mensagens, impulsionada pela necessidade de funcionalidades anti-spam/antivírus na rede, perdeu um conjunto de funcionalidades existentes na primeira geração de produtos, mas adquiriram ganhos de desempenho mais apropriados ao seu foco num conjunto especifico de funções.
Apesar do scanning de spam e vírus poder ser realizado em qualquer ponto do fluxo de mensagens, como nos servidores de correio electrónico, a maior parte dos gestores de correio electrónico elegeram os gateways de segurança de mensagens como o perfeito aliado para este trabalho desagradável. Através da separação da função de filtragem e de manter os vírus e o spam no exterior dos servidores de correio electrónico, os responsáveis pela gestão do correio electrónico tem condições para manter os níveis de desempenho elevados e manter as preocupações acerca da interoperacionalidade e de integração reduzidas. A natureza da maior parte dos gateways significa que um equipamento com um reduzido desempenho pode ser facilmente actualizado ou substituído por um novo modelo sem causar impacto no envio e recepção de mensagens de correio electrónico.
Apesar dos gateways serem independentes dos sistemas centrais de correio electrónico, é necessário alguma integração para um melhor funcionamento. Por exemplo, o gateway de segurança de mensagens deve ser ligado ao directório corporativo— normalmente através de LDAP—para que possa saber qual o correio a receber, quais as mensagens a recusar e como redireccionar as mensagens de correio electrónico no interior da rede corporativa (em particular se existirem múltiplos sistemas de correio electrónico internos).
Alguns dos fabricantes, e m particular a Symantec, experimentaram a separação dos gateways de segurança de mensagens em duas partes: uma destinada à filtragem baseada em repudiação e uma segunda destinada a funções de filtragem, arquivo e scanning. A ideia é a de que em enormes volumes de mensagens – um milhão de mensagens por hora – a separação destas funções disponibiliza uma maior escalabilidade.
Apesar das funcionalidades de análise anti-spam e antivírus serem comuns na generalidade dos gateways, um conjunto variado de funcionalidades começam a aparecer nestes sistemas. Filtragem de conteúdos – análise de determinadas frases e palavras – é uma funcionalidade frequente nestes sistemas, assim como o arquivo de mensagens – a capacidade de copiar uma determinada mensagem enviada ou recebida para um servidor de arquivo. Integrada na funcionalidade anti-spam, alguns equipamentos incluem servidores de quarentena de spam ou vírus. E serviços de encriptação de mensagens de correio electrónico, desde encriptação baseada no transporte até encriptação de nível aplicacional são funcionalidades incluídas frequentemente nestes produtos.
Na sua busca de maior diferenciação, os fabricantes estão a incluir outras funcionalidades de segurança de mensagens como seja segurança de mensagem Instant Messaging.

Pode acompanhar os comentários a este artigo via RSS 2.0.

Notícias Relacionadas