J'avais l'habitude de travailler dans un petit bureau qui fournissait un support de bureau de base aux utilisateurs.
Un jour, j'ai dû répondre à un appel d'un client très en colère et il a demandé mon patron. Il voulait savoir comment n e-mail pouvait passer à travers leur filtre anti-spam/logiciel antivirus basé sur le réseau (si tel est le cas, c'est ce qu'il a affirmé), et la pièce jointe a été filtrée/capturée par l'antivirus logiciel sur son bureau.
Jusqu'à ce que je puisse atteindre mon patron, je devais lui dire qu'un filtre anti-spam n'est pas parfait/parfait et parfois une seule adresse e-mail à passer.
Également pour soutenir mes réclamations, je lui ai expliqué que Gmail lui-même autorisait ce courrier électronique en pièce jointe malgré le fait que son logiciel antivirus l'avait détecté et supprimé.
Mon explication était-elle correcte? Comment un expert en sécurité gérerait-il cette situation?
Votre réponse est plutôt correcte, mais vous pourriez expliquer un peu plus le "jeu" en cours entre les spammeurs et les filtres anti-spam. Cela permet de comprendre pourquoi certains spams trouveront toujours leur chemin vers le client.
Filtres anti-spam essayez d'attraper tous les courriers indésirables.
Spammeurs essayez de créer des mails qui ne sont pas considérés comme du spam - à la fois par des filtres anti-spam et par des humains.
Pour les spammeurs, cela revient à créer des mails qui ...
Les spammeurs achètent des filtres anti-spam et testent leurs nouvelles tactiques anti-spam pour voir si leur courrier passe le filtre. Si le courrier passe, ils ont une longueur d'avance. Ensuite, ils sortent dans la nature, envoient des millions de mails, montrant efficacement leur nouvelle tactique. Les fabricants de filtres anti-spam le remarquent et mettent à jour leur filtre. C'est un jeu en cours. C'est similaire dans l'industrie des virus.
Lorsque vous voyez du spam qui n'a pas de liens ou de pièces jointes, il s'agit probablement de spam pour empoisonner les filtres, pour confondre les filtres, pour faciliter leur tromper plus tard.
La fonction principale d'un filtre SPAM est de bloquer tout ce qui ressemble à un SPAM. L'objectif d'un logiciel anti-virus est de détecter et de supprimer tout ce qui possède la signature d'un virus (vers inclus) en fonction de la définition de virus installée. Les deux programmes fonctionnent différemment en fonction d'heuristiques différentes .
Un e-mail qui ne ressemble pas à un SPAM peut contenir un virus. Vous ne pouvez pas raisonnablement vous attendre à ce qu'un filtre anti-spam effectue le travail d'un antivirus, car ce n'est pas sa tâche principale. Et même avec un logiciel antivirus installé, ce n'est jamais une méthode infaillible pour éliminer toutes sortes de virus.
Si votre filtre anti-spam conserve un journal des e-mails qui ont été bloqués, vous pouvez peut-être apaiser un peu votre client en montrant le bon travail invisible qu'il a terminé.
Un filtre anti-spam peut être créé pour bloquer tous les spams; on pourrait simplement avoir le filtre bloquer tous les e-mails entrants. La plupart des utilisateurs trouveraient un tel filtre inacceptable, cependant, le défi est donc de trouver un équilibre entre le blocage des e-mails que les utilisateurs ne veulent pas recevoir, mais en même temps autorisant tout le courrier électronique qu'ils souhaitent recevoir. Si le filtre est très strict, il y aura probablement de faux positifs et les e-mails qu'ils jugeraient légitimes seront bloqués. Si un parent ou un ami de l'utilisateur envoie un e-mail présentant certaines caractéristiques typiques des messages de spam, un filtre strict peut le bloquer tandis qu'un filtre avec des paramètres plus lâches peut le laisser passer.
Le filtre doit-il donc être très strict ou moins strict? Différents utilisateurs peuvent avoir des vues différentes sur la question. Certains préfèrent peut-être avoir des paramètres moins stricts afin qu'aucun e-mail légitime ne soit bloqué, mais cela signifie que plus de spam passe. Certains détestent tellement le spam qu'ils sont prêts à troquer la possibilité de bloquer les e-mails légitimes en échange de moins de spam. Une entreprise traitant avec un grand nombre d'utilisateurs de messagerie peut être amenée à choisir un niveau de filtrage modéré qui s'applique à tous les utilisateurs afin que certains spams passent, mais, espérons-le, entraînant peu de faux positifs. Mais il y a toujours un compromis entre le blocage du spam et les faux positifs qui bloquent les e-mails légitimes.
Et comme d'autres l'ont mentionné, les fournisseurs de spam tentent constamment de déjouer les filtres anti-spam. Par exemple, une méthode de détection de spam consiste à bloquer les e-mails qui correspondent exactement aux messages de spam connus. Après que les fournisseurs de services de messagerie électronique ont commencé à comparer le courrier électronique entrant au spam connu et à bloquer tous les e-mails dont le contenu correspondait au spam connu, les fournisseurs de spam ont juste commencé à insérer des mots aléatoires dans le corps de leur courrier indésirable, souvent dans un texte invisible pour les utilisateurs en ayant la couleur du le texte correspond à la couleur de l'arrière-plan du message, par exemple du texte blanc sur un fond blanc, de sorte que les filtres anti-spam ne peuvent plus compter sur des correspondances exactes avec les messages de spam connus.
Et les utilisateurs doivent comprendre que les logiciels antivirus n'attraperont pas tous les virus dès qu'ils seront publiés par les développeurs de virus. Les développeurs de virus s'efforcent également constamment de déjouer les logiciels antivirus. Dans un communiqué de presse de décembre 2013, Kaspersky Lab, un fournisseur d'antivirus, a signalé que Kaspersky Lab détecte chaque jour 315 000 nouveaux fichiers malveillants. Ils ont indiqué que le nombre pour l'année précédente était de 200 000. Si un utilisateur n'a pas la chance d'être parmi les premiers à recevoir un fichier contenant un virus nouvellement développé, tous les fournisseurs d'antivirus ne sont peut-être pas au courant de ce virus particulier au moment où il le reçoit et peuvent donc ne pas avoir de signature pour le virus dans leur Logiciel. Supposons que deux nouveaux virus soient publiés, x et y, le fournisseur d'antivirus A peut être au courant du virus x, mais pas y, tandis que le fournisseur d'antivirus B peut être au courant de y mais pas x. Si quelqu'un utilise le logiciel antivirus du fournisseur B, il peut être protégé contre le virus y, mais x peut passer et infecter son système, s'il n'est pas prudent et ouvre un fichier le contenant.
J'aime utiliser l'analogie d'une course aux armements car c'est un thème familier que les personnes non techniques comprennent. Les analogies sont utiles lorsque vous essayez d'expliquer des concepts comme celui-ci. Ajoutez également des statistiques. Enfin, utilisez des trucs pseudo-personnels pour leur donner l'impression d'être dans le même bateau. Quelque chose comme ça peut fonctionner:
Je comprends parfaitement votre frustration face au spam, je reçois moi-même au moins 30 spams par jour, et bien que presque tous soient détectés par les filtres anti-spam, le filtre occasionnel le fait et salit ma boîte de réception. Le spam est une course aux armements où les spammeurs inventent de nouvelles façons de contourner les filtres que les sociétés de sécurité construisent. Lorsqu'un filtre est mis à jour pour bloquer les derniers stratagèmes, les spammeurs se remettent au travail pour trouver un autre moyen de le contourner. Bien que les sociétés de sécurité soient intelligentes, les spammeurs le sont aussi, donc peu importe la qualité des filtres, certains spams vont passer. 130 milliards les e-mails de spam sont envoyés chaque jour en utilisant des centaines de façons différentes de tromper les filtres et même avec la meilleure technologie de certains des meilleurs esprits de l'industrie, certains y parviendront.
L'explication que j'ai toujours utilisée est l'analogie de "Pourquoi mon gilet pare-balles ne s'est-il pas arrêté que balle?" c'est parce que pare-balles est un terme impropre, et quelqu'un a simplement utilisé une balle conçue pour vaincre votre pare-balles gilet;) La plupart des gens semblent comprendre que c'est un équilibre trop serré (faux positifs limitant le flux de messagerie) et trop lâche (flux de spam sur les ressources commerciales fluides) et, au mieux, il s'agit d'une cible EN MOUVEMENT.
Aucun paramètre n'attrapera quelque chose lorsque quelqu'un peut automatiser le test de vos défenses au même rythme ou potentiellement plus rapidement que vos défenses ne peuvent s'adapter.
Ce sont des méthodes ultra strictes pour faire des choses comme supprimer toutes les pièces jointes, les mettre en file d'attente et les maintenir en quarantaine pendant x jours, mais elles sont plus une PIA à gérer que la simple gestion du courrier de bon sens et l'éducation des utilisateurs finaux ... seule défense aux arnaques tactiques qui est même une défense décente, l'éducation des utilisateurs finaux.
Je pense que votre réponse est correcte.
Rien n'est à 100% à l'épreuve des balles. C'est pourquoi l'utilisateur doit avoir une certaine conscience et des connaissances pour comprendre quand et comment les choses semblent étranges et quoi faire ensuite. (cette dernière partie est oubliée et les gens ont tendance à trop faire confiance aux applications) C'est pourquoi ces situations se produisent, les gens découvrent que les applications ne sont pas 100% efficaces. :)
Vous aviez raison dans votre explication. En essayant de relayer le problème, j'essaierais d'expliquer en termes moins techniques. Les non-techniciens n'aiment pas et auront du mal à comprendre les explications techniques. Essayez donc de les éviter. Surtout quand ils sont déjà en colère.
J'aime utiliser des voitures. Dans ce cas, les filtres anti-spam sont comme regarder une voiture. Un regard sur la voiture révélera la marque et le modèle. Donc, quelque chose comme "ne pas autoriser GM voitures à l'intérieur" semble facile. Et si un mécanicien prenait le corps d'une Ford et le mettait sur un GM voiture? GM voiture ressemblerait à une voiture Ford et visuellement elle serait autorisée. Des regards plus détaillés pourraient être faits en disant en regardant le moteur ou l'intérieur. Cependant, le moteur et l'intérieur peuvent Comment identifier un GM quand la plupart de ce qui pourrait être utilisé pour l'identifier pourrait être falsifié par un bon mécanicien?
Les filtres anti-spam ne sont pas efficaces à 100%, c'est un fait et vous l'avez dit correctement. Comme leur nom l'indique, ils sont filtres, si quelque chose ne correspond pas au filtre, il passe à travers, mais c'est pourquoi il existe plusieurs niveaux de sécurité utilisés lors de la réception d'un e-mail . Par conséquent, si l'un échoue, d'autres contrôles sont effectués. Cette fois, il a été capturé par le logiciel antivirus. Les gens aiment entendre parler de plusieurs niveaux de protection. En plus de cela, si le client comprend maintenant comment filtres fonctionnent, vous pouvez lui dire que grâce au fait qu'il a signalé le problème, vous serez en mesure d'ajuster les filtres afin qu'ils ne laissent plus par des e-mails similaires et donc de sécuriser le système.
OH MAN suis-je content de ne plus avoir à m'en occuper.
Je voudrais expliquer comment fonctionne réellement un filtre anti-spam. Généralement, les filtres anti-spam ont un système de "classement" (celui fourni à notre entreprise par Google fonctionnait de cette façon).
Les mises en garde importantes:
Les mises en garde VRAIMENT importantes (qui, espérons-le, s'appliquent):
Tout le monde essaie d'expliquer la course aux armements, ce qui est vrai, mais il y a la logique très simple que si les filtres anti-spam étaient parfaits, le spam n'existerait plus car il n'est plus rentable. Et une spambox n'existerait pas parce que nous sommes sûrs à 100% de ce qui est du spam et de ce qui ne l'est pas.
Étant donné que même Gmail a une boîte de courrier indésirable et reçoit du spam, il devrait être assez clair que, apparemment, même Google ne peut pas empêcher tout spam. Comment le client peut-il espérer que vous fassiez mieux que cette entreprise de plusieurs milliards de dollars?
S'ils demandent pour des raisons techniques, vous pouvez l'expliquer comme ceci (une autre alternative pour la course aux armements): les gens sont spammés, le système détecte le motif et le courrier indésirable sera bloqué. Mais lorsque le premier e-mail de spam de ce type est arrivé (avant un million de messages identiques), le filtre anti-spam ne sait pas encore que celui-ci est du spam.
Bien sûr, il y a plus que cela, mais c'est quelque chose que presque tout le monde comprendrait.