Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Как работает механизм Web-репутации с Cisco IronPort?
1. Web
репутация
Cisco
IronPort
Всесторонний,
проактивный
подход
к
Web
угрозам
Основные
положения
Сложная
и
динамическая
экономика
malware
угрожает
пользователям
и
бизнесу
финансовыми
потерями
и
снижением
репутации
бренда.
Технология
Web
репутации
Cisco
IronPort
обеспечивает
расширенную
защиту
от
этих
новых
рисков,
используя
не
имеющую
равных
видимость
угроз
и
реакцию
в
реальном
времени
для
отклонения
атак,
которые
обходят
традиционные
механизмы
защиты.
Организованные
преступники
методически
и
незаметно
эксплуатируют
уязвимости
в
вебсайтах
и
браузерах
для
того,
чтобы
инфицировать
компьютеры,
украсть
ценную
информацию
(параметры
учетных
записей,
номера
кредитных
карт
и
интеллектуальную
собственность)
и
превратить
корпоративные
и
персональные
сети
в
невольных
сообщников
в
распространении
спама
и
malware.
Все
больше
и
больше
распространители
malware
используют
легитимные
веб-‐узлы
как
стартовую
точку
для
распространения
вредоносного
кода
–
В
businessweek.com
и
MSNBCsports.com
были
части
вебсайтов,
использующихся
для
распространения
malware.
Хотя
в
настоящее
время
угроза
с
этих
узлов
отсутствует,
пользователи
могли
инфицироваться
просто
посетив
доверенные
узлы.
Знание
сайтов,
которым
доверяют
миллионы
пользователей
делает
их
легкой
мишенью
для
писателей
malware
Усложнение,
инновации
и
динамическая
природа
таких
атак
часто
делает
традиционную
защиту
бесполезной.
URL
фильтрация
и
черные
списки
IP
реактивные
и
не
могут
адекватно
оценить
новые
или
ранее
нескомпрометированные
сайты
своевременно,
а
сигнатурные
анализаторы
часто
не
успевают
своевременно
обновлять
базы
из-‐за
постоянных
мутаций
malware.
Нужен
новый
подход.
Защита
пользователей
от
сегодняшних
web-‐
угроз
требует
многоуровневого,
целостного
и
интегрированного
подхода,
который
использует
несколько
продвинутых
методологий
для
оценки
каждой
угрозы
и
типов
сетевого
трафика.
Наша
лучшая
защита
как
сообщества
пользователей
-‐-‐
это
обмен
информацией
об
угрозах
в
реальном
времени,
автоматизированный
так,
чтобы
мы
могли
быстро
заблокировать
новые
угрозы
и
закрыть
окно
возможностей
для
преступников.
Технология
Web
репутации
Cisco
IronPort,
которая
встроена
в
Cisco
IronPort
Web
Security
Appliances
(WSA),
обнаруживает
и
оценивает
как
подозрительные
структуры
и
вебсайты,
так
и
скомпрометированные
элементы
на
индивидуальных
страницах.
Технология
Web
репутации
Cisco
IronPort
основывается
на
всесторонней
информации,
которая
обеспечивается
инфраструктурой
Cisco
Security
Intelligence
Operations.
Cisco
SIO
–
это
облачный
сервис
2. безопасности,
который
коррелирует
данные,
полученные
из
сети
Cisco
SensorBase
–
самом
большом
в
мире
сервисе
мониторинга
почтового
и
web
трафика,
и
продвинутых
технологий,
таких
как
быстрое,
детальное
сканирование
каждого
объекта
на
запрошенной
веб-‐странице,
вместо
сканирования
только
URL-‐ей
и
первоначальных
HTML
запросов.
Это
помогает
сетям
существенно
уменьшить
уязвимости,
не
только
для
известных
угроз,
но
также
и
для
угроз
нулевого
дня
и
неизвестных
угроз
из
новых
вебсайтов
или
из
легитимных,
но
скомпрометированных
сайтов.
Введение
Для
писателей
malware
известность
больше
не
является
наградой.
При
существовании
зрелой,
цветущей
malware
экономики,
гораздо
более
ценно
создавать
вредоносный
код,
который
генерирует
прибыль
для
преступных
сетей
–
массовые
спам
кампании,
хищение
данных,
накрутки
кликов
и
много
другое.
Для
того,
чтобы
быть
успешным,
malware
должно
быть
как
легко
распространяемым
на
как
можно
большее
количество
жертв,
так
и
трудно
обнаруживаемым.
Первоначально
malware
распространялось
через
электронную
почту,
но
возможность
просматривать
большие
присоединенные
файлы,
а
также
как
буферизация,
как
встроенная
особенность
передачи
электронной
почты
позволили
сравнительно
легко
останавливать
malware.
И
наоборот,
Web
по
своей
природе
интерактивен,
трафик
передается
в
режиме
реального
времени,
и
угрозы,
скрытые
прямо
в
контенте
сделали
задачу
остановки
malware
гораздо
более
сложной.
Растущая
значимость
веб,
как
механизма
доставки
угроз
подтверждается
тем
фактом,
что
сейчас
более
80%
спам
сообщений
включают
URL,
которые
могут
перенаправить
пользователей
на
веб-‐
сервер,
где
располагается
malware.
Это
соотношение
даже
выше
для
фишинговых
рассылок.
URL-‐и
предназначены
для
привлечения
читателей
на
вебсайты
и
вовлечения
их
в
спорные
операции
или
загрузки
malware
на
их
компьютеры.
Обычно
и
спам
сообщения,
и
вредоносные
вебсайты
используют
комбинацию
методик
социальной
инженерии
и
уязвимостей
в
ПО
для
компрометации
пользователей.
Вредоносные
сайты,
которые
специально
созданы
для
распространения
malware,
это
не
только
сайты,
которые
компрометируют
пользователей.
Хакеры
часто
распространяют
malware
через
легитимные
вебсайты,
которые
были
скомпрометированы,
используя
дыры
в
безопасности
веб-‐приложений.
Легитимные
вебсайты,
невидимые
угрозы
Доверенные,
легитимные
вебсайты
являются
прекрасным
механизмом
распространения
malware.
В
отличие
от
ботсайтов,
которые
специально
созданы
для
распространения
malware,
легитимные
сайты
–
это
хорошо
известные
уважаемые
узлы,
которым
доверяют
пользователи.
Их
посещает
большое
количество
пользователей
и,
большую
часть
времени,
корпоративные
политики
разрешают
к
ним
доступ,
что
делает
их
основными
целями
для
онлайн-‐преступников,
которые
ищут
способ
инфицировать
как
можно
больше
пользователей.
3. Рис.
1.
Преступники
компрометируют
легитимные
сайты
для
того,
чтобы
инфицировать
ничего
не
подозревающих
пользователей
Аудитор
безопасности
White
Hat
Security
оценила,
что
более
79
процентов
вебсайтов
содержащих
вредоносный
код
являются
взломанными
легитимными
сайтами.
И
что
еще
хуже,
White
Hat
оценила,
что
девять
из
десяти
вебсайтов
могут
быть
уязвимы
для
атак,
из
которых
семь
из
десяти
уязвимы
для
атак
типа
Cross-‐Site-‐Scripting
(XSS),
а
один
из
пяти
уязвимы
к
SQL
эксплоитам.
Популярные
методы
атак
легитимных
сайтов
включают
в
себя:
• Cross-‐Site
Scripting
(XSS).
В
этом
случая
уязвимость
в
веб-‐
приложении
позволяет
хакерам,
уязвимым
сайтам
или
собственникам
вредоносных
сайтов
послать
вредоносный
код
на
браузеры
неподозревающих
пользователей.
Эти
атаки
часто
выполняются,
с
помощью
тегов
HTML
image
и
элементов
фреймов
(<img>,
<frame>,
<iframe>)
и
кода
JavaScript
• SQL
инъекции.
Эта
техника
использует
уязвимость
безопасности
на
уровне
базы
данных
широко
используемых
веб-‐приложений
и
серверов.
Хакеры
используют
недоработку,
когда
данные,
передаваемых
в
полях
ввода,
не
проверяются
на
предмет
допустимости
входных
значений
(формы,
имена
пользователей
и
т.д.)
на
страницах,
которые
используют
язык
SQL.
Хакеры
получают
контроль
над
сайтом,
который
они
могут
превратить
в
центр
перенаправления
malware.
• Использование
iFrames.
Как
XSS,
так
и
SQL
инъекции
используют
гибкость
HTML
iFrame
для
того,
чтобы
доставить
malware
напрямую
пользователям.
iFrame,
или
же
тег
inline
Frame,
позволяет
встроить
один
HTML
документ
(часто
с
другого
сервера)
в
другой
HTML
документ
(например
–
включение
баннера
в
веб-‐страницу).
iFrame
–
это
очень
популярный
инструмент
в
интернет,
но
он
также
может
использоваться
для
плохих
целей.
Хакеры
просто
внедряют
вредоносный
URL
в
iFrame,
а
CSS
и
JavaScript
используют
для
манипулирования
свойствами
iFrame
(изменение
размера
и
расположения).
Обычно
хакеры
устанавливали
атрибуты
размера
iFrame
в
ноль
или,
устанавливали
параметры
видимости
«скрытый»,
делая
iFrame
невидимым
для
посетителей
страницы.
4. • Переполнение
буфера.
В
этой
уязвимости
приложению
посылается
больше
данных,
чем
оно
может
обработать,
что
может
привести
к
падению
приложения
и
к
открытию
различных
брешей
в
безопасности
• Сделки
по
одновременной
публикации
онлайн-‐рекламы.
Традиционные
методы
защиты
часто
не
могут
идентифицировать
скомпрометированные
веб-‐сайты,
что
оставляет
посетителей
незащищенными
перед
инфекцией.
Посетители
таких
узлов
обычно
не
могут
определить,
что
они
были
скомпрометированы
и
что
их
системы
загружают
malware.
При
событии,
которые
известны
под
названием
“drive-‐by
download”,
загрузка
malware
происходит
в
фоне.
В
большинстве
случаев
уязвимости
браузера
разрешают
загрузку
даже
без
того,
чтобы
пользователь
кликнул
на
линк,
большинство
пользователей
могут
даже
не
узнать,
что
они
загрузили
malware.
Когда
система
полностью
обновлена
и
бреши
в
системе
безопасности
прикрыты,
эксплоит
может
более
явно
перенаправить
пользователя
на
сайт,
который
спросит
его
загрузить
обновление
для
какого-‐либо
легитимного
музыкального
ПО,
или
даже
чего-‐то,
что
выглядит
как
анти-‐malware
программа.
Исследование
Google,
проведенное
в
2008
году,
посвященное
загрузкам
“drive-‐by”
–
«Все
ваши
iFrame
ведут
к
нам»
показало,
что
в
исследованных
миллиардах
URL
более
чем
три
миллиона
были
инициированы
загрузками
drive-‐by.
Дополнительно,
1.3
процента
входящих
поисковых
запросов
в
Google
в
поисковых
результатах
показали
как
минимум
один
вредоносных
URL.
Сегодня
загружаемое
malware
вызывает
очень
большое
количество
угроз.
Они
включают
в
себя
–
adware,
кейлоггеры,
участие
в
ботнетах,
хищение
данных
и
многое
другое.
Реактивная
фильтрация
не
может
вас
защитить
Традиционные
методы
защиты
обычно
недостаточно
быстрые,
точные
или
всесторонние
для
того,
чтобы
оценить
и
защитить
пользователей
от
новых,
динамических
веб-‐угроз,
количество
которых
возрастает
рекордными
темпами.
Черные
списки
IP
и
решения
URL
фильтрации
обычно
закрывают
только
небольшой
процент
всех
URL
и
IP
адресов
–
и
только
известные!
Кроме
того,
они
предлагают
«двоичный»
вариант
реагирования
–
опции
«заблокировать/плохой»
или
«разрешить/хороший»
для
URL
или
же
IP
адресов,
которые
в
них
входят
вместо
того,
чтобы
предоставить
детальную
информацию
о
любых
подозрительных
URL,
IP
адресов
или
объектов
–
даже
тех,
которые
не
были
известны
до
сих
пор.
Даже
с
включенными
категориями
безопасности,
эти
решения
по
URL
фильтрации
не
могут
помочь
с
легитимными,
в
основном
доверенными
сайтами,
которые
превратились
в
хаб
по
распространению
malware.
URL-‐и
этих
вебсайтов
доверенные
и
не
находятся
в
черных
списках.
Соответственно,
политики,
созданные
для
предотвращения
доступа
пользователей
к
определенным
узлам,
не
могут
предотвратить
пользователей
от
заражения
на
тех
узлах,
которые
разрешены.
Поскольку
5. многие
традиционные
технологии
URL
фильтрации
рассматривают
только
первоначальный
запрос
на
домен,
они
не
могут
проверить
дополнительные
объекты,
которые
требуются
для
того,
чтобы
правильно
загрузить
страницу,
или
их
источники
и,
таким
образом,
не
могут
препятствовать
вредоносному
перенаправлению.
Когда
на
странице
содержится
в
среднем
150
объектов,
традиционные
методы
URL
фильтрации
просто
не
«успевают»
Именно
это
произошло
в
13
сентября
2009
года
со
всеми
посетителями
NYTimes.com;
доверенный
источник,
который
категорируется
большинством
URL
списков
как
«новости».
Реклама,
очень
похожая
на
легитимную
(вставленная
через
простой
объект
на
сайте)
начала
показывать
всплывающее
окно,
предупреждающее
пользователей,
что
их
инфицировал
вирус.
Жертвы
потом
перенаправлялись
на
вредоносный
сайт,
который
предлагал
загрузить
антивирусную
программу,
похожую
на
настоящую,
которая
на
самом
деле
была
трояном.
Тем
временем,
системы
защиты
от
веб-‐угроз,
которые
основываются
на
поведенческом
анализе
с
эвристикой
имеют
тенденцию
сильно
зависеть
от
опыта
администратора.
Множество
подозрительных
или
злонамеренных
действий,
которые
мониторятся
такими
решениями
–
модификация
настроек
регистра
или
доступ
к
системным
ресурсам
–
также
наблюдаются
и
при
работе
легитимных
программ.
В
том
случае
только
от
администратора
зависит,
действительно
ли
это
предупреждение
является
опасным.
Это
большая
нагрузка,
особенно
когда
некоторые
наблюдаемые
действия
являются
очень
техническими
или
же
представляют
из
себя
действия
легитимных
программ.
Решение,
что
разрешить,
а
что
запретить
в
основном
представляет
из
себя
игру-‐угадайку,
что
приводит
к
большому
количеству
ложных
срабатываний.
Для
того,
чтобы
быть
полезными
в
сегодняшнем
мире
быстро
эволюционирующих,
динамических
веб-‐угроз,
методы
сетевой
защиты
должны
быть
проактивными,
а
не
реактивными,
и
должны
предлагать
многоуровневый,
интегрированный
подход
к
безопасности.
Они
должны
использовать
несколько
значений
для
оценки
уровня
доверия
вебсайтов
и
содержимого
индивидуальных
веб-‐страниц,
и
они
должны
эффективно
блокировать
вредоносный
контент
в
то
время,
как
разрешать
пользователям
получать
доступ
к
легитимному
контенту,
который
им
нужен.
Поиск
ограниченного
количества
типов
угроз
или
зависимость
от
исторической
информации
–
это
уже
недостаточно.
Проактивная
защита
с
Web
репутацией
Cisco
IronPort
Технология
Web
репутации
Cisco
IronPort
использует
технологии
системой
оценки
и
глубоко
детальные
возможности
сканирования
объектов
для
предоставления
пользователям
своевременных,
точных
предупреждений
об
угрозах.
Репутационные
Web
фильтры
также
используют
инфраструктуру
Cisco
Security
Intelligence
Operations
(SIO),
облачный
сервис
безопасности,
который
поддерживается
Cisco
Threat
Operations
Center.
Cisco
SIO
коррелирует
данные,
которые
он
получает
из
SensorBase,
самой
большой
в
мире
сети
мониторинга
угроз,
и
предоставляет
в
Cisco
TOC
более
500
Гбайт
данных
об
угрозах
ежедневно,
с
6. 30
млрд
индивидуальных
запросов
устройств,
которые
устройства
делают
прямо
в
SensorBase.
Рис.
2.
Cisco
Security
Intelligence
Operations
обеспечивает
высочайший
уровень
корреляции
угроз,
позволяя
пользователям
с
уверенностью
и
безопасностью
взаимодействовать
друг
с
другом
Для
измерения
уровня
доверия,
или
же
репутации
каждого
активного
веб-‐сервера
в
интернет,
Cisco
SensorBase
отслеживает
более
200
различных
параметров,
которые
относятся
в
веб,
IPS,
firewall
и
трафику
email.
Интегрированные
возможности
по
мониторингу
разных
видов
трафика
позволяют
решениям
безопасности
Cisco
быстро
проанализировать
активность,
репутацию
и
потенциально
злоумышленные
намерения
вебсайтов,
даже
если
они
никогда
раньше
не
были
связаны
с
malware.
В
дополнение,
фильтры
Web
репутации
получают
преимущество
от
данных,
которые
просматриваются
сервисами
безопасности
глобальной
сети
Cisco
и
непревзойденной
возможность
просмотра
интернет-‐трафика
и
тенденций
Как
часть
многоуровневого,
всеобъемлющего
подхода
к
веб-‐угрозам,
Cisco
SIO
также
мониторит
веб
на
предмет
ново
созданных
или
7. модифицированных
URL,
получает
URL
потоки
от
тщательно
проверенных
источников,
которые
идентифицируют
URL,
связанные
с
malware,
spyware,
фармингом,
фишингом
и
спамом.
На
запрашивающей
стороне
репутационные
фильтры
Cisco
IronPort
включают
Cisco
IronPort
Outbreak
фильтрацию
и
фильтрацию
эксплоитов,
которые
поддерживаются
SensorBase,
На
отвечающей
стороне
решения
Cisco
IronPort
используют
мультивендорное,
сигнатурное
сканирование
анти-‐malware
Рис.
3.
Проактивная
защита.
Процесс
фильтрации
Cisco
IronPort
Web
репутации.
Всесторонний
подход
Использование
параметров
сетевого
уровня
для
определения
Web
репутации
Анализ
данных,
даже
элементов,
которые
наиболее
сложны
для
манипулирования,
может
много
что
рассказать
о
уровне
доверия
URL.
Анализ
данных
может
определить,
как
давно
был
зарегистрирован
домен,
был
ли
он
зарегистрирован
автоматически
или
вручную,
кто
его
владелец,
был
ли
он
когда-‐либо
ассоциирован
с
IP
адресом,
связанным
с
веб-‐угрозой,
является
ли
адрес
статическим
или
же
динамическим,
в
какой
стране
хостится
вебсайт
и
многое
другое.
Web
репутационные
фильтры
Cisco
IronPort
получают
данные
из
сети
Cisco
SensorBase.
SensorBase
отслеживает
более
200
разных
параметров,
которые
являются
прекрасными
индикаторами
репутации
URL,
IP
адреса
или
веб-‐объекта.
Использование
сложное
моделирование
безопасности
и
агенты,
обнаруживающие
malware,
технология
Cisco
IronPort
оценивает
элементы
страницы
и
создает
точную
картину
ее
уровня
доверия.
Некоторые
параметры
включают:
• Поведенческий
анализ
контента
• Наличие
загружаемого
кода
• Наличие
сложных,
скрытых
пользовательских
соглашений
(EULA)
• Общий
объем
трафика
и
история
его
изменения
8. • Информация
о
собственнике
сети
• История
URL
• Возраст
URL
• Наличие
в
черных
списках
вирусов,
спама,
spyware,
фишинга,
фарминга
• Наличие
в
белых
списках
вирусов,
спама,
spyware,
фишинга,
фарминга
• URL,
которые
содержат
опечатки
имен
популярных
доменов
• Информация
о
регистраторе
• Информация
об
IP
адресе
Рис.
4.
Значение
Web
репутации.
Сложные
алгоритмы
анализируют
и
коррелируют
угрозы
с
помощью
более
200
параметров
для
того,
чтобы
точно
оценить
риск
malware
для
Web
объекта.
С
помощью
этих
данных
генерируется
динамическое
значение
от
-‐10
до
+10
Технология
Cisco
IronPort
Web
репутации
использует
следующий
процесс
для
вычисления
репутации
URL
1. Через
глобальную
корреляцию.
Cisco
SIO
использует
технологии
моделирования
безопасности,
которые
связывают
атрибуты
вверху
для
определения,
с
какой
вероятностью
URL
и
веб-‐объекты,
которые
связаны
с
определенными
атрибутами,
аффилированы
с
malware.
В
зависимости
от
этой
вероятности
соответствующий
весовой
коэффициент
помещается
к
каждому
из
этих
атрибутов.
2. Используя
более
чем
200
сетевых
атрибутов,
Cisco
SIO
оценивает
элементы
страницы
для
определения
общей
вероятности
того,
что
она
содержит
malware
3. Агрегированная
вероятность
того,
что
страница
содержит
malware
привязывается
к
значению
репутации
от
-‐10
до
+10,
где
-‐10
наиболее
вероятное
значение,
а
+10
наименее
вероятное.
9. Оценка
множества
параметров
предлагает
глубокую
оценку
Большинство
приложений,
которые
определяют
malware
(включая
решения
по
URL
фильтрации)
зависят
от
ручной
оценки
и
определения
и
могут
предложить
только
двоичный
уровень
категоризации
«хороший/плохой».
Но,
поскольку
репутационные
фильтры
Cisco
IronPort
Web
анализируют
широкий
набор
данных,
они
выдают
намного
более
детальное
значение
от
-‐10
до
+10
Это
дает
администраторам
намного
большую
гибкость,
что
позволяет
им
внедрить
разные
политики
безопасности
(расшифровка,
сканировать
дальше)
на
основе
значений
web-‐репутации.
Вместо
того,
чтобы
пытаться
создать
политики
доступа
на
основе
ограниченного
двоичного
«хороший/плохой»
значения,
администраторы
могут
использовать
детальное
значение
репутации.
Это
позволяет
пользователям
сети
получить
доступ
к
нужному
веб-‐контенту
без
ненужных
ограничений,
однако
с
полной
защитой
от
новых
угроз.
Сканирование
всех
объектов
на
странице
защищает
от
динамических
угроз
В
отличие
от
традиционных
решений
URL
безопасности,
Web
фильтры
безопасности
Cisco
IronPort
проверяют
каждый
запрос,
который
делается
браузером.
Вместо
того,
чтобы
просто
просматривать
первоначальный
HTML
запрос,
они
также
анализируют
все
последующие
запросы
данных,
рассматривая
каждый
элемент
на
странице
и
его
источники
–
включая
живые
данные
(JavaScript,
реклама,
виджеты),
которые
могут
получать
данные
из
разных
доменов.
Это
позволяет
фильтрам
Web
репутации
дать
пользователям
намного
более
точную
оценку
и
заблокировать
веб-‐контент
на
более
детальном
уровне,
чем
это
можно
сделать
в
решениях
URL
фильтрации
и
черных
списках
IP
Рис.
5.
Web
репутационные
фильтры
Cisco
IronPort
обеспечивают
обзор
намного
дальше
первоначальной
угрозы.
Ведущие
технологии
безопасности
и
защиты
Web
репутационные
фильтры
Cisco
IronPort
блокируют
до
70
процентов
malware
на
уровне
соединения,
еще
до
сигнатурного
сканирования.
Использование
целостного,
многоуровневого
подхода
–
объединение
всесторонней
репутационной
оценки
с
глубоким
сканированием
позволяет
обеспечить
Cisco
уровень
обнаружения
malware
на
60%
больше,
чем
на
отдельных
сигнатурных
сканерах.
В
добавление,
система
Cisco
IronPort
Web
репутации
это
единственная
репутационная
система,
которая
включает
в
себя
защиту
от
10. ботсайтов(botsite
defense),
обнаружение
URL
outbreak
(URL
outbreak
detection)
и
фильтрацию
эксплоитов
Web
2.0
(Web
2.0
exploit
filtering)
Защита
от
ботсайтов
использует
эвристические
и
поведенческие
алгоритмы
для
точной
идентификации
вебсайтов,
которые
хостятся
на
бот-‐сетях.
Поскольку
большинство
новых
атак
malware
(например
–
поддельные
сканеры
spyware;
спам,
собирающий
номера
карт,
фишинговые
атаки)
управляются
и
направляются
ботнетами,
эта
выделенная
система
обнаружения,
которая
изолирует
ботсайты,
помогает
репутационным
фильтрам
Cisco
IronPort
защитить
пользователей
до
того,
как
произойдет
атака.
Как
только
мы
обнаруживаем
активный
код,
фильтр
использует
sandbox
эмуляцию
для
того,
чтобы
выполнить
код
в
безопасной
защищенной
среде
и
определения
malware,
если
оно
было
скрыто.
18
марта
2008
года
атака
iFrame
на
спортивный
сайт
MSNBC
показала
эффективность
системы
защиты
от
ботсайтов.
iFrame,
который
вел
на
злонамеренный
файл
JavaScript,
перенаправлял
на
IP
адрес,
который
принадлежал
к
web
серверу,
который
ранее
хостил
malware
из
Intercage
и
Russian
Business
Network.
С
помощью
botsite
defense,
репутационные
фильтры
Cisco
IronPort
заблокировали
ботсайт
за
пять
дней
перед
атакой.
Обнаружение
URL
outbreak.
Эта
система
использует
Cisco
IronPort
Outbreak
фильтры
для
идентификации
и
блокирования
malware,
распространяемого
через
URL,
у
которого
еще
нет
репутации
или
сигнатуры.
Это
malware
обычно
хостится
на
ботсайте
и
контролируется
ботнетом.
Линк
URL
outbreak
веден
прямо
к
злонамеренным
файлом.
Пользователь
никогда
не
направляется
на
вебсайт
–
вместо
этого,
только
один
клик,
при
котором
пользователь
думает,
что
он
посещает
сайт,
устанавливает
автоматически
malware
файл.
Cisco
Threat
Operations
Centers
мониторит
такие
ссылки
24х7х365
и
имеет
возможность
распространять
наборы
правил
за
13
часов
перед
появлением
сигнатур
Фильтрация
эксплоитов
Web
2.0
позволяет
защититься
от
последней
угрозы
–
доверенные
вебсайты,
которые
были
скомпрометированы
для
того,
чтобы
распространять
malware
или
фишинговые
атаки
с
помощью
технологий
cross-‐site
scripting,
SQL
инъекции
или
невидимые
iFrame.
Использование
облачного
сканирования
в
режиме
реального
времени
с
помощью
Cisco
SensorBase,
фильтры
эксплоитов
проактивно
проверяют
контент
и
группируют
скомпрометированные
узлы
в
три
группы
–
опасный,
скомпрометированный
и
уязвимый.
11. Рис.
6.
С
фильтрацией
эксплоитов
Cisco
предлагает
защиту
от
одной
из
самых
опасных
невидимых
угроз
-‐-‐
атака
malware
с
легитимных
сайтов.
Опасный.
Эти
вебсайты
активно
обслуживают
malware
или
содержат
внедренные
злонамеренные
скрипты.
Они
немедленно
блокируются.
Скомпрометированный.
Эти
узлы
содержат
злонамеренный
скрипт,
но
он
не
был
активирован
бот-‐сетью
или
же
командным
сервером,
который
ответственен
за
распространение
malware.
Эти
узлы
тоже
автоматически
блокируются.
Уязвимый.
Эти
популярные
веб-‐узлы
с
высоким
трафиком
показывают
уязвимость
общеизвестным
эксплоитам
или
же
ранее
были
связаны
с
распространением
malware.
Они
помещаются
под
круглосуточный
мониторинг
для
того,
чтобы
гарантировать
постоянную
защиту
для
всех
пользователей
Cisco
IronPort
Web
Reputiation
Cisco
IronPort
Web
Security
Appliance
объединяет
традиционную
URL
фильтрацию
с
расширенной
Web
репутационной
фильтрацией
Cisco
IronPort
и
сканированием
malware
на
одной
аппаратной
платформе
для
12. того,
чтобы
проактивно
бороться
с
динамическими
и
сложными
веб-‐
угрозами.
После
веб-‐фильтрации
Web
Security
Appliance
использует
расширенный
механизм
сканирования
–
Cisco
IronPort
Dynamic
Vectoring
and
Streaming
engine
и
несколько
сигнатурных
баз
в
качестве
второй
линии
обороны.
Вместе
с
эвристическим
сканированием,
которое
предлагается
McAfee,
Web
Security
Appliance
также
сканирует
трафик
с
помощью
сигнатурных
сканеров
Webroot,
Sophos
и
McAfee.
Сигнатурное
сканирование
обеспечивает
полную
проверку
контента
и
обнаруживает
и
блокирует
все
остальные
виды
malware.
Механизм
Cisco
IronPort
DVS
запускает
все
сигнатурные
сканеры
в
одновременную
параллельную
работу,
что
увеличивает
уровень
обнаружения
еще
на
35
процентов.
Предыдущие
технологии
сканирования
делали
мультивендорное
сканирование
практически
невозможным
из-‐за
ограничений
в
производительности
и
задержке.
Cisco
IronPort
DVS
убирает
это
ограничение,
с
помощью
технологий
увеличения
производительности,
таких
как
потоковое
сканирование,
алгоритмы
раннего
выхода,
кеширование
репутационного
вердикта
и
быстрый
просмотр
и
сканирование
объекта.
Эта
стратегия
позволила
Cisco
предложить
один
Web
Security
Appliance,
который
интегрирует
несколько
сигнатурных
баз
данных,
которые
могут
использоваться
как
одновременно,
так
и
по
отдельности
для
того,
чтобы
обеспечить
высочайший
уровень
защиты
от
угроз.
Заключение
В
последнее
десятилетие
ландшафт
угроз
кардинально
изменился.
Писатели
malware
сейчас
атакуют
пользователей
с
намерением
получения
их
персональной
информации.
Такие
объекты,
как
номера
кредитных
карт,
пароли,
информация
о
банковских
счетах
используется
для
получения
финансовой
выгоды.
Когда-‐то
источники
атак
были
в
какой-‐то
мере
предсказуемы
и
менее
сложны
для
остановки.
Но
сегодняшние
угрозы
malware
часто
неизвестны.
Простой
клик
на
результат
поиска
или
просмотр
хорошо
известного
вебсайта
может
оказаться
достаточным
для
того,
чтобы
инфицировать
машину.
Malware
писатели
создают
все
более
и
более
хорошо
выглядящие
сайты.
Более
того,
они
все
чаще
распространяют
malware
через
скомпрометированные
легитимные
вебсайты.
Эти
сайты
доверенные,
или
же
они
раньше
не
были
известны
как
нарушители,
традиционные
системы
URL
фильтрации
не
могут
справится
с
защитой
пользователей.
Сами
по
себе
сканеры
malware
тоже
не
могут
предложить
адекватную
защиту,
если
новое
malware
еще
не
было
идентифицировано
сигнатурой
от
вендоров
безопасности
Обеспечение
доступа
пользователей
к
ценным
веб-‐ресурсам,
в
то
время
как
защита
их
от
постоянно
эволюционирующих
веб-‐угроз
требует
всестороннего,
интегрированного
подхода.
Решение,
которое
смотрит
на
больше,
чем
традиционные
URL
черные
и
белые
списки,
проверяет
каждый
элемент
страницы
(а
не
только
первоначальный
URL)
из
первоначального
запроса,
рассматривает
индивидуально
каждый
элемент
страницы
и
его
13. источники
индивидуально,
включая
живые
данные
(JavaScript,
реклама,
виджеты),
которые
могут
получать
данные
из
разных
доменов.
Cisco
IronPort
предлагает
расширенные
технологии
оценки
трафика
и
детальные
возможности
сканирование
объектов
для
того,
чтобы
дать
пользователям
своевременные
и
точные
предупреждения
об
угрозах.
Фильтры
Web
репутации
Cisco
IronPort
используют
инфраструктуру
Cisco
SIO,
облачный
сервис
безопасности,
который
поддерживается
Cisco
Threat
Operations
Center.
Cisco
SIO
коррелирует
данные,
которые
он
получает
из
Cisco
SensorBase
–
самой
большой
в
мире
сети
мониторинга
угроз.
Используя
эту
глубокую,
широкую
коллекцию
данных
об
угрозах
трафика
web,
email,
firewall,
IPS,
технология
Web
репутации
Cisco
IronPort
может
быстро
обнаружить
вредоносные
экземпляры
кода
и
атаки.
Этот
целостный,
интегрированный,
многоуровневый
подход
защищает
заказчиков
от
веб-‐угроз
сегодня
и
завтра.