SlideShare una empresa de Scribd logo

Как работает механизм Web-репутации с Cisco IronPort?

Cisco Russia
Cisco Russia
Tecnología
1 de 13
Descargar para leer sin conexión
Web  репутация  Cisco  IronPort     Всесторонний,  проактивный  подход  к  Web  угрозам   Основные  положения   Сложная   и   динамическая   экономика   malware   угрожает   пользователям  и  бизнесу  финансовыми  потерями  и  снижением  репутации   бренда.   Технология   Web   репутации   Cisco   IronPort     обеспечивает   расширенную   защиту   от   этих   новых   рисков,   используя   не   имеющую   равных   видимость   угроз   и   реакцию   в   реальном   времени   для   отклонения   атак,  которые  обходят  традиционные  механизмы  защиты.   Организованные   преступники   методически   и   незаметно   эксплуатируют   уязвимости   в   вебсайтах   и   браузерах   для   того,   чтобы   инфицировать   компьютеры,   украсть   ценную   информацию   (параметры   учетных   записей,   номера   кредитных   карт   и   интеллектуальную   собственность)   и   превратить   корпоративные   и   персональные   сети   в   невольных  сообщников  в  распространении  спама  и  malware.  Все  больше  и   больше   распространители   malware   используют   легитимные   веб-­‐узлы   как   стартовую   точку   для   распространения   вредоносного   кода   –   В   businessweek.com   и   MSNBCsports.com   были   части   вебсайтов,   использующихся   для   распространения   malware.   Хотя   в   настоящее   время   угроза   с   этих   узлов   отсутствует,   пользователи   могли   инфицироваться   просто   посетив   доверенные   узлы.   Знание   сайтов,   которым   доверяют   миллионы   пользователей   делает   их   легкой   мишенью   для   писателей   malware   Усложнение,   инновации   и   динамическая   природа   таких   атак   часто   делает   традиционную   защиту   бесполезной.   URL   фильтрация   и   черные   списки   IP   реактивные   и   не   могут   адекватно   оценить   новые   или   ранее   нескомпрометированные   сайты   своевременно,   а   сигнатурные   анализаторы   часто   не   успевают   своевременно   обновлять   базы   из-­‐за   постоянных  мутаций  malware.   Нужен   новый   подход.   Защита   пользователей   от   сегодняшних   web-­‐ угроз   требует   многоуровневого,   целостного   и   интегрированного   подхода,   который   использует   несколько   продвинутых   методологий   для   оценки   каждой   угрозы   и   типов   сетевого   трафика.   Наша   лучшая   защита   как   сообщества   пользователей   -­‐-­‐   это   обмен   информацией   об   угрозах   в   реальном   времени,   автоматизированный   так,   чтобы   мы   могли   быстро   заблокировать   новые   угрозы   и   закрыть   окно   возможностей   для   преступников.  Технология  Web  репутации  Cisco  IronPort,  которая  встроена   в   Cisco   IronPort   Web   Security   Appliances   (WSA),   обнаруживает   и   оценивает   как   подозрительные   структуры   и   вебсайты,   так   и   скомпрометированные   элементы  на  индивидуальных  страницах.   Технология   Web   репутации   Cisco   IronPort     основывается   на   всесторонней   информации,   которая   обеспечивается   инфраструктурой   Cisco   Security   Intelligence   Operations.   Cisco   SIO   –   это   облачный   сервис  
безопасности,   который   коррелирует   данные,   полученные   из   сети   Cisco   SensorBase   –   самом   большом   в   мире   сервисе   мониторинга   почтового   и   web   трафика,   и   продвинутых   технологий,   таких   как   быстрое,   детальное   сканирование   каждого   объекта   на   запрошенной   веб-­‐странице,   вместо   сканирования   только   URL-­‐ей   и   первоначальных   HTML   запросов.   Это   помогает   сетям   существенно   уменьшить   уязвимости,   не   только   для   известных   угроз,   но   также   и   для   угроз   нулевого   дня   и   неизвестных   угроз   из  новых  вебсайтов  или  из  легитимных,  но  скомпрометированных  сайтов.   Введение   Для   писателей   malware   известность   больше   не   является   наградой.   При   существовании   зрелой,   цветущей   malware   экономики,   гораздо   более   ценно   создавать   вредоносный   код,   который   генерирует   прибыль   для   преступных   сетей   –   массовые   спам   кампании,   хищение   данных,   накрутки   кликов  и  много  другое.   Для   того,   чтобы   быть   успешным,   malware   должно   быть   как   легко   распространяемым  на  как  можно  большее  количество  жертв,  так  и  трудно   обнаруживаемым.   Первоначально   malware   распространялось   через   электронную   почту,   но   возможность   просматривать   большие   присоединенные   файлы,     а   также   как   буферизация,   как   встроенная   особенность  передачи  электронной    почты  позволили  сравнительно  легко   останавливать  malware.  И  наоборот,  Web  по  своей  природе  интерактивен,   трафик   передается   в   режиме   реального   времени,   и   угрозы,   скрытые   прямо   в  контенте  сделали  задачу  остановки  malware  гораздо  более  сложной.     Растущая   значимость   веб,   как   механизма   доставки   угроз   подтверждается   тем   фактом,   что   сейчас   более   80%     спам   сообщений   включают   URL,   которые   могут   перенаправить   пользователей   на   веб-­‐ сервер,   где   располагается   malware.   Это   соотношение   даже   выше   для   фишинговых  рассылок.  URL-­‐и  предназначены  для  привлечения  читателей   на  вебсайты  и  вовлечения  их  в  спорные  операции  или  загрузки  malware  на   их   компьютеры.   Обычно   и   спам   сообщения,   и   вредоносные   вебсайты   используют   комбинацию   методик   социальной   инженерии   и   уязвимостей   в   ПО  для  компрометации  пользователей.   Вредоносные   сайты,   которые   специально   созданы   для   распространения  malware,  это  не  только  сайты,  которые  компрометируют   пользователей.   Хакеры   часто   распространяют   malware   через   легитимные   вебсайты,   которые   были   скомпрометированы,   используя   дыры   в   безопасности  веб-­‐приложений.     Легитимные  вебсайты,  невидимые  угрозы   Доверенные,   легитимные   вебсайты   являются   прекрасным   механизмом   распространения   malware.   В   отличие   от   ботсайтов,   которые   специально   созданы   для   распространения     malware,   легитимные   сайты   –   это  хорошо  известные  уважаемые  узлы,  которым  доверяют  пользователи.   Их   посещает   большое   количество   пользователей   и,   большую   часть   времени,  корпоративные  политики  разрешают  к  ним  доступ,  что  делает  их   основными   целями   для   онлайн-­‐преступников,   которые   ищут   способ   инфицировать  как  можно  больше  пользователей.    
  Рис.     1.   Преступники   компрометируют   легитимные   сайты   для   того,   чтобы   инфицировать  ничего  не  подозревающих  пользователей   Аудитор   безопасности   White   Hat   Security   оценила,   что   более   79   процентов   вебсайтов   содержащих   вредоносный   код   являются   взломанными  легитимными  сайтами.  И  что  еще  хуже,    White  Hat  оценила,   что  девять  из  десяти  вебсайтов  могут  быть  уязвимы  для  атак,  из  которых   семь  из  десяти  уязвимы  для  атак  типа    Cross-­‐Site-­‐Scripting  (XSS),  а  один  из   пяти  уязвимы  к  SQL  эксплоитам.     Популярные  методы  атак  легитимных  сайтов  включают  в  себя:   • Cross-­‐Site   Scripting   (XSS).     В   этом   случая   уязвимость   в   веб-­‐ приложении   позволяет   хакерам,   уязвимым   сайтам   или   собственникам  вредоносных  сайтов  послать  вредоносный  код   на   браузеры   неподозревающих   пользователей.   Эти   атаки   часто   выполняются,   с   помощью   тегов   HTML   image   и   элементов   фреймов   (<img>,   <frame>,   <iframe>)   и   кода   JavaScript   • SQL   инъекции.   Эта   техника   использует   уязвимость   безопасности   на   уровне   базы   данных   широко   используемых   веб-­‐приложений  и  серверов.  Хакеры  используют  недоработку,   когда   данные,   передаваемых   в   полях   ввода,   не   проверяются   на   предмет   допустимости   входных   значений   (формы,   имена   пользователей  и  т.д.)  на  страницах,  которые  используют  язык   SQL.   Хакеры   получают   контроль   над   сайтом,   который   они   могут  превратить  в  центр  перенаправления  malware.   • Использование   iFrames.   Как   XSS,   так   и   SQL   инъекции   используют  гибкость  HTML  iFrame  для  того,  чтобы  доставить   malware   напрямую   пользователям.   iFrame,   или   же   тег   inline   Frame,   позволяет   встроить   один   HTML   документ   (часто   с   другого   сервера)   в   другой   HTML   документ   (например   –   включение   баннера   в   веб-­‐страницу).   iFrame   –   это   очень   популярный   инструмент   в   интернет,   но   он   также   может   использоваться   для   плохих   целей.   Хакеры   просто   внедряют   вредоносный  URL  в  iFrame,  а  CSS  и  JavaScript  используют  для   манипулирования   свойствами   iFrame   (изменение   размера   и   расположения).   Обычно   хакеры   устанавливали   атрибуты   размера   iFrame   в   ноль   или,   устанавливали   параметры   видимости   «скрытый»,   делая   iFrame   невидимым   для   посетителей  страницы.    
• Переполнение   буфера.   В   этой   уязвимости   приложению   посылается   больше   данных,   чем   оно   может   обработать,   что   может   привести   к   падению   приложения   и   к   открытию   различных  брешей  в  безопасности   • Сделки   по   одновременной   публикации   онлайн-­‐рекламы.   Традиционные   методы   защиты   часто   не   могут   идентифицировать   скомпрометированные   веб-­‐сайты,   что   оставляет   посетителей   незащищенными   перед   инфекцией.   Посетители  таких  узлов  обычно  не  могут  определить,  что  они   были   скомпрометированы   и   что   их   системы   загружают   malware.   При  событии,  которые  известны  под  названием    “drive-­‐by  download”,   загрузка   malware   происходит   в   фоне.   В   большинстве   случаев   уязвимости   браузера  разрешают  загрузку  даже  без  того,  чтобы  пользователь  кликнул   на   линк,   большинство   пользователей   могут   даже   не   узнать,   что   они   загрузили       malware.   Когда   система   полностью   обновлена   и   бреши   в   системе   безопасности   прикрыты,   эксплоит   может   более   явно   перенаправить   пользователя   на   сайт,   который   спросит   его   загрузить   обновление   для   какого-­‐либо   легитимного   музыкального   ПО,   или   даже   чего-­‐то,  что  выглядит  как  анти-­‐malware  программа.     Исследование   Google,   проведенное   в   2008   году,   посвященное   загрузкам   “drive-­‐by”   –   «Все   ваши   iFrame   ведут   к   нам»   показало,   что   в   исследованных   миллиардах   URL   более   чем   три   миллиона   были   инициированы   загрузками   drive-­‐by.   Дополнительно,   1.3   процента   входящих  поисковых  запросов  в  Google  в  поисковых  результатах  показали   как  минимум  один  вредоносных  URL.     Сегодня   загружаемое   malware   вызывает   очень   большое   количество   угроз.   Они   включают   в   себя   –   adware,   кейлоггеры,   участие   в   ботнетах,   хищение  данных  и  многое  другое.     Реактивная  фильтрация  не  может  вас  защитить   Традиционные   методы   защиты   обычно   недостаточно   быстрые,   точные   или   всесторонние   для   того,   чтобы   оценить   и   защитить   пользователей   от   новых,   динамических   веб-­‐угроз,   количество   которых   возрастает  рекордными  темпами.     Черные   списки   IP   и   решения   URL   фильтрации   обычно   закрывают   только   небольшой   процент   всех   URL   и   IP   адресов   –   и   только   известные!   Кроме   того,   они   предлагают   «двоичный»   вариант   реагирования   –   опции   «заблокировать/плохой»   или   «разрешить/хороший»   для   URL   или   же   IP   адресов,  которые  в  них  входят  вместо  того,  чтобы  предоставить  детальную   информацию   о   любых   подозрительных   URL,   IP   адресов   или   объектов   –   даже  тех,  которые  не  были  известны  до  сих  пор.     Даже   с   включенными   категориями   безопасности,   эти   решения   по   URL   фильтрации   не   могут   помочь   с   легитимными,   в   основном   доверенными   сайтами,   которые   превратились   в   хаб   по   распространению   malware.   URL-­‐и   этих   вебсайтов   доверенные   и   не   находятся   в   черных   списках.   Соответственно,   политики,   созданные   для   предотвращения   доступа   пользователей   к   определенным   узлам,   не   могут   предотвратить   пользователей  от  заражения  на  тех  узлах,  которые  разрешены.  Поскольку  
многие  традиционные  технологии  URL  фильтрации  рассматривают  только   первоначальный   запрос   на   домен,   они   не   могут   проверить   дополнительные  объекты,  которые  требуются  для  того,  чтобы  правильно   загрузить   страницу,   или   их   источники   и,   таким   образом,   не   могут   препятствовать   вредоносному   перенаправлению.   Когда   на   странице   содержится   в   среднем   150   объектов,   традиционные   методы   URL   фильтрации  просто  не  «успевают»     Именно   это   произошло   в   13   сентября   2009   года   со   всеми   посетителями   NYTimes.com;   доверенный   источник,   который   категорируется  большинством  URL  списков  как  «новости».  Реклама,  очень   похожая   на   легитимную   (вставленная   через   простой   объект   на   сайте)   начала   показывать   всплывающее   окно,   предупреждающее   пользователей,   что   их   инфицировал   вирус.   Жертвы   потом   перенаправлялись   на   вредоносный   сайт,   который   предлагал   загрузить   антивирусную   программу,  похожую  на  настоящую,  которая  на  самом  деле  была  трояном.   Тем   временем,   системы   защиты   от   веб-­‐угроз,   которые   основываются   на   поведенческом   анализе   с   эвристикой   имеют   тенденцию   сильно   зависеть   от   опыта   администратора.   Множество   подозрительных   или  злонамеренных  действий,  которые  мониторятся  такими  решениями  –   модификация  настроек  регистра  или  доступ  к  системным  ресурсам  –  также   наблюдаются  и  при  работе  легитимных  программ.  В  том  случае  только  от   администратора  зависит,  действительно  ли  это  предупреждение  является   опасным.   Это   большая   нагрузка,   особенно   когда   некоторые   наблюдаемые   действия   являются   очень   техническими   или   же   представляют   из   себя   действия  легитимных  программ.  Решение,  что  разрешить,  а  что  запретить   в  основном  представляет  из  себя  игру-­‐угадайку,  что  приводит  к  большому   количеству  ложных  срабатываний.     Для   того,   чтобы   быть   полезными   в   сегодняшнем   мире   быстро   эволюционирующих,   динамических   веб-­‐угроз,   методы   сетевой   защиты   должны   быть   проактивными,   а   не   реактивными,   и   должны   предлагать   многоуровневый,   интегрированный   подход   к   безопасности.   Они   должны   использовать   несколько   значений   для   оценки   уровня   доверия   вебсайтов   и   содержимого   индивидуальных   веб-­‐страниц,   и   они   должны   эффективно   блокировать   вредоносный   контент   в   то   время,   как   разрешать   пользователям   получать   доступ   к   легитимному   контенту,   который   им   нужен.   Поиск   ограниченного   количества   типов   угроз   или   зависимость   от   исторической  информации  –  это  уже  недостаточно.     Проактивная  защита  с  Web  репутацией  Cisco  IronPort    Технология   Web   репутации   Cisco   IronPort   использует   технологии   системой   оценки   и   глубоко   детальные   возможности   сканирования   объектов   для   предоставления   пользователям   своевременных,   точных   предупреждений   об   угрозах.   Репутационные   Web   фильтры   также   используют   инфраструктуру   Cisco   Security   Intelligence   Operations   (SIO),   облачный   сервис   безопасности,   который   поддерживается   Cisco   Threat   Operations   Center.   Cisco   SIO   коррелирует   данные,   которые   он   получает   из   SensorBase,   самой   большой   в   мире   сети   мониторинга   угроз,   и   предоставляет  в  Cisco  TOC  более  500  Гбайт  данных  об  угрозах  ежедневно,  с  
30  млрд  индивидуальных  запросов  устройств,  которые  устройства  делают   прямо  в  SensorBase.       Рис.     2.   Cisco   Security   Intelligence   Operations   обеспечивает   высочайший   уровень   корреляции   угроз,   позволяя   пользователям   с   уверенностью   и   безопасностью   взаимодействовать  друг  с  другом   Для   измерения   уровня   доверия,   или   же   репутации   каждого   активного   веб-­‐сервера   в   интернет,   Cisco   SensorBase   отслеживает   более   200   различных   параметров,   которые   относятся   в   веб,   IPS,   firewall   и   трафику   email.     Интегрированные   возможности   по   мониторингу   разных   видов   трафика   позволяют   решениям   безопасности   Cisco   быстро   проанализировать   активность,   репутацию   и   потенциально   злоумышленные   намерения   вебсайтов,   даже   если   они   никогда   раньше   не   были  связаны  с  malware.  В  дополнение,  фильтры  Web  репутации  получают   преимущество   от   данных,   которые   просматриваются   сервисами   безопасности   глобальной   сети   Cisco   и   непревзойденной   возможность   просмотра  интернет-­‐трафика  и  тенденций   Как  часть  многоуровневого,  всеобъемлющего  подхода  к  веб-­‐угрозам,   Cisco   SIO   также   мониторит   веб   на   предмет   ново   созданных   или  
модифицированных  URL,  получает  URL  потоки  от  тщательно  проверенных   источников,  которые  идентифицируют  URL,  связанные  с  malware,  spyware,   фармингом,   фишингом   и   спамом.   На   запрашивающей   стороне   репутационные   фильтры   Cisco   IronPort   включают   Cisco   IronPort   Outbreak   фильтрацию   и   фильтрацию   эксплоитов,   которые   поддерживаются   SensorBase,   На   отвечающей   стороне   решения   Cisco   IronPort   используют   мультивендорное,  сигнатурное  сканирование    анти-­‐malware     Рис.    3.    Проактивная  защита.  Процесс  фильтрации  Cisco  IronPort  Web  репутации.   Всесторонний  подход   Использование   параметров   сетевого   уровня   для   определения   Web   репутации   Анализ   данных,   даже   элементов,   которые   наиболее   сложны   для   манипулирования,   может   много   что   рассказать   о   уровне   доверия   URL.   Анализ  данных  может  определить,  как  давно  был  зарегистрирован  домен,   был   ли   он   зарегистрирован   автоматически   или   вручную,   кто   его   владелец,   был   ли   он   когда-­‐либо   ассоциирован   с   IP   адресом,   связанным   с   веб-­‐угрозой,   является   ли   адрес   статическим   или   же   динамическим,   в   какой   стране   хостится  вебсайт  и  многое  другое.     Web   репутационные   фильтры   Cisco   IronPort   получают   данные   из   сети   Cisco   SensorBase.   SensorBase   отслеживает   более   200   разных   параметров,   которые   являются   прекрасными   индикаторами   репутации   URL,   IP     адреса   или   веб-­‐объекта.   Использование   сложное   моделирование   безопасности   и   агенты,   обнаруживающие   malware,   технология   Cisco   IronPort   оценивает   элементы   страницы   и   создает   точную   картину   ее   уровня  доверия.  Некоторые  параметры  включают:   • Поведенческий  анализ  контента   • Наличие  загружаемого  кода   • Наличие   сложных,   скрытых   пользовательских   соглашений   (EULA)   • Общий  объем  трафика  и  история  его  изменения  
• Информация  о  собственнике  сети   • История      URL   • Возраст  URL   • Наличие  в  черных  списках    вирусов,    спама,  spyware,  фишинга,   фарминга   • Наличие  в  белых  списках    вирусов,    спама,  spyware,  фишинга,   фарминга   • URL,  которые  содержат  опечатки  имен  популярных  доменов   • Информация  о  регистраторе   • Информация  об  IP  адресе         Рис.     4.   Значение   Web   репутации.   Сложные   алгоритмы   анализируют   и   коррелируют   угрозы   с   помощью   более   200   параметров   для   того,   чтобы   точно   оценить   риск   malware   для   Web  объекта.  С  помощью  этих  данных  генерируется  динамическое  значение  от  -­‐10  до  +10   Технология   Cisco   IronPort   Web   репутации   использует   следующий   процесс  для  вычисления  репутации  URL   1. Через   глобальную   корреляцию.   Cisco   SIO   использует   технологии   моделирования   безопасности,   которые   связывают   атрибуты   вверху   для   определения,   с   какой   вероятностью   URL   и   веб-­‐объекты,   которые   связаны   с   определенными   атрибутами,   аффилированы   с   malware.   В   зависимости   от   этой   вероятности   соответствующий   весовой   коэффициент  помещается  к  каждому  из  этих  атрибутов.     2. Используя   более   чем   200   сетевых   атрибутов,   Cisco   SIO   оценивает   элементы   страницы   для   определения   общей   вероятности  того,  что  она  содержит  malware   3. Агрегированная   вероятность   того,   что   страница   содержит   malware  привязывается  к  значению  репутации  от  -­‐10  до  +10,   где   -­‐10   наиболее   вероятное   значение,   а   +10   наименее   вероятное.    
Оценка  множества  параметров  предлагает  глубокую  оценку   Большинство   приложений,   которые   определяют   malware   (включая   решения   по   URL   фильтрации)   зависят   от   ручной   оценки   и   определения   и   могут   предложить   только   двоичный   уровень   категоризации   «хороший/плохой».   Но,   поскольку   репутационные   фильтры   Cisco   IronPort   Web   анализируют   широкий   набор   данных,   они   выдают   намного   более   детальное  значение  от  -­‐10  до  +10   Это   дает   администраторам   намного   большую   гибкость,   что   позволяет   им   внедрить   разные   политики   безопасности   (расшифровка,   сканировать   дальше)   на   основе   значений   web-­‐репутации.   Вместо   того,   чтобы   пытаться   создать   политики   доступа   на   основе   ограниченного   двоичного   «хороший/плохой»   значения,   администраторы   могут   использовать   детальное   значение   репутации.   Это   позволяет   пользователям   сети   получить   доступ   к   нужному   веб-­‐контенту   без   ненужных  ограничений,  однако  с  полной  защитой  от  новых  угроз.     Сканирование   всех   объектов   на   странице   защищает   от   динамических   угроз   В   отличие   от   традиционных   решений   URL   безопасности,     Web   фильтры  безопасности  Cisco  IronPort    проверяют  каждый  запрос,  который   делается   браузером.   Вместо   того,   чтобы   просто   просматривать   первоначальный   HTML   запрос,   они   также   анализируют   все   последующие   запросы   данных,   рассматривая   каждый   элемент   на   странице   и   его   источники   –   включая   живые   данные   (JavaScript,   реклама,   виджеты),   которые   могут   получать   данные   из   разных   доменов.   Это   позволяет   фильтрам   Web   репутации   дать   пользователям   намного   более   точную   оценку   и   заблокировать   веб-­‐контент   на   более   детальном   уровне,   чем   это   можно  сделать  в  решениях  URL  фильтрации  и  черных  списках  IP     Рис.     5.   Web   репутационные   фильтры   Cisco   IronPort   обеспечивают   обзор   намного   дальше  первоначальной  угрозы.   Ведущие  технологии  безопасности  и  защиты   Web   репутационные   фильтры   Cisco   IronPort   блокируют   до   70   процентов   malware   на   уровне   соединения,   еще   до   сигнатурного   сканирования.   Использование   целостного,   многоуровневого   подхода   –   объединение   всесторонней   репутационной   оценки   с   глубоким   сканированием  позволяет  обеспечить  Cisco  уровень  обнаружения  malware   на  60%  больше,  чем  на  отдельных  сигнатурных  сканерах.     В   добавление,   система   Cisco   IronPort   Web   репутации   это   единственная  репутационная  система,  которая  включает  в  себя  защиту  от  
ботсайтов(botsite   defense),   обнаружение   URL   outbreak   (URL   outbreak   detection)  и  фильтрацию  эксплоитов  Web  2.0  (Web  2.0  exploit  filtering)    Защита   от   ботсайтов   использует   эвристические   и   поведенческие   алгоритмы   для   точной   идентификации   вебсайтов,   которые   хостятся   на   бот-­‐сетях.   Поскольку   большинство   новых   атак   malware   (например   –   поддельные   сканеры   spyware;   спам,   собирающий   номера   карт,   фишинговые   атаки)   управляются   и   направляются   ботнетами,   эта   выделенная  система  обнаружения,  которая  изолирует  ботсайты,  помогает   репутационным  фильтрам  Cisco  IronPort  защитить  пользователей  до  того,   как  произойдет  атака.  Как  только  мы  обнаруживаем  активный  код,  фильтр   использует   sandbox   эмуляцию   для   того,   чтобы   выполнить   код   в   безопасной   защищенной   среде   и   определения   malware,   если   оно   было   скрыто.     18   марта   2008   года   атака   iFrame   на   спортивный   сайт   MSNBC   показала   эффективность   системы   защиты   от   ботсайтов.   iFrame,   который   вел  на  злонамеренный  файл  JavaScript,  перенаправлял  на  IP  адрес,  который   принадлежал  к  web  серверу,  который  ранее  хостил  malware  из  Intercage  и   Russian   Business   Network.   С   помощью   botsite   defense,   репутационные   фильтры  Cisco  IronPort  заблокировали  ботсайт  за  пять  дней  перед  атакой.     Обнаружение   URL   outbreak.   Эта  система  использует  Cisco  IronPort   Outbreak   фильтры   для   идентификации   и   блокирования   malware,   распространяемого   через   URL,   у   которого   еще   нет   репутации   или   сигнатуры.   Это   malware   обычно   хостится   на   ботсайте   и   контролируется   ботнетом.      Линк   URL   outbreak   веден   прямо   к   злонамеренным   файлом.   Пользователь   никогда   не   направляется   на   вебсайт   –   вместо   этого,   только   один   клик,   при   котором   пользователь   думает,   что   он   посещает   сайт,   устанавливает  автоматически  malware  файл.  Cisco  Threat  Operations  Centers   мониторит   такие   ссылки   24х7х365   и   имеет   возможность   распространять   наборы  правил  за  13  часов  перед  появлением  сигнатур   Фильтрация   эксплоитов   Web   2.0   позволяет   защититься   от   последней   угрозы   –   доверенные   вебсайты,   которые   были   скомпрометированы   для   того,   чтобы   распространять   malware   или   фишинговые   атаки   с   помощью   технологий   cross-­‐site   scripting,   SQL   инъекции  или  невидимые  iFrame.  Использование  облачного  сканирования   в   режиме   реального   времени   с   помощью   Cisco   SensorBase,   фильтры   эксплоитов   проактивно   проверяют   контент   и   группируют   скомпрометированные   узлы   в   три   группы   –   опасный,   скомпрометированный  и  уязвимый.    
  Рис.     6.   С   фильтрацией   эксплоитов   Cisco   предлагает   защиту   от   одной   из   самых   опасных  невидимых  угроз  -­‐-­‐  атака  malware  с  легитимных  сайтов.   Опасный.   Эти   вебсайты   активно   обслуживают   malware   или   содержат   внедренные   злонамеренные   скрипты.   Они   немедленно   блокируются.     Скомпрометированный.   Эти   узлы   содержат   злонамеренный   скрипт,  но  он  не  был  активирован  бот-­‐сетью  или  же  командным  сервером,   который   ответственен   за   распространение   malware.   Эти   узлы   тоже   автоматически  блокируются.     Уязвимый.   Эти   популярные   веб-­‐узлы   с   высоким   трафиком   показывают   уязвимость   общеизвестным   эксплоитам   или   же   ранее   были   связаны   с   распространением   malware.   Они   помещаются   под   круглосуточный   мониторинг   для   того,   чтобы   гарантировать   постоянную   защиту  для  всех  пользователей  Cisco  IronPort  Web  Reputiation   Cisco   IronPort   Web   Security   Appliance   объединяет   традиционную   URL   фильтрацию   с   расширенной   Web   репутационной   фильтрацией   Cisco   IronPort   и   сканированием   malware   на   одной   аппаратной   платформе   для  
того,   чтобы   проактивно   бороться   с   динамическими   и   сложными     веб-­‐ угрозами.   После   веб-­‐фильтрации   Web   Security   Appliance   использует   расширенный   механизм   сканирования   –   Cisco   IronPort   Dynamic   Vectoring   and  Streaming  engine  и  несколько  сигнатурных  баз  в  качестве  второй  линии   обороны.   Вместе   с   эвристическим   сканированием,   которое   предлагается   McAfee,   Web   Security   Appliance   также   сканирует   трафик   с   помощью   сигнатурных   сканеров   Webroot,   Sophos   и   McAfee.   Сигнатурное   сканирование   обеспечивает   полную   проверку   контента   и   обнаруживает   и   блокирует  все  остальные  виды  malware.   Механизм   Cisco   IronPort   DVS   запускает   все   сигнатурные   сканеры   в   одновременную   параллельную   работу,   что   увеличивает   уровень   обнаружения  еще  на  35  процентов.  Предыдущие  технологии  сканирования   делали   мультивендорное   сканирование   практически   невозможным   из-­‐за   ограничений  в  производительности  и  задержке.  Cisco  IronPort  DVS  убирает   это  ограничение,  с  помощью  технологий  увеличения  производительности,   таких   как   потоковое   сканирование,   алгоритмы   раннего   выхода,   кеширование   репутационного   вердикта   и   быстрый   просмотр   и   сканирование   объекта.   Эта   стратегия   позволила   Cisco   предложить   один   Web   Security   Appliance,   который   интегрирует   несколько   сигнатурных   баз   данных,   которые   могут   использоваться   как   одновременно,   так   и   по   отдельности   для   того,   чтобы   обеспечить   высочайший   уровень   защиты   от   угроз.     Заключение   В   последнее   десятилетие   ландшафт   угроз   кардинально   изменился.   Писатели  malware  сейчас  атакуют  пользователей  с  намерением  получения   их  персональной  информации.  Такие  объекты,  как  номера  кредитных  карт,   пароли,   информация   о   банковских   счетах   используется   для   получения   финансовой  выгоды.     Когда-­‐то   источники   атак   были   в   какой-­‐то   мере   предсказуемы   и   менее   сложны   для   остановки.   Но   сегодняшние   угрозы   malware   часто   неизвестны.   Простой   клик   на   результат   поиска   или   просмотр   хорошо   известного   вебсайта   может   оказаться   достаточным   для   того,   чтобы   инфицировать  машину.     Malware   писатели   создают   все   более   и   более   хорошо   выглядящие   сайты.   Более   того,   они   все   чаще   распространяют   malware   через   скомпрометированные  легитимные  вебсайты.  Эти  сайты  доверенные,  или   же  они  раньше  не  были  известны  как  нарушители,  традиционные  системы   URL   фильтрации   не   могут   справится   с   защитой   пользователей.   Сами   по   себе   сканеры   malware   тоже   не   могут   предложить   адекватную   защиту,   если   новое     malware   еще   не   было   идентифицировано   сигнатурой   от   вендоров   безопасности   Обеспечение   доступа   пользователей   к   ценным   веб-­‐ресурсам,   в   то   время   как   защита   их   от   постоянно   эволюционирующих   веб-­‐угроз   требует   всестороннего,   интегрированного   подхода.   Решение,   которое   смотрит   на   больше,  чем  традиционные  URL  черные  и  белые  списки,  проверяет  каждый   элемент  страницы  (а  не  только  первоначальный  URL)  из  первоначального   запроса,   рассматривает   индивидуально   каждый   элемент   страницы   и   его  
источники   индивидуально,   включая   живые   данные   (JavaScript,   реклама,   виджеты),  которые  могут  получать  данные  из  разных  доменов.   Cisco  IronPort  предлагает  расширенные  технологии  оценки  трафика   и   детальные   возможности   сканирование   объектов   для   того,   чтобы   дать   пользователям   своевременные   и   точные   предупреждения   об   угрозах.   Фильтры   Web   репутации   Cisco   IronPort   используют   инфраструктуру   Cisco   SIO,   облачный   сервис   безопасности,   который   поддерживается   Cisco   Threat   Operations   Center.   Cisco   SIO   коррелирует   данные,   которые   он   получает   из   Cisco  SensorBase  –  самой  большой  в  мире  сети  мониторинга  угроз.     Используя   эту   глубокую,   широкую   коллекцию   данных   об   угрозах   трафика   web,   email,   firewall,   IPS,   технология   Web   репутации   Cisco   IronPort   может   быстро   обнаружить   вредоносные   экземпляры   кода   и   атаки.   Этот   целостный,   интегрированный,   многоуровневый   подход   защищает   заказчиков  от  веб-­‐угроз  сегодня  и  завтра.          

Recomendados

Compute continuum.
Compute continuum.Compute continuum.
Compute continuum.Cisco Russia
 
Архитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасностиАрхитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасностиCisco Russia
 
Проверка прав доступа к сервисным услугам
Проверка прав доступа к сервисным услугамПроверка прав доступа к сервисным услугам
Проверка прав доступа к сервисным услугамCisco Russia
 
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Cisco Russia
 
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитовВиртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитовCisco Russia
 
Руководство по началу самостоятельной работы с CSPC
Руководство по началу самостоятельной работы с CSPCРуководство по началу самостоятельной работы с CSPC
Руководство по началу самостоятельной работы с CSPCCisco Russia
 
Виртуализация сети в Поволжском банке Сбербанка России
Виртуализация сети в Поволжском банке Сбербанка РоссииВиртуализация сети в Поволжском банке Сбербанка России
Виртуализация сети в Поволжском банке Сбербанка РоссииCisco Russia
 
Обзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресовОбзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресовCisco Russia
 

Recomendados

Compute continuum.
Compute continuum.Compute continuum.
Compute continuum.Cisco Russia
 
Архитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасностиАрхитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасностиCisco Russia
 
Проверка прав доступа к сервисным услугам
Проверка прав доступа к сервисным услугамПроверка прав доступа к сервисным услугам
Проверка прав доступа к сервисным услугамCisco Russia
 
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Cisco Russia
 
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитовВиртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитовCisco Russia
 
Руководство по началу самостоятельной работы с CSPC
Руководство по началу самостоятельной работы с CSPCРуководство по началу самостоятельной работы с CSPC
Руководство по началу самостоятельной работы с CSPCCisco Russia
 
Виртуализация сети в Поволжском банке Сбербанка России
Виртуализация сети в Поволжском банке Сбербанка РоссииВиртуализация сети в Поволжском банке Сбербанка России
Виртуализация сети в Поволжском банке Сбербанка РоссииCisco Russia
 
Обзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресовОбзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресовCisco Russia
 
Системы Cisco HyperFlex. Краткий обзор
Системы Cisco HyperFlex. Краткий обзорСистемы Cisco HyperFlex. Краткий обзор
Системы Cisco HyperFlex. Краткий обзорCisco Russia
 
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПРешения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПCisco Russia
 
Mi secondlife(arix pastran)
Mi secondlife(arix pastran)Mi secondlife(arix pastran)
Mi secondlife(arix pastran)Arix Charlott Pastran
 
Cisco vMS: Оркестрация и архитектура NFV для управляемых услуг
Cisco vMS: Оркестрация и архитектура NFV для управляемых услугCisco vMS: Оркестрация и архитектура NFV для управляемых услуг
Cisco vMS: Оркестрация и архитектура NFV для управляемых услугCisco Russia
 
Голосовые решения Plantronics для Cisco UC
Голосовые решения Plantronics для Cisco UCГолосовые решения Plantronics для Cisco UC
Голосовые решения Plantronics для Cisco UCCisco Russia
 
Cлужба Технической поддержки Cisco и Авансовая замена - часто задаваемые вопросы
Cлужба Технической поддержки Cisco и Авансовая замена - часто задаваемые вопросыCлужба Технической поддержки Cisco и Авансовая замена - часто задаваемые вопросы
Cлужба Технической поддержки Cisco и Авансовая замена - часто задаваемые вопросыCisco Russia
 
Коммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной средыКоммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной средыCisco Russia
 
CUBE(SP) - функциональность пограничного контроллера сеансов связи на ASR 1000.
CUBE(SP) - функциональность пограничного контроллера сеансов связи на ASR 1000. CUBE(SP) - функциональность пограничного контроллера сеансов связи на ASR 1000.
CUBE(SP) - функциональность пограничного контроллера сеансов связи на ASR 1000. Cisco Russia
 
Критерии гиперконвергенции нового поколения
Критерии гиперконвергенции нового поколенияКритерии гиперконвергенции нового поколения
Критерии гиперконвергенции нового поколенияCisco Russia
 
Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco. Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco. Cisco Russia
 
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетяхРазвитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетяхCisco Russia
 
Приветственное слово Золотого спонсора (CTI)
Приветственное слово Золотого спонсора (CTI) Приветственное слово Золотого спонсора (CTI)
Приветственное слово Золотого спонсора (CTI)Cisco Russia
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations updateCisco Russia
 
Время Больших Данных.
Время Больших Данных. Время Больших Данных.
Время Больших Данных. Cisco Russia
 
Цифровое производственное предприятие в Европе
Цифровое производственное предприятие в ЕвропеЦифровое производственное предприятие в Европе
Цифровое производственное предприятие в ЕвропеCisco Russia
 
Технология Cisco nLight для построения транспортных инфраструктур нового поко...
Технология Cisco nLight для построения транспортных инфраструктур нового поко...Технология Cisco nLight для построения транспортных инфраструктур нового поко...
Технология Cisco nLight для построения транспортных инфраструктур нового поко...Cisco Russia
 
Охват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеОхват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеCisco Russia
 
Конвергентный проводной и беспроводной доступ
Конвергентный проводной и беспроводной доступКонвергентный проводной и беспроводной доступ
Конвергентный проводной и беспроводной доступCisco Russia
 
Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 

Más contenido relacionado

Destacado

Системы Cisco HyperFlex. Краткий обзор
Системы Cisco HyperFlex. Краткий обзорСистемы Cisco HyperFlex. Краткий обзор
Системы Cisco HyperFlex. Краткий обзорCisco Russia
 
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПРешения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПCisco Russia
 
Cisco vMS: Оркестрация и архитектура NFV для управляемых услуг
Cisco vMS: Оркестрация и архитектура NFV для управляемых услугCisco vMS: Оркестрация и архитектура NFV для управляемых услуг
Cisco vMS: Оркестрация и архитектура NFV для управляемых услугCisco Russia
 
Голосовые решения Plantronics для Cisco UC
Голосовые решения Plantronics для Cisco UCГолосовые решения Plantronics для Cisco UC
Голосовые решения Plantronics для Cisco UCCisco Russia
 
Cлужба Технической поддержки Cisco и Авансовая замена - часто задаваемые вопросы
Cлужба Технической поддержки Cisco и Авансовая замена - часто задаваемые вопросыCлужба Технической поддержки Cisco и Авансовая замена - часто задаваемые вопросы
Cлужба Технической поддержки Cisco и Авансовая замена - часто задаваемые вопросыCisco Russia
 
Коммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной средыКоммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной средыCisco Russia
 
CUBE(SP) - функциональность пограничного контроллера сеансов связи на ASR 1000.
CUBE(SP) - функциональность пограничного контроллера сеансов связи на ASR 1000. CUBE(SP) - функциональность пограничного контроллера сеансов связи на ASR 1000.
CUBE(SP) - функциональность пограничного контроллера сеансов связи на ASR 1000. Cisco Russia
 
Критерии гиперконвергенции нового поколения
Критерии гиперконвергенции нового поколенияКритерии гиперконвергенции нового поколения
Критерии гиперконвергенции нового поколенияCisco Russia
 
Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco. Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco. Cisco Russia
 
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетяхРазвитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетяхCisco Russia
 
Приветственное слово Золотого спонсора (CTI)
Приветственное слово Золотого спонсора (CTI) Приветственное слово Золотого спонсора (CTI)
Приветственное слово Золотого спонсора (CTI)Cisco Russia
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations updateCisco Russia
 
Время Больших Данных.
Время Больших Данных. Время Больших Данных.
Время Больших Данных. Cisco Russia
 
Цифровое производственное предприятие в Европе
Цифровое производственное предприятие в ЕвропеЦифровое производственное предприятие в Европе
Цифровое производственное предприятие в ЕвропеCisco Russia
 
Технология Cisco nLight для построения транспортных инфраструктур нового поко...
Технология Cisco nLight для построения транспортных инфраструктур нового поко...Технология Cisco nLight для построения транспортных инфраструктур нового поко...
Технология Cisco nLight для построения транспортных инфраструктур нового поко...Cisco Russia
 
Охват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеОхват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеCisco Russia
 
Конвергентный проводной и беспроводной доступ
Конвергентный проводной и беспроводной доступКонвергентный проводной и беспроводной доступ
Конвергентный проводной и беспроводной доступCisco Russia
 

Destacado (18)

Системы Cisco HyperFlex. Краткий обзор
Системы Cisco HyperFlex. Краткий обзорСистемы Cisco HyperFlex. Краткий обзор
Системы Cisco HyperFlex. Краткий обзор
 
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПРешения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
 
Mi secondlife(arix pastran)
Mi secondlife(arix pastran)Mi secondlife(arix pastran)
Mi secondlife(arix pastran)
 
Cisco vMS: Оркестрация и архитектура NFV для управляемых услуг
Cisco vMS: Оркестрация и архитектура NFV для управляемых услугCisco vMS: Оркестрация и архитектура NFV для управляемых услуг
Cisco vMS: Оркестрация и архитектура NFV для управляемых услуг
 
Голосовые решения Plantronics для Cisco UC
Голосовые решения Plantronics для Cisco UCГолосовые решения Plantronics для Cisco UC
Голосовые решения Plantronics для Cisco UC
 
Cлужба Технической поддержки Cisco и Авансовая замена - часто задаваемые вопросы
Cлужба Технической поддержки Cisco и Авансовая замена - часто задаваемые вопросыCлужба Технической поддержки Cisco и Авансовая замена - часто задаваемые вопросы
Cлужба Технической поддержки Cisco и Авансовая замена - часто задаваемые вопросы
 
Коммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной средыКоммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной среды
 
CUBE(SP) - функциональность пограничного контроллера сеансов связи на ASR 1000.
CUBE(SP) - функциональность пограничного контроллера сеансов связи на ASR 1000. CUBE(SP) - функциональность пограничного контроллера сеансов связи на ASR 1000.
CUBE(SP) - функциональность пограничного контроллера сеансов связи на ASR 1000.
 
Критерии гиперконвергенции нового поколения
Критерии гиперконвергенции нового поколенияКритерии гиперконвергенции нового поколения
Критерии гиперконвергенции нового поколения
 
Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco. Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco.
 
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетяхРазвитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
 
Приветственное слово Золотого спонсора (CTI)
Приветственное слово Золотого спонсора (CTI) Приветственное слово Золотого спонсора (CTI)
Приветственное слово Золотого спонсора (CTI)
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
 
Время Больших Данных.
Время Больших Данных. Время Больших Данных.
Время Больших Данных.
 
Цифровое производственное предприятие в Европе
Цифровое производственное предприятие в ЕвропеЦифровое производственное предприятие в Европе
Цифровое производственное предприятие в Европе
 
Технология Cisco nLight для построения транспортных инфраструктур нового поко...
Технология Cisco nLight для построения транспортных инфраструктур нового поко...Технология Cisco nLight для построения транспортных инфраструктур нового поко...
Технология Cisco nLight для построения транспортных инфраструктур нового поко...
 
Охват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеОхват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и после
 
Конвергентный проводной и беспроводной доступ
Конвергентный проводной и беспроводной доступКонвергентный проводной и беспроводной доступ
Конвергентный проводной и беспроводной доступ
 

Más de Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Cisco Russia
 

Más de Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Как работает механизм Web-репутации с Cisco IronPort?

  • 1. Web  репутация  Cisco  IronPort     Всесторонний,  проактивный  подход  к  Web  угрозам   Основные  положения   Сложная   и   динамическая   экономика   malware   угрожает   пользователям  и  бизнесу  финансовыми  потерями  и  снижением  репутации   бренда.   Технология   Web   репутации   Cisco   IronPort     обеспечивает   расширенную   защиту   от   этих   новых   рисков,   используя   не   имеющую   равных   видимость   угроз   и   реакцию   в   реальном   времени   для   отклонения   атак,  которые  обходят  традиционные  механизмы  защиты.   Организованные   преступники   методически   и   незаметно   эксплуатируют   уязвимости   в   вебсайтах   и   браузерах   для   того,   чтобы   инфицировать   компьютеры,   украсть   ценную   информацию   (параметры   учетных   записей,   номера   кредитных   карт   и   интеллектуальную   собственность)   и   превратить   корпоративные   и   персональные   сети   в   невольных  сообщников  в  распространении  спама  и  malware.  Все  больше  и   больше   распространители   malware   используют   легитимные   веб-­‐узлы   как   стартовую   точку   для   распространения   вредоносного   кода   –   В   businessweek.com   и   MSNBCsports.com   были   части   вебсайтов,   использующихся   для   распространения   malware.   Хотя   в   настоящее   время   угроза   с   этих   узлов   отсутствует,   пользователи   могли   инфицироваться   просто   посетив   доверенные   узлы.   Знание   сайтов,   которым   доверяют   миллионы   пользователей   делает   их   легкой   мишенью   для   писателей   malware   Усложнение,   инновации   и   динамическая   природа   таких   атак   часто   делает   традиционную   защиту   бесполезной.   URL   фильтрация   и   черные   списки   IP   реактивные   и   не   могут   адекватно   оценить   новые   или   ранее   нескомпрометированные   сайты   своевременно,   а   сигнатурные   анализаторы   часто   не   успевают   своевременно   обновлять   базы   из-­‐за   постоянных  мутаций  malware.   Нужен   новый   подход.   Защита   пользователей   от   сегодняшних   web-­‐ угроз   требует   многоуровневого,   целостного   и   интегрированного   подхода,   который   использует   несколько   продвинутых   методологий   для   оценки   каждой   угрозы   и   типов   сетевого   трафика.   Наша   лучшая   защита   как   сообщества   пользователей   -­‐-­‐   это   обмен   информацией   об   угрозах   в   реальном   времени,   автоматизированный   так,   чтобы   мы   могли   быстро   заблокировать   новые   угрозы   и   закрыть   окно   возможностей   для   преступников.  Технология  Web  репутации  Cisco  IronPort,  которая  встроена   в   Cisco   IronPort   Web   Security   Appliances   (WSA),   обнаруживает   и   оценивает   как   подозрительные   структуры   и   вебсайты,   так   и   скомпрометированные   элементы  на  индивидуальных  страницах.   Технология   Web   репутации   Cisco   IronPort     основывается   на   всесторонней   информации,   которая   обеспечивается   инфраструктурой   Cisco   Security   Intelligence   Operations.   Cisco   SIO   –   это   облачный   сервис  
  • 2. безопасности,   который   коррелирует   данные,   полученные   из   сети   Cisco   SensorBase   –   самом   большом   в   мире   сервисе   мониторинга   почтового   и   web   трафика,   и   продвинутых   технологий,   таких   как   быстрое,   детальное   сканирование   каждого   объекта   на   запрошенной   веб-­‐странице,   вместо   сканирования   только   URL-­‐ей   и   первоначальных   HTML   запросов.   Это   помогает   сетям   существенно   уменьшить   уязвимости,   не   только   для   известных   угроз,   но   также   и   для   угроз   нулевого   дня   и   неизвестных   угроз   из  новых  вебсайтов  или  из  легитимных,  но  скомпрометированных  сайтов.   Введение   Для   писателей   malware   известность   больше   не   является   наградой.   При   существовании   зрелой,   цветущей   malware   экономики,   гораздо   более   ценно   создавать   вредоносный   код,   который   генерирует   прибыль   для   преступных   сетей   –   массовые   спам   кампании,   хищение   данных,   накрутки   кликов  и  много  другое.   Для   того,   чтобы   быть   успешным,   malware   должно   быть   как   легко   распространяемым  на  как  можно  большее  количество  жертв,  так  и  трудно   обнаруживаемым.   Первоначально   malware   распространялось   через   электронную   почту,   но   возможность   просматривать   большие   присоединенные   файлы,     а   также   как   буферизация,   как   встроенная   особенность  передачи  электронной    почты  позволили  сравнительно  легко   останавливать  malware.  И  наоборот,  Web  по  своей  природе  интерактивен,   трафик   передается   в   режиме   реального   времени,   и   угрозы,   скрытые   прямо   в  контенте  сделали  задачу  остановки  malware  гораздо  более  сложной.     Растущая   значимость   веб,   как   механизма   доставки   угроз   подтверждается   тем   фактом,   что   сейчас   более   80%     спам   сообщений   включают   URL,   которые   могут   перенаправить   пользователей   на   веб-­‐ сервер,   где   располагается   malware.   Это   соотношение   даже   выше   для   фишинговых  рассылок.  URL-­‐и  предназначены  для  привлечения  читателей   на  вебсайты  и  вовлечения  их  в  спорные  операции  или  загрузки  malware  на   их   компьютеры.   Обычно   и   спам   сообщения,   и   вредоносные   вебсайты   используют   комбинацию   методик   социальной   инженерии   и   уязвимостей   в   ПО  для  компрометации  пользователей.   Вредоносные   сайты,   которые   специально   созданы   для   распространения  malware,  это  не  только  сайты,  которые  компрометируют   пользователей.   Хакеры   часто   распространяют   malware   через   легитимные   вебсайты,   которые   были   скомпрометированы,   используя   дыры   в   безопасности  веб-­‐приложений.     Легитимные  вебсайты,  невидимые  угрозы   Доверенные,   легитимные   вебсайты   являются   прекрасным   механизмом   распространения   malware.   В   отличие   от   ботсайтов,   которые   специально   созданы   для   распространения     malware,   легитимные   сайты   –   это  хорошо  известные  уважаемые  узлы,  которым  доверяют  пользователи.   Их   посещает   большое   количество   пользователей   и,   большую   часть   времени,  корпоративные  политики  разрешают  к  ним  доступ,  что  делает  их   основными   целями   для   онлайн-­‐преступников,   которые   ищут   способ   инфицировать  как  можно  больше  пользователей.    
  • 3.   Рис.     1.   Преступники   компрометируют   легитимные   сайты   для   того,   чтобы   инфицировать  ничего  не  подозревающих  пользователей   Аудитор   безопасности   White   Hat   Security   оценила,   что   более   79   процентов   вебсайтов   содержащих   вредоносный   код   являются   взломанными  легитимными  сайтами.  И  что  еще  хуже,    White  Hat  оценила,   что  девять  из  десяти  вебсайтов  могут  быть  уязвимы  для  атак,  из  которых   семь  из  десяти  уязвимы  для  атак  типа    Cross-­‐Site-­‐Scripting  (XSS),  а  один  из   пяти  уязвимы  к  SQL  эксплоитам.     Популярные  методы  атак  легитимных  сайтов  включают  в  себя:   • Cross-­‐Site   Scripting   (XSS).     В   этом   случая   уязвимость   в   веб-­‐ приложении   позволяет   хакерам,   уязвимым   сайтам   или   собственникам  вредоносных  сайтов  послать  вредоносный  код   на   браузеры   неподозревающих   пользователей.   Эти   атаки   часто   выполняются,   с   помощью   тегов   HTML   image   и   элементов   фреймов   (<img>,   <frame>,   <iframe>)   и   кода   JavaScript   • SQL   инъекции.   Эта   техника   использует   уязвимость   безопасности   на   уровне   базы   данных   широко   используемых   веб-­‐приложений  и  серверов.  Хакеры  используют  недоработку,   когда   данные,   передаваемых   в   полях   ввода,   не   проверяются   на   предмет   допустимости   входных   значений   (формы,   имена   пользователей  и  т.д.)  на  страницах,  которые  используют  язык   SQL.   Хакеры   получают   контроль   над   сайтом,   который   они   могут  превратить  в  центр  перенаправления  malware.   • Использование   iFrames.   Как   XSS,   так   и   SQL   инъекции   используют  гибкость  HTML  iFrame  для  того,  чтобы  доставить   malware   напрямую   пользователям.   iFrame,   или   же   тег   inline   Frame,   позволяет   встроить   один   HTML   документ   (часто   с   другого   сервера)   в   другой   HTML   документ   (например   –   включение   баннера   в   веб-­‐страницу).   iFrame   –   это   очень   популярный   инструмент   в   интернет,   но   он   также   может   использоваться   для   плохих   целей.   Хакеры   просто   внедряют   вредоносный  URL  в  iFrame,  а  CSS  и  JavaScript  используют  для   манипулирования   свойствами   iFrame   (изменение   размера   и   расположения).   Обычно   хакеры   устанавливали   атрибуты   размера   iFrame   в   ноль   или,   устанавливали   параметры   видимости   «скрытый»,   делая   iFrame   невидимым   для   посетителей  страницы.    
  • 4. Переполнение   буфера.   В   этой   уязвимости   приложению   посылается   больше   данных,   чем   оно   может   обработать,   что   может   привести   к   падению   приложения   и   к   открытию   различных  брешей  в  безопасности   • Сделки   по   одновременной   публикации   онлайн-­‐рекламы.   Традиционные   методы   защиты   часто   не   могут   идентифицировать   скомпрометированные   веб-­‐сайты,   что   оставляет   посетителей   незащищенными   перед   инфекцией.   Посетители  таких  узлов  обычно  не  могут  определить,  что  они   были   скомпрометированы   и   что   их   системы   загружают   malware.   При  событии,  которые  известны  под  названием    “drive-­‐by  download”,   загрузка   malware   происходит   в   фоне.   В   большинстве   случаев   уязвимости   браузера  разрешают  загрузку  даже  без  того,  чтобы  пользователь  кликнул   на   линк,   большинство   пользователей   могут   даже   не   узнать,   что   они   загрузили       malware.   Когда   система   полностью   обновлена   и   бреши   в   системе   безопасности   прикрыты,   эксплоит   может   более   явно   перенаправить   пользователя   на   сайт,   который   спросит   его   загрузить   обновление   для   какого-­‐либо   легитимного   музыкального   ПО,   или   даже   чего-­‐то,  что  выглядит  как  анти-­‐malware  программа.     Исследование   Google,   проведенное   в   2008   году,   посвященное   загрузкам   “drive-­‐by”   –   «Все   ваши   iFrame   ведут   к   нам»   показало,   что   в   исследованных   миллиардах   URL   более   чем   три   миллиона   были   инициированы   загрузками   drive-­‐by.   Дополнительно,   1.3   процента   входящих  поисковых  запросов  в  Google  в  поисковых  результатах  показали   как  минимум  один  вредоносных  URL.     Сегодня   загружаемое   malware   вызывает   очень   большое   количество   угроз.   Они   включают   в   себя   –   adware,   кейлоггеры,   участие   в   ботнетах,   хищение  данных  и  многое  другое.     Реактивная  фильтрация  не  может  вас  защитить   Традиционные   методы   защиты   обычно   недостаточно   быстрые,   точные   или   всесторонние   для   того,   чтобы   оценить   и   защитить   пользователей   от   новых,   динамических   веб-­‐угроз,   количество   которых   возрастает  рекордными  темпами.     Черные   списки   IP   и   решения   URL   фильтрации   обычно   закрывают   только   небольшой   процент   всех   URL   и   IP   адресов   –   и   только   известные!   Кроме   того,   они   предлагают   «двоичный»   вариант   реагирования   –   опции   «заблокировать/плохой»   или   «разрешить/хороший»   для   URL   или   же   IP   адресов,  которые  в  них  входят  вместо  того,  чтобы  предоставить  детальную   информацию   о   любых   подозрительных   URL,   IP   адресов   или   объектов   –   даже  тех,  которые  не  были  известны  до  сих  пор.     Даже   с   включенными   категориями   безопасности,   эти   решения   по   URL   фильтрации   не   могут   помочь   с   легитимными,   в   основном   доверенными   сайтами,   которые   превратились   в   хаб   по   распространению   malware.   URL-­‐и   этих   вебсайтов   доверенные   и   не   находятся   в   черных   списках.   Соответственно,   политики,   созданные   для   предотвращения   доступа   пользователей   к   определенным   узлам,   не   могут   предотвратить   пользователей  от  заражения  на  тех  узлах,  которые  разрешены.  Поскольку  
  • 5. многие  традиционные  технологии  URL  фильтрации  рассматривают  только   первоначальный   запрос   на   домен,   они   не   могут   проверить   дополнительные  объекты,  которые  требуются  для  того,  чтобы  правильно   загрузить   страницу,   или   их   источники   и,   таким   образом,   не   могут   препятствовать   вредоносному   перенаправлению.   Когда   на   странице   содержится   в   среднем   150   объектов,   традиционные   методы   URL   фильтрации  просто  не  «успевают»     Именно   это   произошло   в   13   сентября   2009   года   со   всеми   посетителями   NYTimes.com;   доверенный   источник,   который   категорируется  большинством  URL  списков  как  «новости».  Реклама,  очень   похожая   на   легитимную   (вставленная   через   простой   объект   на   сайте)   начала   показывать   всплывающее   окно,   предупреждающее   пользователей,   что   их   инфицировал   вирус.   Жертвы   потом   перенаправлялись   на   вредоносный   сайт,   который   предлагал   загрузить   антивирусную   программу,  похожую  на  настоящую,  которая  на  самом  деле  была  трояном.   Тем   временем,   системы   защиты   от   веб-­‐угроз,   которые   основываются   на   поведенческом   анализе   с   эвристикой   имеют   тенденцию   сильно   зависеть   от   опыта   администратора.   Множество   подозрительных   или  злонамеренных  действий,  которые  мониторятся  такими  решениями  –   модификация  настроек  регистра  или  доступ  к  системным  ресурсам  –  также   наблюдаются  и  при  работе  легитимных  программ.  В  том  случае  только  от   администратора  зависит,  действительно  ли  это  предупреждение  является   опасным.   Это   большая   нагрузка,   особенно   когда   некоторые   наблюдаемые   действия   являются   очень   техническими   или   же   представляют   из   себя   действия  легитимных  программ.  Решение,  что  разрешить,  а  что  запретить   в  основном  представляет  из  себя  игру-­‐угадайку,  что  приводит  к  большому   количеству  ложных  срабатываний.     Для   того,   чтобы   быть   полезными   в   сегодняшнем   мире   быстро   эволюционирующих,   динамических   веб-­‐угроз,   методы   сетевой   защиты   должны   быть   проактивными,   а   не   реактивными,   и   должны   предлагать   многоуровневый,   интегрированный   подход   к   безопасности.   Они   должны   использовать   несколько   значений   для   оценки   уровня   доверия   вебсайтов   и   содержимого   индивидуальных   веб-­‐страниц,   и   они   должны   эффективно   блокировать   вредоносный   контент   в   то   время,   как   разрешать   пользователям   получать   доступ   к   легитимному   контенту,   который   им   нужен.   Поиск   ограниченного   количества   типов   угроз   или   зависимость   от   исторической  информации  –  это  уже  недостаточно.     Проактивная  защита  с  Web  репутацией  Cisco  IronPort    Технология   Web   репутации   Cisco   IronPort   использует   технологии   системой   оценки   и   глубоко   детальные   возможности   сканирования   объектов   для   предоставления   пользователям   своевременных,   точных   предупреждений   об   угрозах.   Репутационные   Web   фильтры   также   используют   инфраструктуру   Cisco   Security   Intelligence   Operations   (SIO),   облачный   сервис   безопасности,   который   поддерживается   Cisco   Threat   Operations   Center.   Cisco   SIO   коррелирует   данные,   которые   он   получает   из   SensorBase,   самой   большой   в   мире   сети   мониторинга   угроз,   и   предоставляет  в  Cisco  TOC  более  500  Гбайт  данных  об  угрозах  ежедневно,  с  
  • 6. 30  млрд  индивидуальных  запросов  устройств,  которые  устройства  делают   прямо  в  SensorBase.       Рис.     2.   Cisco   Security   Intelligence   Operations   обеспечивает   высочайший   уровень   корреляции   угроз,   позволяя   пользователям   с   уверенностью   и   безопасностью   взаимодействовать  друг  с  другом   Для   измерения   уровня   доверия,   или   же   репутации   каждого   активного   веб-­‐сервера   в   интернет,   Cisco   SensorBase   отслеживает   более   200   различных   параметров,   которые   относятся   в   веб,   IPS,   firewall   и   трафику   email.     Интегрированные   возможности   по   мониторингу   разных   видов   трафика   позволяют   решениям   безопасности   Cisco   быстро   проанализировать   активность,   репутацию   и   потенциально   злоумышленные   намерения   вебсайтов,   даже   если   они   никогда   раньше   не   были  связаны  с  malware.  В  дополнение,  фильтры  Web  репутации  получают   преимущество   от   данных,   которые   просматриваются   сервисами   безопасности   глобальной   сети   Cisco   и   непревзойденной   возможность   просмотра  интернет-­‐трафика  и  тенденций   Как  часть  многоуровневого,  всеобъемлющего  подхода  к  веб-­‐угрозам,   Cisco   SIO   также   мониторит   веб   на   предмет   ново   созданных   или  
  • 7. модифицированных  URL,  получает  URL  потоки  от  тщательно  проверенных   источников,  которые  идентифицируют  URL,  связанные  с  malware,  spyware,   фармингом,   фишингом   и   спамом.   На   запрашивающей   стороне   репутационные   фильтры   Cisco   IronPort   включают   Cisco   IronPort   Outbreak   фильтрацию   и   фильтрацию   эксплоитов,   которые   поддерживаются   SensorBase,   На   отвечающей   стороне   решения   Cisco   IronPort   используют   мультивендорное,  сигнатурное  сканирование    анти-­‐malware     Рис.    3.    Проактивная  защита.  Процесс  фильтрации  Cisco  IronPort  Web  репутации.   Всесторонний  подход   Использование   параметров   сетевого   уровня   для   определения   Web   репутации   Анализ   данных,   даже   элементов,   которые   наиболее   сложны   для   манипулирования,   может   много   что   рассказать   о   уровне   доверия   URL.   Анализ  данных  может  определить,  как  давно  был  зарегистрирован  домен,   был   ли   он   зарегистрирован   автоматически   или   вручную,   кто   его   владелец,   был   ли   он   когда-­‐либо   ассоциирован   с   IP   адресом,   связанным   с   веб-­‐угрозой,   является   ли   адрес   статическим   или   же   динамическим,   в   какой   стране   хостится  вебсайт  и  многое  другое.     Web   репутационные   фильтры   Cisco   IronPort   получают   данные   из   сети   Cisco   SensorBase.   SensorBase   отслеживает   более   200   разных   параметров,   которые   являются   прекрасными   индикаторами   репутации   URL,   IP     адреса   или   веб-­‐объекта.   Использование   сложное   моделирование   безопасности   и   агенты,   обнаруживающие   malware,   технология   Cisco   IronPort   оценивает   элементы   страницы   и   создает   точную   картину   ее   уровня  доверия.  Некоторые  параметры  включают:   • Поведенческий  анализ  контента   • Наличие  загружаемого  кода   • Наличие   сложных,   скрытых   пользовательских   соглашений   (EULA)   • Общий  объем  трафика  и  история  его  изменения  
  • 8. Информация  о  собственнике  сети   • История      URL   • Возраст  URL   • Наличие  в  черных  списках    вирусов,    спама,  spyware,  фишинга,   фарминга   • Наличие  в  белых  списках    вирусов,    спама,  spyware,  фишинга,   фарминга   • URL,  которые  содержат  опечатки  имен  популярных  доменов   • Информация  о  регистраторе   • Информация  об  IP  адресе         Рис.     4.   Значение   Web   репутации.   Сложные   алгоритмы   анализируют   и   коррелируют   угрозы   с   помощью   более   200   параметров   для   того,   чтобы   точно   оценить   риск   malware   для   Web  объекта.  С  помощью  этих  данных  генерируется  динамическое  значение  от  -­‐10  до  +10   Технология   Cisco   IronPort   Web   репутации   использует   следующий   процесс  для  вычисления  репутации  URL   1. Через   глобальную   корреляцию.   Cisco   SIO   использует   технологии   моделирования   безопасности,   которые   связывают   атрибуты   вверху   для   определения,   с   какой   вероятностью   URL   и   веб-­‐объекты,   которые   связаны   с   определенными   атрибутами,   аффилированы   с   malware.   В   зависимости   от   этой   вероятности   соответствующий   весовой   коэффициент  помещается  к  каждому  из  этих  атрибутов.     2. Используя   более   чем   200   сетевых   атрибутов,   Cisco   SIO   оценивает   элементы   страницы   для   определения   общей   вероятности  того,  что  она  содержит  malware   3. Агрегированная   вероятность   того,   что   страница   содержит   malware  привязывается  к  значению  репутации  от  -­‐10  до  +10,   где   -­‐10   наиболее   вероятное   значение,   а   +10   наименее   вероятное.    
  • 9. Оценка  множества  параметров  предлагает  глубокую  оценку   Большинство   приложений,   которые   определяют   malware   (включая   решения   по   URL   фильтрации)   зависят   от   ручной   оценки   и   определения   и   могут   предложить   только   двоичный   уровень   категоризации   «хороший/плохой».   Но,   поскольку   репутационные   фильтры   Cisco   IronPort   Web   анализируют   широкий   набор   данных,   они   выдают   намного   более   детальное  значение  от  -­‐10  до  +10   Это   дает   администраторам   намного   большую   гибкость,   что   позволяет   им   внедрить   разные   политики   безопасности   (расшифровка,   сканировать   дальше)   на   основе   значений   web-­‐репутации.   Вместо   того,   чтобы   пытаться   создать   политики   доступа   на   основе   ограниченного   двоичного   «хороший/плохой»   значения,   администраторы   могут   использовать   детальное   значение   репутации.   Это   позволяет   пользователям   сети   получить   доступ   к   нужному   веб-­‐контенту   без   ненужных  ограничений,  однако  с  полной  защитой  от  новых  угроз.     Сканирование   всех   объектов   на   странице   защищает   от   динамических   угроз   В   отличие   от   традиционных   решений   URL   безопасности,     Web   фильтры  безопасности  Cisco  IronPort    проверяют  каждый  запрос,  который   делается   браузером.   Вместо   того,   чтобы   просто   просматривать   первоначальный   HTML   запрос,   они   также   анализируют   все   последующие   запросы   данных,   рассматривая   каждый   элемент   на   странице   и   его   источники   –   включая   живые   данные   (JavaScript,   реклама,   виджеты),   которые   могут   получать   данные   из   разных   доменов.   Это   позволяет   фильтрам   Web   репутации   дать   пользователям   намного   более   точную   оценку   и   заблокировать   веб-­‐контент   на   более   детальном   уровне,   чем   это   можно  сделать  в  решениях  URL  фильтрации  и  черных  списках  IP     Рис.     5.   Web   репутационные   фильтры   Cisco   IronPort   обеспечивают   обзор   намного   дальше  первоначальной  угрозы.   Ведущие  технологии  безопасности  и  защиты   Web   репутационные   фильтры   Cisco   IronPort   блокируют   до   70   процентов   malware   на   уровне   соединения,   еще   до   сигнатурного   сканирования.   Использование   целостного,   многоуровневого   подхода   –   объединение   всесторонней   репутационной   оценки   с   глубоким   сканированием  позволяет  обеспечить  Cisco  уровень  обнаружения  malware   на  60%  больше,  чем  на  отдельных  сигнатурных  сканерах.     В   добавление,   система   Cisco   IronPort   Web   репутации   это   единственная  репутационная  система,  которая  включает  в  себя  защиту  от  
  • 10. ботсайтов(botsite   defense),   обнаружение   URL   outbreak   (URL   outbreak   detection)  и  фильтрацию  эксплоитов  Web  2.0  (Web  2.0  exploit  filtering)    Защита   от   ботсайтов   использует   эвристические   и   поведенческие   алгоритмы   для   точной   идентификации   вебсайтов,   которые   хостятся   на   бот-­‐сетях.   Поскольку   большинство   новых   атак   malware   (например   –   поддельные   сканеры   spyware;   спам,   собирающий   номера   карт,   фишинговые   атаки)   управляются   и   направляются   ботнетами,   эта   выделенная  система  обнаружения,  которая  изолирует  ботсайты,  помогает   репутационным  фильтрам  Cisco  IronPort  защитить  пользователей  до  того,   как  произойдет  атака.  Как  только  мы  обнаруживаем  активный  код,  фильтр   использует   sandbox   эмуляцию   для   того,   чтобы   выполнить   код   в   безопасной   защищенной   среде   и   определения   malware,   если   оно   было   скрыто.     18   марта   2008   года   атака   iFrame   на   спортивный   сайт   MSNBC   показала   эффективность   системы   защиты   от   ботсайтов.   iFrame,   который   вел  на  злонамеренный  файл  JavaScript,  перенаправлял  на  IP  адрес,  который   принадлежал  к  web  серверу,  который  ранее  хостил  malware  из  Intercage  и   Russian   Business   Network.   С   помощью   botsite   defense,   репутационные   фильтры  Cisco  IronPort  заблокировали  ботсайт  за  пять  дней  перед  атакой.     Обнаружение   URL   outbreak.   Эта  система  использует  Cisco  IronPort   Outbreak   фильтры   для   идентификации   и   блокирования   malware,   распространяемого   через   URL,   у   которого   еще   нет   репутации   или   сигнатуры.   Это   malware   обычно   хостится   на   ботсайте   и   контролируется   ботнетом.      Линк   URL   outbreak   веден   прямо   к   злонамеренным   файлом.   Пользователь   никогда   не   направляется   на   вебсайт   –   вместо   этого,   только   один   клик,   при   котором   пользователь   думает,   что   он   посещает   сайт,   устанавливает  автоматически  malware  файл.  Cisco  Threat  Operations  Centers   мониторит   такие   ссылки   24х7х365   и   имеет   возможность   распространять   наборы  правил  за  13  часов  перед  появлением  сигнатур   Фильтрация   эксплоитов   Web   2.0   позволяет   защититься   от   последней   угрозы   –   доверенные   вебсайты,   которые   были   скомпрометированы   для   того,   чтобы   распространять   malware   или   фишинговые   атаки   с   помощью   технологий   cross-­‐site   scripting,   SQL   инъекции  или  невидимые  iFrame.  Использование  облачного  сканирования   в   режиме   реального   времени   с   помощью   Cisco   SensorBase,   фильтры   эксплоитов   проактивно   проверяют   контент   и   группируют   скомпрометированные   узлы   в   три   группы   –   опасный,   скомпрометированный  и  уязвимый.    
  • 11.   Рис.     6.   С   фильтрацией   эксплоитов   Cisco   предлагает   защиту   от   одной   из   самых   опасных  невидимых  угроз  -­‐-­‐  атака  malware  с  легитимных  сайтов.   Опасный.   Эти   вебсайты   активно   обслуживают   malware   или   содержат   внедренные   злонамеренные   скрипты.   Они   немедленно   блокируются.     Скомпрометированный.   Эти   узлы   содержат   злонамеренный   скрипт,  но  он  не  был  активирован  бот-­‐сетью  или  же  командным  сервером,   который   ответственен   за   распространение   malware.   Эти   узлы   тоже   автоматически  блокируются.     Уязвимый.   Эти   популярные   веб-­‐узлы   с   высоким   трафиком   показывают   уязвимость   общеизвестным   эксплоитам   или   же   ранее   были   связаны   с   распространением   malware.   Они   помещаются   под   круглосуточный   мониторинг   для   того,   чтобы   гарантировать   постоянную   защиту  для  всех  пользователей  Cisco  IronPort  Web  Reputiation   Cisco   IronPort   Web   Security   Appliance   объединяет   традиционную   URL   фильтрацию   с   расширенной   Web   репутационной   фильтрацией   Cisco   IronPort   и   сканированием   malware   на   одной   аппаратной   платформе   для  
  • 12. того,   чтобы   проактивно   бороться   с   динамическими   и   сложными     веб-­‐ угрозами.   После   веб-­‐фильтрации   Web   Security   Appliance   использует   расширенный   механизм   сканирования   –   Cisco   IronPort   Dynamic   Vectoring   and  Streaming  engine  и  несколько  сигнатурных  баз  в  качестве  второй  линии   обороны.   Вместе   с   эвристическим   сканированием,   которое   предлагается   McAfee,   Web   Security   Appliance   также   сканирует   трафик   с   помощью   сигнатурных   сканеров   Webroot,   Sophos   и   McAfee.   Сигнатурное   сканирование   обеспечивает   полную   проверку   контента   и   обнаруживает   и   блокирует  все  остальные  виды  malware.   Механизм   Cisco   IronPort   DVS   запускает   все   сигнатурные   сканеры   в   одновременную   параллельную   работу,   что   увеличивает   уровень   обнаружения  еще  на  35  процентов.  Предыдущие  технологии  сканирования   делали   мультивендорное   сканирование   практически   невозможным   из-­‐за   ограничений  в  производительности  и  задержке.  Cisco  IronPort  DVS  убирает   это  ограничение,  с  помощью  технологий  увеличения  производительности,   таких   как   потоковое   сканирование,   алгоритмы   раннего   выхода,   кеширование   репутационного   вердикта   и   быстрый   просмотр   и   сканирование   объекта.   Эта   стратегия   позволила   Cisco   предложить   один   Web   Security   Appliance,   который   интегрирует   несколько   сигнатурных   баз   данных,   которые   могут   использоваться   как   одновременно,   так   и   по   отдельности   для   того,   чтобы   обеспечить   высочайший   уровень   защиты   от   угроз.     Заключение   В   последнее   десятилетие   ландшафт   угроз   кардинально   изменился.   Писатели  malware  сейчас  атакуют  пользователей  с  намерением  получения   их  персональной  информации.  Такие  объекты,  как  номера  кредитных  карт,   пароли,   информация   о   банковских   счетах   используется   для   получения   финансовой  выгоды.     Когда-­‐то   источники   атак   были   в   какой-­‐то   мере   предсказуемы   и   менее   сложны   для   остановки.   Но   сегодняшние   угрозы   malware   часто   неизвестны.   Простой   клик   на   результат   поиска   или   просмотр   хорошо   известного   вебсайта   может   оказаться   достаточным   для   того,   чтобы   инфицировать  машину.     Malware   писатели   создают   все   более   и   более   хорошо   выглядящие   сайты.   Более   того,   они   все   чаще   распространяют   malware   через   скомпрометированные  легитимные  вебсайты.  Эти  сайты  доверенные,  или   же  они  раньше  не  были  известны  как  нарушители,  традиционные  системы   URL   фильтрации   не   могут   справится   с   защитой   пользователей.   Сами   по   себе   сканеры   malware   тоже   не   могут   предложить   адекватную   защиту,   если   новое     malware   еще   не   было   идентифицировано   сигнатурой   от   вендоров   безопасности   Обеспечение   доступа   пользователей   к   ценным   веб-­‐ресурсам,   в   то   время   как   защита   их   от   постоянно   эволюционирующих   веб-­‐угроз   требует   всестороннего,   интегрированного   подхода.   Решение,   которое   смотрит   на   больше,  чем  традиционные  URL  черные  и  белые  списки,  проверяет  каждый   элемент  страницы  (а  не  только  первоначальный  URL)  из  первоначального   запроса,   рассматривает   индивидуально   каждый   элемент   страницы   и   его  
  • 13. источники   индивидуально,   включая   живые   данные   (JavaScript,   реклама,   виджеты),  которые  могут  получать  данные  из  разных  доменов.   Cisco  IronPort  предлагает  расширенные  технологии  оценки  трафика   и   детальные   возможности   сканирование   объектов   для   того,   чтобы   дать   пользователям   своевременные   и   точные   предупреждения   об   угрозах.   Фильтры   Web   репутации   Cisco   IronPort   используют   инфраструктуру   Cisco   SIO,   облачный   сервис   безопасности,   который   поддерживается   Cisco   Threat   Operations   Center.   Cisco   SIO   коррелирует   данные,   которые   он   получает   из   Cisco  SensorBase  –  самой  большой  в  мире  сети  мониторинга  угроз.     Используя   эту   глубокую,   широкую   коллекцию   данных   об   угрозах   трафика   web,   email,   firewall,   IPS,   технология   Web   репутации   Cisco   IronPort   может   быстро   обнаружить   вредоносные   экземпляры   кода   и   атаки.   Этот   целостный,   интегрированный,   многоуровневый   подход   защищает   заказчиков  от  веб-­‐угроз  сегодня  и  завтра.