Технология Exploit Filtering от компании IronPort закрывает важную брешь в сфере Web-безопасности
🕛 30.09.2008, 23:24
Расширенные возможности репутационной фильтрации позволяют быстрее и точнее обнаруживать зараженные Web-сайты, находящиеся под контролем хакеров, чем традиционные методы фильтрации адресов URL Ведущий поставщик решений для защиты компаний от спама, вирусов и шпионских программ - недавно вошедшая в состав Cisco компания IronPort Systems Inc. модернизировала свои устройства Web-безопасности, добавив к ним функцию Exploit Filtering. С помощью технологии Web-репутации IronPort эта функция надежно защищает пользователей от шпионских программ, доставляемых через зараженные сайты, даже если эти сайты не распознаются как таковые традиционными средствами фильтрации адресов URL и сканирования сигнатур. Exploit Filtering работает на устройствах Web-безопасности семейства IronPort S-SeriesTM. В марте 2008 года IronPort анонсировала технологии URL Outbreak Detection и Botsite Defense, защищающие пользователей от шпионских программ, которые распространяются через сайты, контролируемые шпионскими сетями (так называемыми "ботнетами"). Exploit Filtering нацелен на решение еще одной острой проблемы - на защите от надежных и вроде бы проверенных сайтов, попавших под контроль хакеров и ставших распространителями вирусов-троянов и базой для фишинг-атак. Эти атаки проводятся с помощью методов кросс-скриптовой подмены*, переполнения буферов (путем передачи слишком больших объемов данных в системы хранения приложений, чтобы тем самым вызвать их ненормальное функционирование, позволяющее "пробивать" защиту), "инъекций SQL"** и незаметной переадресации iFrame, т.е. направления пользователей на зараженные сайты. По данным Центра анализа угроз IronPort (Threat Operations Center), который отслеживает и анализирует Web-трафик в реальном времени, сегодня через зараженные сайты распространяется более 87 процентов сетевых атак. Кроме того, все больше хакеров совершают попытки заражения хорошо известных сайтов, которым пользователи привыкли доверять. К примеру, в начале июля этого года сайт крупного японского поставщика видеоигр пал жертвой "инъекции SQL", в ходе которой он был заражен небольшим Java-скриптом. Этот скрипт сообщал пользователю, что его компьютер заражен шпионской программой, а затем направлял его на другой сайт, где пользователь якобы мог приобрести средство защиты. На самом же деле этот сайт был распространителем весьма вредного троянского вируса. Традиционные фильтры URL не могут эффективно бороться с этой угрозой, поскольку в их основе лежат ручные методы классификации. Зараженные сайты могут маскироваться и выдавать себя за торговые, финансовые, развлекательные или новостные системы. В основе же репутационной технологии IronPort лежит сканирование в реальном времен, позволяющее найти и блокировать доступ к зараженному сайту до того, как его вредоносная программа будет активирована. Системы фильтрации IronPort, основанные на оценке Web-репутации, - единственное решение в отрасли, оценивающее каждый запрос, сделанный браузером - от первого запроса HTML до всех последующих запросов на получение данных, которые могут поступать из различных доменов. Если наличие уязвимостей и заражений подтверждается, Web-сайту тут же присваивается один из трех уровней угрозы:
- Зараженный и активно распространяющий вредоносные программы. Сайты этой классификации заражены хакерами, на них активно работают скрипты, заражающие пользователей вредоносными программами. Доступ к таким сайтам немедленно блокируется.
- Зараженный. Сайты этой категории подверглись одной или нескольким атакам и заражены вредоносными скриптами, однако эти скрипты пока не активированы управляющими серверами. Доступ к таким сайтам также немедленно блокируется по умолчанию.
- Уязвимый для заражения. Эти популярные сайты с большим объемом пользовательского трафика являются объектом особого внимания и активно отслеживаются Центром анализа угроз IronPort, если в них обнаружены уязвимости или если ранее они уже подвергались заражениям и становились распространителями вредоносных программ. На первом уровне антихакерской обороны система Web-фильтрации IronPort Web-reputation ежедневно анализирует более 5 млрд Web-транзакций и блокирует до 70 процентов попыток распространения вредоносных программ на уровне соединений, до сканирования сигнатур. Глобальное сканирование трафика и адресов URL позволяет системе IronPort работать с самым высоким в отрасли показателем распознавания вредоносных программ (на 60 процентов выше, чем у традиционных сканеров, работающих с известными сигнатурами). "Добавление технологии Exploit Filtering обеспечивает бескомпромиссную защиту от одной из наиболее коварных сетевых угроз в виде распространения вредоносных программ через популярные Web-сайты известных компаний, - говорит Том Джиллис (Tom Gillis), вице-президент по маркетингу IronPort Systems. - Автоматическая фильтрация зараженных сайтов резко выделяет нашу компанию из конкурентной среды на рынке устройств Web-безопасности. Наш новаторский подход к фильтрации гарантирует заказчикам, что они не подвергнутся неожиданной атаке, работая с известными сайтами, которым они доверяют и которые сегодня часто становятся источниками троянских вирусов и фишинг-атак". Технология Exploit Filtering работает на устройствах IronPort S-Series - самых быстродействующих в отрасли устройствах для Web-безопасности. Эти устройства представляют собой высокопроизводительную платформу безопасности с эксклюзивной технологией IronPort для оценки Web-репутации и технологией сканирования Dynamic Vectoring and StreamingTM (DVS), которая повышает скорость распознавания (по сигнатурам) и блокировки шпионских и других вредоносных программ.
Доступность и цены Функция Exploit Filtering доступна всем пользователям фильтров IronPort Web Reputation FiltersTM. Более подробная информация - на странице http://www.ironport.com/products/web_security_appliances.html.
_
* Использование брешей в защите web-приложений для передачи вредоносных кодов на браузеры ни о чем не подозревающих пользователей
** Использование уязвимостей на уровне баз данных