Web  репутация  Cisco  IronPort    

Всесторонний,  проактивный  подход  к  Web  угрозам  

Основные  положения  Сложная   и   динамическая   экономика   malware   угрожает  

пользователям  и  бизнесу  финансовыми  потерями  и  снижением  репутации  бренда.   Технология   Web   репутации   Cisco   IronPort     обеспечивает  расширенную   защиту   от   этих   новых   рисков,   используя   не   имеющую  равных   видимость   угроз  и   реакцию  в   реальном   времени  для   отклонения  атак,  которые  обходят  традиционные  механизмы  защиты.  

Организованные   преступники   методически   и   незаметно  эксплуатируют   уязвимости   в   вебсайтах   и   браузерах   для   того,   чтобы  инфицировать   компьютеры,   украсть   ценную   информацию   (параметры  учетных   записей,   номера   кредитных   карт   и   интеллектуальную  собственность)   и   превратить   корпоративные   и   персональные   сети   в  невольных  сообщников  в  распространении  спама  и  malware.  Все  больше  и  больше  распространители  malware  используют  легитимные  веб-­‐узлы  как  стартовую   точку   для   распространения   вредоносного   кода   –   В  businessweek.com   и   MSNBCsports.com   были   части   вебсайтов,  использующихся   для   распространения   malware.   Хотя   в   настоящее   время  угроза   с   этих   узлов   отсутствует,   пользователи   могли   инфицироваться  просто   посетив   доверенные   узлы.   Знание   сайтов,   которым   доверяют  миллионы   пользователей   делает   их   легкой   мишенью   для   писателей  malware  

Усложнение,   инновации   и   динамическая   природа   таких   атак   часто  делает   традиционную   защиту   бесполезной.   URL   фильтрация   и   черные  списки   IP   реактивные   и   не   могут   адекватно   оценить   новые   или   ранее  нескомпрометированные   сайты   своевременно,   а   сигнатурные  анализаторы   часто   не   успевают   своевременно   обновлять   базы   из-­‐за  постоянных  мутаций  malware.  

Нужен   новый   подход.   Защита   пользователей   от   сегодняшних  web-­‐угроз  требует  многоуровневого,  целостного  и  интегрированного  подхода,  который   использует   несколько   продвинутых   методологий   для   оценки  каждой   угрозы   и   типов   сетевого   трафика.   Наша   лучшая   защита   как  сообщества   пользователей   -­‐-­‐   это   обмен   информацией   об   угрозах   в  реальном   времени,   автоматизированный   так,   чтобы   мы   могли   быстро  заблокировать   новые   угрозы   и   закрыть   окно   возможностей   для  преступников.  Технология  Web  репутации  Cisco  IronPort,  которая  встроена  в  Cisco   IronPort  Web  Security  Appliances   (WSA),   обнаруживает  и  оценивает  как   подозрительные   структуры  и   вебсайты,   так   и   скомпрометированные  элементы  на  индивидуальных  страницах.  

Технология   Web   репутации   Cisco   IronPort     основывается   на  всесторонней   информации,   которая   обеспечивается   инфраструктурой  Cisco   Security   Intelligence   Operations.   Cisco   SIO   –   это   облачный   сервис  

безопасности,   который   коррелирует   данные,   полученные   из   сети   Cisco  SensorBase  –  самом  большом  в  мире  сервисе  мониторинга  почтового  и  web  трафика,   и   продвинутых   технологий,   таких   как   быстрое,   детальное  сканирование   каждого   объекта   на   запрошенной   веб-­‐странице,   вместо  сканирования   только   URL-­‐ей   и   первоначальных   HTML   запросов.   Это  помогает   сетям   существенно   уменьшить   уязвимости,   не   только   для  известных  угроз,  но  также  и  для  угроз  нулевого  дня  и  неизвестных  угроз  из  новых  вебсайтов  или  из  легитимных,  но  скомпрометированных  сайтов.  

Введение  Для   писателей  malware   известность   больше   не   является   наградой.  

При   существовании   зрелой,   цветущей  malware   экономики,   гораздо   более  ценно   создавать   вредоносный   код,   который   генерирует   прибыль   для  преступных   сетей   –  массовые   спам  кампании,   хищение  данных,   накрутки  кликов  и  много  другое.  

Для   того,   чтобы   быть   успешным,   malware   должно   быть   как   легко  распространяемым  на  как  можно  большее  количество  жертв,  так  и  трудно  обнаруживаемым.   Первоначально   malware   распространялось   через  электронную   почту,   но   возможность   просматривать   большие  присоединенные   файлы,     а   также   как   буферизация,   как   встроенная  особенность  передачи  электронной    почты  позволили  сравнительно  легко  останавливать  malware.  И  наоборот,  Web  по  своей  природе  интерактивен,  трафик  передается  в  режиме  реального  времени,  и  угрозы,  скрытые  прямо  в  контенте  сделали  задачу  остановки  malware  гораздо  более  сложной.    

Растущая   значимость   веб,   как   механизма   доставки   угроз  подтверждается   тем   фактом,   что   сейчас   более   80%     спам   сообщений  включают   URL,   которые   могут   перенаправить   пользователей   на   веб-­‐сервер,   где   располагается   malware.   Это   соотношение   даже   выше   для  фишинговых  рассылок.  URL-­‐и  предназначены  для  привлечения  читателей  на  вебсайты  и  вовлечения  их  в  спорные  операции  или  загрузки  malware  на  их   компьютеры.   Обычно   и   спам   сообщения,   и   вредоносные   вебсайты  используют  комбинацию  методик  социальной  инженерии  и  уязвимостей  в  ПО  для  компрометации  пользователей.  

Вредоносные   сайты,   которые   специально   созданы   для  распространения  malware,  это  не  только  сайты,  которые  компрометируют  пользователей.   Хакеры   часто   распространяют  malware   через   легитимные  вебсайты,   которые   были   скомпрометированы,   используя   дыры   в  безопасности  веб-­‐приложений.    

Легитимные  вебсайты,  невидимые  угрозы  Доверенные,   легитимные   вебсайты   являются   прекрасным  

механизмом   распространения   malware.   В   отличие   от   ботсайтов,   которые  специально   созданы  для   распространения    malware,   легитимные   сайты   –  это  хорошо  известные  уважаемые  узлы,  которым  доверяют  пользователи.  Их   посещает   большое   количество   пользователей   и,   большую   часть  времени,  корпоративные  политики  разрешают  к  ним  доступ,  что  делает  их  основными   целями   для   онлайн-­‐преступников,   которые   ищут   способ  инфицировать  как  можно  больше  пользователей.    

 Рис.     1.   Преступники   компрометируют   легитимные   сайты   для   того,   чтобы  

инфицировать  ничего  не  подозревающих  пользователей  

Аудитор   безопасности   White   Hat   Security   оценила,   что   более   79  процентов   вебсайтов   содержащих   вредоносный   код   являются  взломанными  легитимными  сайтами.  И  что  еще  хуже,    White  Hat  оценила,  что  девять  из  десяти  вебсайтов  могут  быть  уязвимы  для  атак,  из  которых  семь  из  десяти  уязвимы  для  атак  типа    Cross-­‐Site-­‐Scripting  (XSS),  а  один  из  пяти  уязвимы  к  SQL  эксплоитам.    

Популярные  методы  атак  легитимных  сайтов  включают  в  себя:  • Cross-­‐Site   Scripting   (XSS).     В   этом   случая   уязвимость   в   веб-­‐

приложении   позволяет   хакерам,   уязвимым   сайтам   или  собственникам  вредоносных  сайтов  послать  вредоносный  код  на   браузеры   неподозревающих   пользователей.   Эти   атаки  часто   выполняются,   с   помощью   тегов   HTML   image   и  элементов   фреймов   (<img>,   <frame>,   <iframe>)   и   кода  JavaScript  

• SQL   инъекции.   Эта   техника   использует   уязвимость  безопасности   на   уровне   базы   данных  широко   используемых  веб-­‐приложений  и  серверов.  Хакеры  используют  недоработку,  когда   данные,   передаваемых   в   полях   ввода,   не   проверяются  на   предмет   допустимости   входных   значений   (формы,   имена  пользователей  и  т.д.)  на  страницах,  которые  используют  язык  SQL.   Хакеры   получают   контроль   над   сайтом,   который   они  могут  превратить  в  центр  перенаправления  malware.  

• Использование   iFrames.   Как   XSS,   так   и   SQL   инъекции  используют  гибкость  HTML  iFrame  для  того,  чтобы  доставить  malware   напрямую   пользователям.   iFrame,   или   же   тег   inline  Frame,   позволяет   встроить   один   HTML   документ   (часто   с  другого   сервера)   в   другой   HTML   документ   (например   –  включение   баннера   в   веб-­‐страницу).   iFrame   –   это   очень  популярный   инструмент   в   интернет,   но   он   также   может  использоваться   для   плохих   целей.   Хакеры   просто   внедряют  вредоносный  URL  в   iFrame,  а  CSS  и  JavaScript  используют  для  манипулирования   свойствами   iFrame   (изменение   размера   и  расположения).   Обычно   хакеры   устанавливали   атрибуты  размера   iFrame   в   ноль   или,   устанавливали   параметры  видимости   «скрытый»,   делая   iFrame   невидимым   для  посетителей  страницы.    

• Переполнение   буфера.   В   этой   уязвимости   приложению  посылается   больше   данных,   чем   оно   может   обработать,   что  может   привести   к   падению   приложения   и   к   открытию  различных  брешей  в  безопасности  

• Сделки   по   одновременной   публикации   онлайн-­‐рекламы.  Традиционные   методы   защиты   часто   не   могут  идентифицировать   скомпрометированные   веб-­‐сайты,   что  оставляет   посетителей   незащищенными   перед   инфекцией.  Посетители  таких  узлов  обычно  не  могут  определить,  что  они  были   скомпрометированы   и   что   их   системы   загружают  malware.  

При  событии,  которые  известны  под  названием    “drive-­‐by  download”,  загрузка  malware   происходит   в  фоне.   В   большинстве   случаев   уязвимости  браузера  разрешают  загрузку  даже  без  того,  чтобы  пользователь  кликнул  на   линк,   большинство   пользователей   могут   даже   не   узнать,   что   они  загрузили       malware.   Когда   система   полностью   обновлена   и   бреши   в  системе   безопасности   прикрыты,   эксплоит   может   более   явно  перенаправить   пользователя   на   сайт,   который   спросит   его   загрузить  обновление   для   какого-­‐либо   легитимного   музыкального   ПО,   или   даже  чего-­‐то,  что  выглядит  как  анти-­‐malware  программа.    

Исследование   Google,   проведенное   в   2008   году,   посвященное  загрузкам   “drive-­‐by”   –   «Все   ваши   iFrame   ведут   к   нам»   показало,   что   в  исследованных   миллиардах   URL   более   чем   три   миллиона   были  инициированы   загрузками   drive-­‐by.   Дополнительно,   1.3   процента  входящих  поисковых  запросов  в  Google  в  поисковых  результатах  показали  как  минимум  один  вредоносных  URL.    

Сегодня  загружаемое  malware  вызывает  очень  большое  количество  угроз.   Они   включают   в   себя   –   adware,   кейлоггеры,   участие   в   ботнетах,  хищение  данных  и  многое  другое.    

Реактивная  фильтрация  не  может  вас  защитить  Традиционные   методы   защиты   обычно   недостаточно   быстрые,  

точные   или   всесторонние   для   того,   чтобы   оценить   и   защитить  пользователей   от   новых,   динамических   веб-­‐угроз,   количество   которых  возрастает  рекордными  темпами.    

Черные   списки   IP   и   решения   URL   фильтрации   обычно   закрывают  только   небольшой   процент   всех   URL   и   IP   адресов   –   и   только   известные!  Кроме   того,   они   предлагают   «двоичный»   вариант   реагирования   –   опции  «заблокировать/плохой»   или   «разрешить/хороший»   для   URL   или   же   IP  адресов,  которые  в  них  входят  вместо  того,  чтобы  предоставить  детальную  информацию   о   любых   подозрительных   URL,   IP   адресов   или   объектов   –  даже  тех,  которые  не  были  известны  до  сих  пор.    

Даже   с   включенными   категориями   безопасности,   эти   решения   по  URL   фильтрации   не   могут   помочь   с   легитимными,   в   основном  доверенными   сайтами,   которые   превратились   в   хаб   по   распространению  malware.   URL-­‐и   этих   вебсайтов   доверенные   и   не   находятся   в   черных  списках.   Соответственно,   политики,   созданные   для   предотвращения  доступа   пользователей   к   определенным   узлам,   не   могут   предотвратить  пользователей  от  заражения  на  тех  узлах,  которые  разрешены.  Поскольку  

многие  традиционные  технологии  URL  фильтрации  рассматривают  только  первоначальный   запрос   на   домен,   они   не   могут   проверить  дополнительные  объекты,  которые  требуются  для  того,  чтобы  правильно  загрузить   страницу,   или   их   источники   и,   таким   образом,   не   могут  препятствовать   вредоносному   перенаправлению.   Когда   на   странице  содержится   в   среднем   150   объектов,   традиционные   методы   URL  фильтрации  просто  не  «успевают»    

Именно   это   произошло   в   13   сентября   2009   года   со   всеми  посетителями   NYTimes.com;   доверенный   источник,   который  категорируется  большинством  URL  списков  как  «новости».  Реклама,  очень  похожая   на   легитимную   (вставленная   через   простой   объект   на   сайте)  начала  показывать  всплывающее  окно,  предупреждающее  пользователей,  что   их   инфицировал   вирус.   Жертвы   потом   перенаправлялись   на  вредоносный   сайт,   который   предлагал   загрузить   антивирусную  программу,  похожую  на  настоящую,  которая  на  самом  деле  была  трояном.  

Тем   временем,   системы   защиты   от   веб-­‐угроз,   которые  основываются  на  поведенческом  анализе  с  эвристикой  имеют  тенденцию  сильно   зависеть   от   опыта   администратора.   Множество   подозрительных  или  злонамеренных  действий,  которые  мониторятся  такими  решениями  –  модификация  настроек  регистра  или  доступ  к  системным  ресурсам  –  также  наблюдаются  и  при  работе  легитимных  программ.  В  том  случае  только  от  администратора  зависит,  действительно  ли  это  предупреждение  является  опасным.  Это  большая  нагрузка,  особенно  когда  некоторые  наблюдаемые  действия   являются   очень   техническими   или   же   представляют   из   себя  действия  легитимных  программ.  Решение,  что  разрешить,  а  что  запретить  в  основном  представляет  из  себя  игру-­‐угадайку,  что  приводит  к  большому  количеству  ложных  срабатываний.    

Для   того,   чтобы   быть   полезными   в   сегодняшнем   мире   быстро  эволюционирующих,   динамических   веб-­‐угроз,   методы   сетевой   защиты  должны   быть   проактивными,   а   не   реактивными,   и   должны   предлагать  многоуровневый,   интегрированный   подход   к   безопасности.   Они   должны  использовать  несколько  значений  для  оценки  уровня  доверия  вебсайтов  и  содержимого   индивидуальных   веб-­‐страниц,   и   они   должны   эффективно  блокировать   вредоносный   контент   в   то   время,   как   разрешать  пользователям   получать   доступ   к   легитимному   контенту,   который   им  нужен.  Поиск   ограниченного   количества   типов   угроз  или   зависимость   от  исторической  информации  –  это  уже  недостаточно.    

Проактивная  защита  с  Web  репутацией  Cisco  IronPort    Технология   Web   репутации   Cisco   IronPort   использует   технологии  

системой   оценки   и   глубоко   детальные   возможности   сканирования  объектов   для   предоставления   пользователям   своевременных,   точных  предупреждений   об   угрозах.   Репутационные   Web   фильтры   также  используют   инфраструктуру   Cisco   Security   Intelligence   Operations   (SIO),  облачный   сервис   безопасности,   который   поддерживается   Cisco   Threat  Operations   Center.   Cisco   SIO   коррелирует   данные,   которые   он   получает   из  SensorBase,   самой   большой   в   мире   сети   мониторинга   угроз,   и  предоставляет  в  Cisco  TOC  более  500  Гбайт  данных  об  угрозах  ежедневно,  с  

30  млрд  индивидуальных  запросов  устройств,  которые  устройства  делают  прямо  в  SensorBase.  

 

 Рис.     2.   Cisco   Security   Intelligence   Operations   обеспечивает   высочайший   уровень  

корреляции   угроз,   позволяя   пользователям   с   уверенностью   и   безопасностью  взаимодействовать  друг  с  другом  

Для   измерения   уровня   доверия,   или   же   репутации   каждого  активного  веб-­‐сервера  в  интернет,  Cisco  SensorBase  отслеживает  более  200  различных   параметров,   которые   относятся   в   веб,   IPS,   firewall   и   трафику  email.    

Интегрированные   возможности   по   мониторингу   разных   видов  трафика   позволяют   решениям   безопасности   Cisco   быстро  проанализировать   активность,   репутацию   и   потенциально  злоумышленные  намерения  вебсайтов,  даже  если  они  никогда  раньше  не  были  связаны  с  malware.  В  дополнение,  фильтры  Web  репутации  получают  преимущество   от   данных,   которые   просматриваются   сервисами  безопасности   глобальной   сети   Cisco   и   непревзойденной   возможность  просмотра  интернет-­‐трафика  и  тенденций  

Как  часть  многоуровневого,  всеобъемлющего  подхода  к  веб-­‐угрозам,  Cisco   SIO   также   мониторит   веб   на   предмет   ново   созданных   или  

модифицированных  URL,  получает  URL  потоки  от  тщательно  проверенных  источников,  которые  идентифицируют  URL,  связанные  с  malware,  spyware,  фармингом,   фишингом   и   спамом.   На   запрашивающей   стороне  репутационные  фильтры   Cisco   IronPort   включают   Cisco   IronPort   Outbreak  фильтрацию   и   фильтрацию   эксплоитов,   которые   поддерживаются  SensorBase,   На   отвечающей   стороне   решения   Cisco   IronPort   используют  мультивендорное,  сигнатурное  сканирование    анти-­‐malware  

 Рис.    3.    Проактивная  защита.  Процесс  фильтрации  Cisco  IronPort  Web  репутации.  

Всесторонний  подход  

Использование   параметров   сетевого   уровня   для   определения   Web  репутации  

Анализ   данных,   даже   элементов,   которые   наиболее   сложны   для  манипулирования,   может   много   что   рассказать   о   уровне   доверия   URL.  Анализ  данных  может  определить,  как  давно  был  зарегистрирован  домен,  был  ли  он  зарегистрирован  автоматически  или  вручную,  кто  его  владелец,  был  ли  он  когда-­‐либо  ассоциирован  с  IP  адресом,  связанным  с  веб-­‐угрозой,  является   ли   адрес   статическим   или   же   динамическим,   в   какой   стране  хостится  вебсайт  и  многое  другое.    

Web   репутационные   фильтры   Cisco   IronPort   получают   данные   из  сети   Cisco   SensorBase.   SensorBase   отслеживает   более   200   разных  параметров,   которые   являются   прекрасными   индикаторами   репутации  URL,   IP     адреса   или   веб-­‐объекта.   Использование   сложное   моделирование  безопасности   и   агенты,   обнаруживающие   malware,   технология   Cisco  IronPort   оценивает   элементы   страницы   и   создает   точную   картину   ее  уровня  доверия.  Некоторые  параметры  включают:  

• Поведенческий  анализ  контента  • Наличие  загружаемого  кода  • Наличие   сложных,   скрытых   пользовательских   соглашений  

(EULA)  • Общий  объем  трафика  и  история  его  изменения  

• Информация  о  собственнике  сети  • История      URL  • Возраст  URL  • Наличие  в  черных  списках    вирусов,    спама,  spyware,  фишинга,  

фарминга  • Наличие  в  белых  списках    вирусов,    спама,  spyware,  фишинга,  

фарминга  • URL,  которые  содержат  опечатки  имен  популярных  доменов  • Информация  о  регистраторе  • Информация  об  IP  адресе    

 

 Рис.     4.   Значение  Web  репутации.   Сложные   алгоритмы  анализируют  и   коррелируют  

угрозы   с   помощью   более   200   параметров   для   того,   чтобы   точно   оценить   риск  malware   для  Web  объекта.  С  помощью  этих  данных  генерируется  динамическое  значение  от  -­‐10  до  +10  

Технология   Cisco   IronPort   Web   репутации   использует   следующий  процесс  для  вычисления  репутации  URL  

1. Через   глобальную   корреляцию.   Cisco   SIO   использует  технологии   моделирования   безопасности,   которые  связывают   атрибуты   вверху   для   определения,   с   какой  вероятностью   URL   и   веб-­‐объекты,   которые   связаны   с  определенными   атрибутами,   аффилированы   с   malware.   В  зависимости   от   этой   вероятности   соответствующий   весовой  коэффициент  помещается  к  каждому  из  этих  атрибутов.    

2. Используя   более   чем   200   сетевых   атрибутов,   Cisco   SIO  оценивает   элементы   страницы   для   определения   общей  вероятности  того,  что  она  содержит  malware  

3. Агрегированная   вероятность   того,   что   страница   содержит  malware  привязывается  к  значению  репутации  от  -­‐10  до  +10,  где   -­‐10   наиболее   вероятное   значение,   а   +10   наименее  вероятное.    

Оценка  множества  параметров  предлагает  глубокую  оценку  Большинство   приложений,   которые   определяют  malware   (включая  

решения  по  URL  фильтрации)  зависят  от  ручной  оценки  и  определения  и  могут   предложить   только   двоичный   уровень   категоризации  «хороший/плохой».  Но,   поскольку  репутационные  фильтры  Cisco   IronPort  Web   анализируют   широкий   набор   данных,   они   выдают   намного   более  детальное  значение  от  -­‐10  до  +10  

Это   дает   администраторам   намного   большую   гибкость,   что  позволяет   им   внедрить   разные   политики   безопасности   (расшифровка,  сканировать   дальше)   на   основе   значений   web-­‐репутации.   Вместо   того,  чтобы   пытаться   создать   политики   доступа   на   основе   ограниченного  двоичного   «хороший/плохой»   значения,   администраторы   могут  использовать   детальное   значение   репутации.   Это   позволяет  пользователям   сети   получить   доступ   к   нужному   веб-­‐контенту   без  ненужных  ограничений,  однако  с  полной  защитой  от  новых  угроз.    

Сканирование   всех   объектов   на   странице   защищает   от   динамических  угроз  

В   отличие   от   традиционных   решений   URL   безопасности,     Web  фильтры  безопасности  Cisco  IronPort    проверяют  каждый  запрос,  который  делается   браузером.   Вместо   того,   чтобы   просто   просматривать  первоначальный  HTML   запрос,   они   также   анализируют   все   последующие  запросы   данных,   рассматривая   каждый   элемент   на   странице   и   его  источники   –   включая   живые   данные   (JavaScript,   реклама,   виджеты),  которые   могут   получать   данные   из   разных   доменов.   Это   позволяет  фильтрам   Web   репутации   дать   пользователям   намного   более   точную  оценку  и   заблокировать  веб-­‐контент  на  более  детальном  уровне,   чем  это  можно  сделать  в  решениях  URL  фильтрации  и  черных  списках  IP  

 Рис.     5.   Web   репутационные   фильтры   Cisco   IronPort   обеспечивают   обзор   намного  

дальше  первоначальной  угрозы.  

Ведущие  технологии  безопасности  и  защиты  Web   репутационные   фильтры   Cisco   IronPort   блокируют   до   70  

процентов   malware   на   уровне   соединения,   еще   до   сигнатурного  сканирования.   Использование   целостного,   многоуровневого   подхода   –  объединение   всесторонней   репутационной   оценки   с   глубоким  сканированием  позволяет  обеспечить  Cisco  уровень  обнаружения  malware  на  60%  больше,  чем  на  отдельных  сигнатурных  сканерах.    

В   добавление,   система   Cisco   IronPort   Web   репутации   это  единственная  репутационная  система,  которая  включает  в  себя  защиту  от  

ботсайтов(botsite   defense),   обнаружение   URL   outbreak   (URL   outbreak  detection)  и  фильтрацию  эксплоитов  Web  2.0  (Web  2.0  exploit  filtering)  

 Защита   от   ботсайтов   использует   эвристические   и   поведенческие  алгоритмы   для   точной   идентификации   вебсайтов,   которые   хостятся   на  бот-­‐сетях.   Поскольку   большинство   новых   атак   malware   (например   –  поддельные   сканеры   spyware;   спам,   собирающий   номера   карт,  фишинговые   атаки)   управляются   и   направляются   ботнетами,   эта  выделенная  система  обнаружения,  которая  изолирует  ботсайты,  помогает  репутационным  фильтрам  Cisco  IronPort  защитить  пользователей  до  того,  как  произойдет  атака.  Как  только  мы  обнаруживаем  активный  код,  фильтр  использует   sandbox   эмуляцию   для   того,   чтобы   выполнить   код   в  безопасной   защищенной   среде   и   определения   malware,   если   оно   было  скрыто.    

18   марта   2008   года   атака   iFrame   на   спортивный   сайт   MSNBC  показала   эффективность   системы   защиты   от   ботсайтов.   iFrame,   который  вел  на  злонамеренный  файл  JavaScript,  перенаправлял  на  IP  адрес,  который  принадлежал  к  web  серверу,  который  ранее  хостил  malware  из  Intercage  и  Russian   Business   Network.   С   помощью   botsite   defense,   репутационные  фильтры  Cisco  IronPort  заблокировали  ботсайт  за  пять  дней  перед  атакой.    

Обнаружение  URL  outbreak.  Эта  система  использует  Cisco  IronPort  Outbreak   фильтры   для   идентификации   и   блокирования   malware,  распространяемого   через   URL,   у   которого   еще   нет   репутации   или  сигнатуры.   Это   malware   обычно   хостится   на   ботсайте   и   контролируется  ботнетом.    

 Линк   URL   outbreak   веден   прямо   к   злонамеренным   файлом.  Пользователь  никогда  не  направляется  на  вебсайт  –  вместо  этого,  только  один   клик,   при   котором   пользователь   думает,   что   он   посещает   сайт,  устанавливает  автоматически  malware  файл.  Cisco  Threat  Operations  Centers  мониторит   такие   ссылки   24х7х365   и   имеет   возможность   распространять  наборы  правил  за  13  часов  перед  появлением  сигнатур  

Фильтрация   эксплоитов   Web   2.0   позволяет   защититься   от  последней   угрозы   –   доверенные   вебсайты,   которые   были  скомпрометированы   для   того,   чтобы   распространять   malware   или  фишинговые   атаки   с   помощью   технологий   cross-­‐site   scripting,   SQL  инъекции  или  невидимые  iFrame.  Использование  облачного  сканирования  в   режиме   реального   времени   с   помощью   Cisco   SensorBase,   фильтры  эксплоитов   проактивно   проверяют   контент   и   группируют  скомпрометированные   узлы   в   три   группы   –   опасный,  скомпрометированный  и  уязвимый.    

 Рис.     6.   С   фильтрацией   эксплоитов   Cisco   предлагает   защиту   от   одной   из   самых  

опасных  невидимых  угроз  -­‐-­‐  атака  malware  с  легитимных  сайтов.  

Опасный.   Эти   вебсайты   активно   обслуживают   malware   или  содержат   внедренные   злонамеренные   скрипты.   Они   немедленно  блокируются.    

Скомпрометированный.   Эти   узлы   содержат   злонамеренный  скрипт,  но  он  не  был  активирован  бот-­‐сетью  или  же  командным  сервером,  который   ответственен   за   распространение   malware.   Эти   узлы   тоже  автоматически  блокируются.    

Уязвимый.   Эти   популярные   веб-­‐узлы   с   высоким   трафиком  показывают   уязвимость   общеизвестным   эксплоитам   или   же   ранее   были  связаны   с   распространением   malware.   Они   помещаются   под  круглосуточный   мониторинг   для   того,   чтобы   гарантировать   постоянную  защиту  для  всех  пользователей  Cisco  IronPort  Web  Reputiation  

Cisco  IronPort  Web  Security  Appliance  объединяет  традиционную  URL  фильтрацию   с   расширенной   Web   репутационной   фильтрацией   Cisco  IronPort   и   сканированием   malware   на   одной   аппаратной   платформе   для  

того,   чтобы   проактивно   бороться   с   динамическими   и   сложными     веб-­‐угрозами.   После   веб-­‐фильтрации   Web   Security   Appliance   использует  расширенный   механизм   сканирования   –   Cisco   IronPort   Dynamic   Vectoring  and  Streaming  engine  и  несколько  сигнатурных  баз  в  качестве  второй  линии  обороны.   Вместе   с   эвристическим   сканированием,   которое   предлагается  McAfee,   Web   Security   Appliance   также   сканирует   трафик   с   помощью  сигнатурных   сканеров   Webroot,   Sophos   и   McAfee.   Сигнатурное  сканирование  обеспечивает  полную  проверку  контента  и  обнаруживает  и  блокирует  все  остальные  виды  malware.  

Механизм   Cisco   IronPort   DVS   запускает   все   сигнатурные   сканеры   в  одновременную   параллельную   работу,   что   увеличивает   уровень  обнаружения  еще  на  35  процентов.  Предыдущие  технологии  сканирования  делали   мультивендорное   сканирование   практически   невозможным   из-­‐за  ограничений  в  производительности  и  задержке.  Cisco  IronPort  DVS  убирает  это  ограничение,  с  помощью  технологий  увеличения  производительности,  таких   как   потоковое   сканирование,   алгоритмы   раннего   выхода,  кеширование   репутационного   вердикта   и   быстрый   просмотр   и  сканирование   объекта.   Эта   стратегия   позволила   Cisco   предложить   один  Web   Security   Appliance,   который   интегрирует   несколько   сигнатурных   баз  данных,   которые   могут   использоваться   как   одновременно,   так   и   по  отдельности  для  того,  чтобы  обеспечить  высочайший  уровень  защиты  от  угроз.    

Заключение  В   последнее   десятилетие   ландшафт   угроз   кардинально   изменился.  

Писатели  malware  сейчас  атакуют  пользователей  с  намерением  получения  их  персональной  информации.  Такие  объекты,  как  номера  кредитных  карт,  пароли,   информация   о   банковских   счетах   используется   для   получения  финансовой  выгоды.    

Когда-­‐то   источники   атак   были   в   какой-­‐то   мере   предсказуемы   и  менее   сложны   для   остановки.   Но   сегодняшние   угрозы   malware   часто  неизвестны.   Простой   клик   на   результат   поиска   или   просмотр   хорошо  известного   вебсайта   может   оказаться   достаточным   для   того,   чтобы  инфицировать  машину.    

Malware   писатели   создают   все   более   и   более   хорошо   выглядящие  сайты.   Более   того,   они   все   чаще   распространяют   malware   через  скомпрометированные  легитимные  вебсайты.  Эти  сайты  доверенные,  или  же  они  раньше  не  были  известны  как  нарушители,  традиционные  системы  URL   фильтрации   не   могут   справится   с   защитой   пользователей.   Сами   по  себе  сканеры  malware  тоже  не  могут  предложить  адекватную  защиту,  если  новое    malware   еще   не   было   идентифицировано   сигнатурой   от   вендоров  безопасности  

Обеспечение   доступа   пользователей   к   ценным   веб-­‐ресурсам,   в   то  время  как  защита  их  от  постоянно  эволюционирующих  веб-­‐угроз  требует  всестороннего,   интегрированного   подхода.   Решение,   которое   смотрит   на  больше,  чем  традиционные  URL  черные  и  белые  списки,  проверяет  каждый  элемент  страницы  (а  не  только  первоначальный  URL)  из  первоначального  запроса,   рассматривает   индивидуально   каждый   элемент   страницы   и   его  

источники   индивидуально,   включая   живые   данные   (JavaScript,   реклама,  виджеты),  которые  могут  получать  данные  из  разных  доменов.  

Cisco  IronPort  предлагает  расширенные  технологии  оценки  трафика  и   детальные   возможности   сканирование   объектов   для   того,   чтобы   дать  пользователям   своевременные   и   точные   предупреждения   об   угрозах.  Фильтры  Web  репутации  Cisco   IronPort  используют  инфраструктуру  Cisco  SIO,  облачный  сервис  безопасности,  который  поддерживается  Cisco  Threat  Operations   Center.   Cisco   SIO   коррелирует   данные,   которые   он   получает   из  Cisco  SensorBase  –  самой  большой  в  мире  сети  мониторинга  угроз.    

Используя   эту   глубокую,   широкую   коллекцию   данных   об   угрозах  трафика  web,   email,   firewall,   IPS,   технология  Web  репутации  Cisco   IronPort  может   быстро   обнаружить   вредоносные   экземпляры   кода   и   атаки.   Этот  целостный,   интегрированный,   многоуровневый   подход   защищает  заказчиков  от  веб-­‐угроз  сегодня  и  завтра.