Технология Exploit Filtering компании IronPort закрывает брешь в сфере Web-безопасности

Источник материала:

Недавно вошедшая в состав Cisco компания IronPort Systems модернизировала свои устройства Web-безопасности, добавив к ним функцию Exploit Filtering. С помощью технологии оценки Web-репутации эта функция защищает пользователей от шпионских программ, доставляемых через зараженные сайты, даже если эти сайты не распознаются как таковые традиционными средствами фильтрации адресов URL и сканирования сигнатур.

В марте 2008 года IronPort анонсировала технологии URL Outbreak Detection и Botsite Defense, защищающие пользователей от шпионских программ, которые распространяются через сайты, контролируемые шпионскими сетями (так называемыми «ботнетами»). Exploit Filtering нацелен на решение еще одной острой проблемы — на защиту от надежных и вроде бы проверенных сайтов, попавших под контроль хакеров и ставших распространителями вирусов-троянов и базой для фишинг-атак.

Традиционные фильтры URL не могут эффективно бороться с этой угрозой, поскольку в их основе лежат ручные методы классификации. Зараженные сайты могут маскироваться и выдавать себя за торговые, финансовые, развлекательные или новостные системы. В основе же репутационной технологии IronPort лежит сканирование в реальном времен, позволяющее найти и блокировать доступ к зараженному сайту до того, как его вредоносная программа будет активирована.

Системы фильтрации IronPort, основанные на оценке Web-репутации, — единственное решение в отрасли, оценивающее каждый запрос, сделанный браузером — от первого запроса HTML до всех последующих запросов на получение данных, которые могут поступать из различных доменов. Если наличие уязвимостей и заражений подтверждается, Web-сайту тут же присваивается один из трех уровней угрозы:

• Зараженный и активно распространяющий вредоносные программы. Сайты этой классификации заражены хакерами, на них активно работают скрипты, заражающие пользователей вредоносными программами. Доступ к таким сайтам немедленно блокируется.
• Зараженный. Сайты этой категории подверглись одной или нескольким атакам и заражены вредоносными скриптами, однако эти скрипты пока не активированы управляющими серверами. Доступ к таким сайтам также немедленно блокируется по умолчанию.
• Уязвимый для заражения. Эти популярные сайты с большим объемом пользовательского трафика являются объектом особого внимания и активно отслеживаются Центром анализа угроз IronPort, если в них обнаружены уязвимости или если ранее они уже подвергались заражениям и становились распространителями вредоносных программ.

На первом уровне антихакерской обороны система Web-фильтрации IronPort Web-reputation ежедневно анализирует более 5 млрд. Web-транзакций и блокирует до 70 процентов попыток распространения вредоносных программ на уровне соединений, до сканирования сигнатур. Глобальное сканирование трафика и адресов URL позволяет системе IronPort работать с самым высоким в отрасли показателем распознавания вредоносных программ (на 60 процентов выше, чем у традиционных сканеров, работающих с известными сигнатурами).

Технология Exploit Filtering работает на устройствах IronPort S-Series — самых быстродействующих в отрасли устройствах для Web-безопасности. Эти устройства представляют собой высокопроизводительную платформу безопасности с эксклюзивной технологией IronPort для оценки Web-репутации и технологией сканирования Dynamic Vectoring and Streaming (DVS), которая повышает скорость распознавания (по сигнатурам) и блокировки шпионских и других вредоносных программ.