Tecnología de Reputación Web de IronPort: Protegiendo Contra Amenazas Basadas en URL

Amenazas Evolutivas Basadas en Web

Una característica cada vez más común en el malware es la presencia de un URL, o dirección, que el usuario debe visitar para ser atacado. El spam, los virus basados en URLs, los ataques de phishing y spyware, todos ellos direccionan al usuario a un URL malicioso. Si estos URLs pueden ser acertadamente analizados y asociados a una reputación, entonces es más factible que se logre detener estos ataques y se pueda evitar la diseminación del URL en cualquiera de sus métodos.

Descargar información acerca de Web Reputation

La tecnología IronPort de Reputación Web provee análisis y protección dinámicos contra amenazas sofisticadamente combinadas.

Rastreo de Reputación Web IronPort—un Enfoque Innovador

El Rastreo de Reputación Web de IronPort ayuda a proteger contra un amplio rango de amenazas basadas en URL. Esta solución plantea una simple pero poderosa pregunta: "¿Cuál es la reputación del URL?". Cuando se evalúa la confiabilidad de un URL, mucho se puede determinar analizando la información que es difícil de falsificar, como el tiempo que el dominio tiene de haberse registrado, el país en el que está albergado el sitio Web, si el sitio es propiedad de una compañía Fortune 500, si el servidor utiliza un IP dinámico, entre otros.

El rastreo de Reputación Web está habilitado por la base de datos de seguridad IronPort, SenderBase, la red de monitoreo de tráfico Web y de correo electrónico más grande del mundo. SenderBase rastrea más de 50 parámetros distintivos que son excelentes indicadores de la reputación de un URL.

La diferencia entre el rastreo de Reputación Web de IronPort y una lista negra de URLs tradicional estriba en que la primera analiza un amplio rango de datos y produce una calificación granular que va del -10 al +10, en vez de las categorizaciones binarias de "bueno" y "malo" de la mayoría de las aplicaciones de detección de malware. Esta puntuación granular ofrece a los administradores más flexibilidad y es posible implementar diferentes políticas de seguridad basadas en los rangos de calificación de Reputación Web.

La Reputación Web en Uso

Los datos de Reputación Web incrementan la eficacia y tasa de captura de cada tipo de malware basado en URL. Esta poderosa tecnología es utilizada en los dispositivos de seguridad de correo electrónico IronPort's C-Series.

Spam y Virus basados en URL: Las soluciones tradicionales contra el spam plantean las siguientes preguntas para evaluar si un correo electrónico es spam o no al responder la pregunta básica de "qué", como "¿Qué es la naturaleza del contenido del mensaje?". La dificultad con este tipo de enfoque es que los spammers han encontrado una variedad de técnicas para engañar estos filtros como agregar bloques de texto legítimo (llamado Bayesian busters) o utilizando números en vez de letras (Am0r). Como resultado, la eficacia de la primera generación de filtros anti-spam ha disminuido. Casi cualquier mensaje de spam contiene en él un vínculo URL que le permite al lector ver un sitio de publicidad. La Reputación Web añade otra dimensión al análisis de spam al preguntar el "dónde", "¿A dónde me lleva el URL?".

Phishing: Los creadores de sitios de phishing, o captura de información, pueden alterar el contenido de sus sitios Web para replicar a la perfección un sitio legítimo de comercio electrónico bancario. Sin embargo, los sitios de phishing no pueden falsificar el URL en el que se encuentran ubicados. IronPort cuenta con un registro detallado de la mayoría de los URLs y puede, por lo tanto, proteger a los usuarios de los ataques de phishing.

Ataques Mixtos: A finales de Diciembre de 2005, se descubrió una vulnerabilidad de Windows Metafile (WMF) que permitió la ejecución de códigos potencialmente maliciosos. Para ser infectado, el usuario sólo tenía que navegar por un sitio que tuviera un archivo WMF en él. No se requerían acciones explícitas del usuario final para descargar el código malicioso.

Inicialmente, esta vulnerabilidad fue explotada por distribuidores de spyware que infectaron archivos WMF en URLs o direcciones muy similares a los de sitios populares, de manera que si el usuario se equivocaba al ingresar la dirección o URL era llevado a ese sitio e infectado inmediatamente.

Las soluciones anti-spyware tradicionales no fueron los suficientemente rápidas como para determinar esta nueva presencia de spyware y programar las firmas para ello. Y las soluciones anti-spam y anti-virus no eran capaces de reconocer que los correos electrónicos enviados por los hosts infectados contenían vínculos a sitios que explotaban las vulnerabilidades WMF. La tecnología IronPort de Reputación Web, sin embargo, detecta la presencia de nuevos URLs en la Web e inmediatamente asigna una puntuación de Reputación Web basado en factores como el uso de dominios muy similares a sitios populares, el rápido incremento en volumen y la presencia de un código descargable. Sólo la tecnología IronPort de Reputación Web tiene la capacidad de bloquear el acceso a estos sitios para sus usuarios sin importar si intentan ingresar por error, por resultado de una búsqueda o por un vínculo en un correo infectado. Por último, el amplio rango de calificación de Reputación Web permite a los administradores configurar las políticas de seguridad para ajustarse a su perfil de seguridad específico.