Tecnologia IronPort de Reputação de Ambientes Web: Proteção Contra Ameaças em URLs

A evolução das ameaças em ambientes web

Uma característica cada vez mais comum entre os malwares é a presença de um URL que o usuário precisa acessar para ser atacado. Os spams, vírus baseados em URL, ataques phishing e spywares direcionam o usuário para um URL malicioso. Se o URL puder ser analisado, assim como sua respectiva reputação, é possível bloquear esses ataques com mais facilidade e precisão. O URL pode ser evitado e qualquer método disseminado.

Download do whitepaper sobre reputação dos ambientes web

A tecnologia Web Reputation da IronPort oferece análise e proteção dinâmicas contra sofisticadas ameaças combinadas.

Controle da Reputação de Ambientes Web da IronPort — um Enfoque Inovador

O controle da reputação de ambientes web da IronPort ajuda na proteção contra uma ampla gama de ameaças baseadas em URLs. Esta solução faz uma pergunta simples mas extremamente poderosa — "Qual é a reputação do URL?" Ao analisar a confiabilidade de um URL, é possível determinar muitas coisas analisando dados difíceis de serem percebidos como há quanto tempo o domínio foi registrado, em que país o site está hospedado, se o domínio pertence a uma das 500 maiores empresas pela Fortune, se o servidor web está usando um endereço IP dinâmico e muito mais.

O controle de reputação de ambientes web da IronPort conta com o apoio da base de dados de segurança da IronPort — a SenderBase Network, a maior rede de monitoramento de tráfego web e de e-mail do mundo. A SenderBase controla mãos de 50 parâmetros diferentes, excelentes indicadores da reputação de um URL.

O controle de reputação de ambientes web da IronPort é diferente de URLs em listas brancas e negras porque analisa um amplo conjunto de dados e gera uma detalhada classificação de -10 a +10, no lugar das duas categorias "bom" e "mal" da maioria das aplicações de detecção de malware. Essa classificação mais detalhada oferece aos administradores maior flexibilidade; permitindo a implementação de diferentes políticas de segurança, acordo com as diferentes classificações.

Uso da Reputação nos Ambientes Web

Os dados sobre a reputação dos ambientes web aumentam a eficiência e a taxa de detecção de cada tipo de malware baseado em URL. Essa poderosa tecnologia é empregada nos dispositivos para as segurança de ambientes de e-mail C-Series da IronPort.

Spams e vírus baseados em URL: As soluções tradicionais de spam fazem as seguintes perguntas para avaliar se um e-mail é spam, ou se esquecessem de fazer uma pergunta básica: "Qual é a natureza do conteúdo da mensagem?". A dificuldade do enfoque é que os criadores de spam descobriram várias técnicas para ludibriar esses filtros, como a inclusão de textos idôneos (chamados baiesianos) ou o uso de números no lugar de letras (Am0r). Isso reduziu a eficácia dos filtros de spam de primeira geração. Praticamente todas as mensagens de spam contêm um URL para que o leitor acesse o site anunciante. A Web Reputation agrega uma outra dimensão à análise de spam perguntando "Para onde esse URL quer me levar?"

Ataques phishing: Os criadores de sites phishing podem simular perfeitamente o conteúdo de sites de bancos e de comércio eletrônico. Mas os sites phishing não mostram o URL onde se encontram. O IronPort Web Reputation possui uma classificação detalhada e atualizada de grande parte dos URLs e com isso consegue proteger os usuários contra esses ataques.

Ataques combinados: No final de dezembro de 2005, foi detectada uma vulnerabilidade no WMF que permitia a execução de código malicioso. Para se infectar bastava que o usuário acessasse um site que possuía um arquivo WMF file (geralmente uma imagem) incorporado. Não era necessária nenhuma ação explícita do usuário para baixar o código malicioso.

Inicialmente essa vulnerabilidade foi explorada por fabricantes de spyware que colocavam arquivos WMF infectados com spyware nos URLs que simulavam sites conhecidos.

As soluções tradicionais anti-spyware não foram ágeis o suficiente para detectar a presença do novo spyware e criar assinaturas para ele. E as soluções anti-spam e antivírus não conseguiram reconhecer que os e-mails enviados pelos host infectados continham links que exploravam vulnerabilidades WMF. Mas a tecnologia Web Reputation da IronPort detecta a presença de novos URLs na web e imediatamente atribui a eles uma classificação de reputação com base em fatores como similares de domínios populares, rápido aumento de volume e a presença de código descarregável. E só essa tecnologia é capaz de impedir que os usuários acessem esses sites mesmo que estejam tentados a visualizá-los através de um nome de site com erro de digitação ou link em um spam. E por fim, a ampla abrangência dessa tecnologia permite que os administradores configurem políticas de segurança específicas ao perfil de segurança corporativa.