IronPort Web名誉系统:保护和防御基于URL的网络安全威胁
基于Web的威胁正在与日俱增
近几年,垃圾邮件、病毒、钓鱼攻击和间谍软件等恶意攻击的爆炸式增长趋势(以及攻击者在侵犯用户隐私并盗取个人敏感信息这方面能力的不断增强)已经对因特网的稳定性构成了极大的威胁。如果我们能够准确地分析这些URL并为其赋予一个名誉分值的话,我们就有机会更快更准确地阻止攻击的发生,不论这些URL是以何种方式进行传播,其危害都能得以避免。
IronPort Web名誉系统技术提供针对难以应付的混合威胁的动态分析和保护。
IronPort Web名誉跟踪 - 极具创新的方法
IronPort系统公司充分意识到了在检测恶意软件和邮件时对其内嵌的URL进行分析的重要性,并为我们带来了IronPort Web名誉系统,该系统通过一个极具创新的方法来帮助防御各种基于URL的安全威胁。这个解决方案向我们提出了一个简单却有力的问题--“何谓一个URL的名誉?” 在评估一个URL的可信赖度时,通过分析一些极难伪造的数据,比如一个域名注册了有多长时间、Web站点主机位于哪个国家、站点域名是否为全球财富500强企业所有、Web服务器是否使用的是动态IP地址等等,综合这些信息从中我们可以得出大量有用的信息。
IronPort Web名誉系统所使用的数据来源于IronPort的通用安全数据库(即SenderBase网络)。SenderBase网络是世界上最大的邮件和Web数据流监视网络,它跟踪着每个站点的超过50多种不同的网络参数,而其中每个参数都能够很好地反映出一个URL的名誉状况。
IronPort Web名誉跟踪技术不同于传统的URL黑名单或白名单,因为它在分析了大量数据后能够给出一个介于-10到+10之间的非常细粒度的分值,而不象其他绝大多数恶意软件检测应用那样只能做“好”与“坏”这两种分类。这个细粒度的评分机制为管理员的安全策略管理提供了极大的灵活性:企业可以根据不同的Web名誉分值区间制定不同的安全策略。图表一给出了一些例子,不同的分值代表了不同的站点特征和行为。
Web名誉系统在实践中的应用
IronPort Web名誉系统极大地增强了企业安全系统在处理每个基于URL的恶意软件时的功效和截获率。这项强大的技术目前已经应用在了IronPort的C系列邮件安全设备上。
垃圾邮件和基于URL的病毒: 传统垃圾邮件解决方案在评估一封邮件是否为垃圾邮件时会回答一些类似于“是什么”的基本问题,例如“这封邮件的内容的性质是什么?”。这种方式有天生的缺陷,困难在于垃圾邮件制造者已经找到了各种技巧来欺骗此类邮件过滤器,比如在邮件体中加入一块合法文本(称作贝叶斯克星)或者用数字替代字母(如L0ve),结果造成第一代防垃圾邮件过滤器的功效急剧下降,因为几乎每封垃圾邮件都内嵌了一个指向广告站点或恶意站点的URL链接,并使用各种社会工程学技巧诱骗读者去点击。而Web名誉技术则添加了另一维垃圾邮件分析方式,它会问一些“哪里”的问题,比如“这个URL会把我带到哪里?”
钓鱼攻击/域嫁接攻击: 钓鱼站点的创建者也许可以完美地伪造一个站点,使其看起来与其他合法银行或电子商务站点一模一样,但是他们却无法伪造该站点的URL实际所处的位置。IronPort Web名誉系统拥有绝大多数URL的最新详细名誉分值,因此可以有效保护用户远离各种钓鱼攻击的侵害。
混合式攻击: 2005年12月底,安全机构公布了一个WMF的漏洞,攻击者利用该漏洞可以在用户的系统上执行任意有害代码。用户一旦浏览了内嵌有恶意WMF文件(通常是一个图片)的站点就有可能受到感染,而整个感染的过程中并不需要用户自己去下载运行这些有害代码。
最早的时候是一些间谍软件的制造着发现了这一漏洞,于是他们特意将一些很流行的合法站点的URL进行错误拼写,之后把受到WMF漏洞感染的文件放在这些URL所指向的站点上并诱骗用户进行访问。
传统的防间谍邮件解决方案根本无法及时识别此类新型间谍软件并及时提供特征码,同样,对于受感染主机发出的这类内嵌了指向利用WMF进行攻击的恶意站点的URL的邮件,传统防垃圾邮件和防病毒解决方案也无能为力。然而,IronPort的Web名誉技术却能够立即探测到这类新型URL的出现,并综合分析多方因素,例如使用了故意错误拼写的域名、急速增长的访问量以及带有可下载的代码等等,最终评出了一个合适的Web名誉分值。而且只有IronPort Web名誉技术才有能力在用户试图访问这类有害站点时及时进行阻止。最后,Web名誉技术的细粒度分值系统也让管理员可以配置各种不同的安全策略以满足企业的特定安全需求。
