IronPort Web Reputation Technologie: Schutz vor Sicherheitsbedrohungen auf URL-Basis
Angriffe über das Web werden immer raffinierter
Ein mittlerweile weit verbreitetes Merkmal von Malware ist die Verwendung einer Internet-Adresse, bei deren Aufruf der jeweilige Benutzer angegriffen wird. Bei einer Vielzahl von Spam-Mails, Viren, Phishing-Attacken und Spyware wird der Benutzer zu einer bösartigen URL geleitet. Wenn es gelingt, diese URLs genau zu analysieren und ihnen eine Reputation zuzuordnen, können entsprechende Angriffe deutlich schneller und zuverlässiger abgeblockt werden, indem ein Besuch der URL vermieden wird - ganz gleich, über welche Methode sie verbreitet wird.
Die Web Reputation Technologie von IronPort ermöglicht eine dynamische Analyse und bietet einen wirksamen Schutz vor ausgeklügelten komplexen Bedrohungen.
Web Reputation Tracking - ein innovativer Ansatz von IronPort
Das Web Reputation Tracking-Konzept von IronPort trägt zum Schutz vor einer Vielzahl von Sicherheitsbedrohungen auf URL-Basis bei. Diese Lösung stellt eine einfache, aber zugleich extrem wirkungsvolle Frage: "Welchen Ruf hat die URL?" Die Einschätzung und Bewertung der Vertrauenswürdigkeit einer URL beruht zum großen Teil auf der Analyse schwer ermittelbarer Daten. Dabei müssen unter anderem Fragen beantwortet werden wie: "Wie lange ist die Domain schon registriert?", "In welchem Land wird die Website betrieben?", "Gehört die Website einem bekannten Unternehmen?" oder "Verwendet der Webserver eine dynamische IP-Adresse?" und mehr.
Die Grundlage für das Web Reputation Tracking ist die Sicherheitsdatenbank von IronPort - das SenderBase Netzwerk. SenderBase ist das weltweit größte Netzwerk zur Überwachung des E-Mail- und Web-Verkehrs und beobachtet 50 verschiedene Parameter, die eine ausgezeichnete Basis für die Ermittlung der Reputation einer URL darstellen.
Im Gegensatz zu den meisten anderen Anwendungen zur Identifizierung von Malware, die mit herkömmlichen Positiv- oder Negativlisten arbeiten und eine URL entweder als "gut" oder "schlecht" einstufen, basiert das Web Reputation Tracking von IronPort auf der Analyse zahlreicher Daten und nimmt eine fein abgestufte Bewertung vor, indem ein Wert zwischen -10 und +10 vergeben wird. Durch dieses detaillierte Bewertungskonzept können Administratoren flexibler vorgehen und Sicherheitsrichtlinien auf der Grundlage der verschiedenen Web Reputation Scores konfigurieren.
Web Reputation in der Praxis
Web Reputationsdaten tragen zu einer effektiveren Identifizierung und Abwehr von URL-Malware bei. Diese leistungsfähige Technologie wird in den E-Mail Security Appliances der C-Serie von IronPort eingesetzt.
Virenverbreitung durch Spam und URLs: Um zu beurteilen, ob es sich bei einer E-Mail um Spam handelt, konzentrieren sich herkömmliche Spam-Lösungen auf die Frage nach dem Inhalt einer Nachricht. Das mit diesem Lösungsansatz verbundene Problem besteht darin, dass die Urheber von Spam-Mails verschiedene Techniken entwickelt haben, um diese Filter auszutricksen, indem sie beispielsweise Textabschnitte mit unbedenklichem Inhalt (so genannte Bayesian Busters) hinzufügen oder Zahlen statt Buchstaben verwenden (z. B. L0ve). Diese Methoden haben zu einer deutlichen Reduzierung der Wirksamkeit von Spam-Filtern der ersten Generation geführt. Fast jede Spam-Mail enthält einen URL-Link, damit der Leser die jeweilige Website aufrufen kann. Deshalb erstreckt sich die Analyse der Web Reputation über eine weitere Dimension und stellt die Frage: "Wohin führt mich die URL?"
Phishing: Die Entwickler von Phishing-Sites gestalten den Inhalt ihrer Websites mitunter so perfekt, dass eine täuschend echte Nachbildung der Original-Websites von Banken und E-Commerce-Sites entsteht. Phishing-Sites können jedoch nicht die URL ihrer Website verfälschen. Deshalb leisten die Web Reputation Filter von IronPort eine detaillierte und aktuelle Bewertung der meisten URLs, so dass Benutzer wirksam vor Phishing-Attacken geschützt werden können.
Komplexe Angriffe: Im Dezember 2005 wurde eine WMF-Schwachstelle entdeckt, die die Ausführung potenziell schädigender Programme ermöglicht. Um mit dem Schadprogramm infiziert zu werden, reichte der Besuch einer Website aus, die eine WMF-Datei (gewöhnlich ein Bild) enthielt. Dabei wurde das Programm auch ohne weiteres Zutun des Benutzers heruntergeladen.
Diese Schwachstelle wurde anfangs von einigen Spyware-Anbietern ausgenutzt, die mit Spyware infizierte WMF-Dateien unter URLs einstellten, die der echten Adresse einer Original-Website ähnelten. Die echte URL wurde lediglich durch einen kleinen, absichtlichen Tippfehler verfälscht.
Anbieter herkömmlicher Anti-Spyware-Lösungen konnten nicht schnell genug reagieren, um diese neue Form von Spyware zu erkennen und entsprechende Signaturen zu schreiben. Auch Spam-Filter und Virenschutzprogramme erkannten nicht, dass die von infizierten Host-Rechnern versandten E-Mails Links zu Websites enthielten, die die entsprechenden WMF-Sicherheitslücken ausnutzen. Dagegen ist die Web Reputation Technologie von IronPort in der Lage, neue URLs im Web zu erkennen und ihnen sofort einen Web Reputation Score zuzuordnen, der auf der Grundlage verschiedener Faktoren ermittelt wird. Hierzu zählt beispielsweise die Verwendung von Tippfehlern in den URLs beliebter Domains, die schnelle Zunahme des Datenverkehrs und das Vorhandensein von Download-Programmen. Nur die Web Reputation Technologie von IronPort ist in der Lage, den Benutzerzugriff auf entsprechende Websites abzublocken - ganz gleich, ob dieser Zugriffsversuch über eine verfälschte URL in einer Website-Anfrage oder durch einen Link in einer Spam-Mail verursacht wird. Darüber hinaus wird durch das differenzierte Bewertungskonzept der Web Reputation Technologie sichergestellt, dass Sicherheitsrichtlinien präzise auf die jeweils erforderlichen Sicherheitsprofile abgestimmt werden können.
