Решения IronPort закрывают бреши в Web-безопасности

--> Дата: Фев 13, 2009 73

Согласно прогнозу корпорации Cisco на 2007–2012 гг. под названием Visual Networking Index («Индекс развития визуальных сетевых технологий»), в течение прошлого года увеличение объема Web-трафика составило 51%. Столь стремительный рост создает предельную нагрузку на сетевую инфраструктуру. Более того, в общем объеме трафика повышается доля мультимедийного Web-контента, для которого нужны гораздо большие процессорная мощность и масштабируемость, а также функции исполнения принятых правил и выявления нарушений в сфере безопасности. В этих условиях предприятия должны изыскать способы обеспечения безопасности сетей без ущерба для пользователей, работающих с Интернетом. До недавнего времени выделенные шлюзы Web-безопасности были установлены менее чем в 30% корпоративных сетей. В связи с этим ожидается повышенный спрос на устройства Web-безопасности, поскольку по мере роста объема Интернет-трафика растет и уровень угрозы со стороны вредоносных программ.

Устройства для Web-безопасности от компании IronPort, входящей в корпорацию Cisco, отличаются высоким быстродействием, используя метод многоядерного сканирования и технологию IronPort DVS (Dynamic Vectoring and Streaming) для выявления потенциальных угроз. При этом функции безопасности практически не замедляют работу сети и доставку абонентских услуг. Метод многоядерного сканирования распределяет задачи безопасности между всеми доступными процессорными ядрами и выполняет эти задачи параллельно и одновременно, сокращая задержки и увеличивая масштабируемость. Шлюзы Web-безопасности, использующие эту современную технологию, работают эффективнее, позволяют устанавливать меньше устройств и потребляют меньше электроэнергии. В результате повышается экологичность дата-центров и ускоряется их окупаемость. По информации разработчиков, один Web-шлюз IronPort S-Series, как правило, заменяет три аналогичных конкурирующих устройства.

В продуктовой линейке IronPort S-Series есть аппаратная модель IronPort S660, разработанная для крупных корпоративных центров обработки данных. Одно такое устройство способно поддерживать до 30 тыс. пользователей. Другая модель, IronPort S360, представляет собой мощное устройство для защиты компаний среднего размера (до 10 тыс. пользователей). И наконец, за счет модели IronPort S160 полномасштабными, удобными для пользователя решениями Web-безопасности от IronPort охватывается малый и средний бизнес. Стоит особо отметить, что в прошлом подобные решения были доступны только крупным предприятиям. Благодаря устройствам IronPort S160 появилась возможность обеспечить малому и среднему бизнесу такой же уровень защиты, как и крупнейшим мировым корпорациям из списка Fortune 500. Хотя IronPort S160 – это небольшое устройство, занимающее всего одну полку стойки, тем не менее оно поддерживает те же мощные функции Web-безопасности, которыми обладают другие устройства IronPort S-Series.

Сеть IronPort SenderBase и центр анализа угроз (Threat Operations Center) IronPort проводят постоянный мониторинг сетевого трафика и вирусных атак в глобальном масштабе. Они представляют собой первую и самую крупную в мире систему мониторинга сетей. С помощью устройств IronPort, установленных в сетях восьми из 10 крупнейших Интернет-провайдеров и более чем 40% из 100 крупнейших компаний мира, SenderBase отслеживает более 30% мировых сообщений, обрабатывая каждый день свыше 30 млрд запросов. В этой системе мониторинга участвует более 100 тыс. организаций, что делает IronPort SenderBase самой точной в мире системой мониторинга сетевого трафика. Центр анализа угроз IronPort, укомплектованный опытными аналитиками, следит за вирусными атаками в реальном времени и оперативно разрабатывает методы противодействия, чтобы защитить заказчиков компании. По данным этого центра, сегодня через зараженные сайты идет более 87% сетевых атак. Кроме того, все больше хакеров совершают попытки заражения хорошо известных сайтов, которым пользователи привыкли доверять. К примеру, в прошлом году сайт крупного японского поставщика видеоигр пал жертвой «инъекции SQL», в ходе которой он был заражен небольшим Java-скриптом. Этот скрипт сообщал пользователю, что его компьютер заражен шпионской программой, а затем направлял его на другой сайт, где пользователь якобы мог приобрести средство защиты. На самом же деле этот сайт был распространителем весьма вредного троянского вируса.

Учитывая подобные ситуации, IronPort модернизировала свои устройства Web-безопасности, добавив к ним функцию Exploit Filtering. С помощью технологии Web-репутации IronPort эта функция защищает пользователей от шпионских программ, доставляемых через зараженные сайты, даже если эти сайты не распознаются как таковые традиционными средствами фильтрации адресов URL и сканирования сигнатур. Заметим, что Exploit Filtering работает на устройствах Web-безопасности семейства IronPort S-Series. Ранее IronPort анонсировала технологии URL Outbreak Detection и Botsite Defense, защищающие пользователей от шпионских программ, которые распространяются через сайты, контролируемые шпионскими сетями (так называемыми ботнетами). Exploit Filtering нацелен на решение еще одной острой проблемы — защиты от надежных и, казалось бы, проверенных сайтов, попавших под контроль хакеров и ставших распространителями вирусов-троянов и базой для фишинг-атак. Эти атаки проводятся с помощью методов кросс-скриптовой подмены, переполнения буферов (путем передачи слишком больших объемов данных в системы хранения приложений, чтобы тем самым вызвать их ненормальное функционирование, позволяющее «пробивать» защиту), «инъекций SQL» и незаметной переадресации iFrame, т. е. направления пользователей на зараженные сайты.

Традиционные фильтры URL не могут эффективно бороться с этой угрозой, поскольку в их основе лежат ручные методы классификации. Зараженные сайты могут маскироваться и выдавать себя за торговые, финансовые, развлекательные или новостные системы. В основе же репутационной технологии IronPort лежит сканирование в реальном времени, позволяющее найти и блокировать доступ к зараженному сайту до того, как его вредоносная программа будет активирована. Системы фильтрации IronPort, основанные на оценке Web-репутации, стали единственным решением в отрасли, оценивающим каждый запрос, сделанный браузером — от первого запроса HTML до всех последующих запросов на получение данных, которые могут поступать из различных доменов. Если наличие уязвимостей и заражений подтверждается, Web-сайту тут же присваивается один из трех уровней угрозы:

зараженный и активно распространяющий вредоносные программы – сайты этой классификации заражены хакерами, на них активно работают скрипты, заражающие пользователей вредоносными программами. Доступ к таким сайтам немедленно блокируется;
зараженный – сайты этой категории подверглись одной или нескольким атакам и заражены вредоносными скриптами, однако эти скрипты пока не активированы управляющими серверами. Доступ к таким сайтам также немедленно блокируется по умолчанию;
уязвимый для заражения – эти популярные сайты с большим объемом пользовательского трафика являются объектом особого внимания и активно отслеживаются Центром анализа угроз IronPort, если в них обнаружены уязвимости или если ранее они уже подвергались заражениям и становились распространителями вредоносных программ.

На первом уровне антихакерской обороны система Web-фильтрации IronPort Web-reputation ежедневно анализирует более 5 млрд Web-транзакций и блокирует до 70% попыток распространения вредоносных программ на уровне соединений, до сканирования сигнатур. Глобальное сканирование трафика и адресов URL обеспечивает системе IronPort самый высокий в отрасли показатель распознавания вредоносных программ (на 60% выше, чем у традиционных сканеров, работающих с известными сигнатурами).