Как работает механизм web-репутации с cisco ironport?
DESCRIPTION
TRANSCRIPT
Web репутация Cisco IronPort
Всесторонний, проактивный подход к Web угрозам
Основные положения Сложная и динамическая экономика malware угрожает
пользователям и бизнесу финансовыми потерями и снижением репутации бренда. Технология Web репутации Cisco IronPort обеспечивает расширенную защиту от этих новых рисков, используя не имеющую равных видимость угроз и реакцию в реальном времени для отклонения атак, которые обходят традиционные механизмы защиты.
Организованные преступники методически и незаметно эксплуатируют уязвимости в вебсайтах и браузерах для того, чтобы инфицировать компьютеры, украсть ценную информацию (параметры учетных записей, номера кредитных карт и интеллектуальную собственность) и превратить корпоративные и персональные сети в невольных сообщников в распространении спама и malware. Все больше и больше распространители malware используют легитимные веб-‐узлы как стартовую точку для распространения вредоносного кода – В businessweek.com и MSNBCsports.com были части вебсайтов, использующихся для распространения malware. Хотя в настоящее время угроза с этих узлов отсутствует, пользователи могли инфицироваться просто посетив доверенные узлы. Знание сайтов, которым доверяют миллионы пользователей делает их легкой мишенью для писателей malware
Усложнение, инновации и динамическая природа таких атак часто делает традиционную защиту бесполезной. URL фильтрация и черные списки IP реактивные и не могут адекватно оценить новые или ранее нескомпрометированные сайты своевременно, а сигнатурные анализаторы часто не успевают своевременно обновлять базы из-‐за постоянных мутаций malware.
Нужен новый подход. Защита пользователей от сегодняшних web-‐угроз требует многоуровневого, целостного и интегрированного подхода, который использует несколько продвинутых методологий для оценки каждой угрозы и типов сетевого трафика. Наша лучшая защита как сообщества пользователей -‐-‐ это обмен информацией об угрозах в реальном времени, автоматизированный так, чтобы мы могли быстро заблокировать новые угрозы и закрыть окно возможностей для преступников. Технология Web репутации Cisco IronPort, которая встроена в Cisco IronPort Web Security Appliances (WSA), обнаруживает и оценивает как подозрительные структуры и вебсайты, так и скомпрометированные элементы на индивидуальных страницах.
Технология Web репутации Cisco IronPort основывается на всесторонней информации, которая обеспечивается инфраструктурой Cisco Security Intelligence Operations. Cisco SIO – это облачный сервис
безопасности, который коррелирует данные, полученные из сети Cisco SensorBase – самом большом в мире сервисе мониторинга почтового и web трафика, и продвинутых технологий, таких как быстрое, детальное сканирование каждого объекта на запрошенной веб-‐странице, вместо сканирования только URL-‐ей и первоначальных HTML запросов. Это помогает сетям существенно уменьшить уязвимости, не только для известных угроз, но также и для угроз нулевого дня и неизвестных угроз из новых вебсайтов или из легитимных, но скомпрометированных сайтов.
Введение Для писателей malware известность больше не является наградой.
При существовании зрелой, цветущей malware экономики, гораздо более ценно создавать вредоносный код, который генерирует прибыль для преступных сетей – массовые спам кампании, хищение данных, накрутки кликов и много другое.
Для того, чтобы быть успешным, malware должно быть как легко распространяемым на как можно большее количество жертв, так и трудно обнаруживаемым. Первоначально malware распространялось через электронную почту, но возможность просматривать большие присоединенные файлы, а также как буферизация, как встроенная особенность передачи электронной почты позволили сравнительно легко останавливать malware. И наоборот, Web по своей природе интерактивен, трафик передается в режиме реального времени, и угрозы, скрытые прямо в контенте сделали задачу остановки malware гораздо более сложной.
Растущая значимость веб, как механизма доставки угроз подтверждается тем фактом, что сейчас более 80% спам сообщений включают URL, которые могут перенаправить пользователей на веб-‐сервер, где располагается malware. Это соотношение даже выше для фишинговых рассылок. URL-‐и предназначены для привлечения читателей на вебсайты и вовлечения их в спорные операции или загрузки malware на их компьютеры. Обычно и спам сообщения, и вредоносные вебсайты используют комбинацию методик социальной инженерии и уязвимостей в ПО для компрометации пользователей.
Вредоносные сайты, которые специально созданы для распространения malware, это не только сайты, которые компрометируют пользователей. Хакеры часто распространяют malware через легитимные вебсайты, которые были скомпрометированы, используя дыры в безопасности веб-‐приложений.
Легитимные вебсайты, невидимые угрозы Доверенные, легитимные вебсайты являются прекрасным
механизмом распространения malware. В отличие от ботсайтов, которые специально созданы для распространения malware, легитимные сайты – это хорошо известные уважаемые узлы, которым доверяют пользователи. Их посещает большое количество пользователей и, большую часть времени, корпоративные политики разрешают к ним доступ, что делает их основными целями для онлайн-‐преступников, которые ищут способ инфицировать как можно больше пользователей.
Рис. 1. Преступники компрометируют легитимные сайты для того, чтобы
инфицировать ничего не подозревающих пользователей
Аудитор безопасности White Hat Security оценила, что более 79 процентов вебсайтов содержащих вредоносный код являются взломанными легитимными сайтами. И что еще хуже, White Hat оценила, что девять из десяти вебсайтов могут быть уязвимы для атак, из которых семь из десяти уязвимы для атак типа Cross-‐Site-‐Scripting (XSS), а один из пяти уязвимы к SQL эксплоитам.
Популярные методы атак легитимных сайтов включают в себя: • Cross-‐Site Scripting (XSS). В этом случая уязвимость в веб-‐
приложении позволяет хакерам, уязвимым сайтам или собственникам вредоносных сайтов послать вредоносный код на браузеры неподозревающих пользователей. Эти атаки часто выполняются, с помощью тегов HTML image и элементов фреймов (<img>, <frame>, <iframe>) и кода JavaScript
• SQL инъекции. Эта техника использует уязвимость безопасности на уровне базы данных широко используемых веб-‐приложений и серверов. Хакеры используют недоработку, когда данные, передаваемых в полях ввода, не проверяются на предмет допустимости входных значений (формы, имена пользователей и т.д.) на страницах, которые используют язык SQL. Хакеры получают контроль над сайтом, который они могут превратить в центр перенаправления malware.
• Использование iFrames. Как XSS, так и SQL инъекции используют гибкость HTML iFrame для того, чтобы доставить malware напрямую пользователям. iFrame, или же тег inline Frame, позволяет встроить один HTML документ (часто с другого сервера) в другой HTML документ (например – включение баннера в веб-‐страницу). iFrame – это очень популярный инструмент в интернет, но он также может использоваться для плохих целей. Хакеры просто внедряют вредоносный URL в iFrame, а CSS и JavaScript используют для манипулирования свойствами iFrame (изменение размера и расположения). Обычно хакеры устанавливали атрибуты размера iFrame в ноль или, устанавливали параметры видимости «скрытый», делая iFrame невидимым для посетителей страницы.
• Переполнение буфера. В этой уязвимости приложению посылается больше данных, чем оно может обработать, что может привести к падению приложения и к открытию различных брешей в безопасности
• Сделки по одновременной публикации онлайн-‐рекламы. Традиционные методы защиты часто не могут идентифицировать скомпрометированные веб-‐сайты, что оставляет посетителей незащищенными перед инфекцией. Посетители таких узлов обычно не могут определить, что они были скомпрометированы и что их системы загружают malware.
При событии, которые известны под названием “drive-‐by download”, загрузка malware происходит в фоне. В большинстве случаев уязвимости браузера разрешают загрузку даже без того, чтобы пользователь кликнул на линк, большинство пользователей могут даже не узнать, что они загрузили malware. Когда система полностью обновлена и бреши в системе безопасности прикрыты, эксплоит может более явно перенаправить пользователя на сайт, который спросит его загрузить обновление для какого-‐либо легитимного музыкального ПО, или даже чего-‐то, что выглядит как анти-‐malware программа.
Исследование Google, проведенное в 2008 году, посвященное загрузкам “drive-‐by” – «Все ваши iFrame ведут к нам» показало, что в исследованных миллиардах URL более чем три миллиона были инициированы загрузками drive-‐by. Дополнительно, 1.3 процента входящих поисковых запросов в Google в поисковых результатах показали как минимум один вредоносных URL.
Сегодня загружаемое malware вызывает очень большое количество угроз. Они включают в себя – adware, кейлоггеры, участие в ботнетах, хищение данных и многое другое.
Реактивная фильтрация не может вас защитить Традиционные методы защиты обычно недостаточно быстрые,
точные или всесторонние для того, чтобы оценить и защитить пользователей от новых, динамических веб-‐угроз, количество которых возрастает рекордными темпами.
Черные списки IP и решения URL фильтрации обычно закрывают только небольшой процент всех URL и IP адресов – и только известные! Кроме того, они предлагают «двоичный» вариант реагирования – опции «заблокировать/плохой» или «разрешить/хороший» для URL или же IP адресов, которые в них входят вместо того, чтобы предоставить детальную информацию о любых подозрительных URL, IP адресов или объектов – даже тех, которые не были известны до сих пор.
Даже с включенными категориями безопасности, эти решения по URL фильтрации не могут помочь с легитимными, в основном доверенными сайтами, которые превратились в хаб по распространению malware. URL-‐и этих вебсайтов доверенные и не находятся в черных списках. Соответственно, политики, созданные для предотвращения доступа пользователей к определенным узлам, не могут предотвратить пользователей от заражения на тех узлах, которые разрешены. Поскольку
многие традиционные технологии URL фильтрации рассматривают только первоначальный запрос на домен, они не могут проверить дополнительные объекты, которые требуются для того, чтобы правильно загрузить страницу, или их источники и, таким образом, не могут препятствовать вредоносному перенаправлению. Когда на странице содержится в среднем 150 объектов, традиционные методы URL фильтрации просто не «успевают»
Именно это произошло в 13 сентября 2009 года со всеми посетителями NYTimes.com; доверенный источник, который категорируется большинством URL списков как «новости». Реклама, очень похожая на легитимную (вставленная через простой объект на сайте) начала показывать всплывающее окно, предупреждающее пользователей, что их инфицировал вирус. Жертвы потом перенаправлялись на вредоносный сайт, который предлагал загрузить антивирусную программу, похожую на настоящую, которая на самом деле была трояном.
Тем временем, системы защиты от веб-‐угроз, которые основываются на поведенческом анализе с эвристикой имеют тенденцию сильно зависеть от опыта администратора. Множество подозрительных или злонамеренных действий, которые мониторятся такими решениями – модификация настроек регистра или доступ к системным ресурсам – также наблюдаются и при работе легитимных программ. В том случае только от администратора зависит, действительно ли это предупреждение является опасным. Это большая нагрузка, особенно когда некоторые наблюдаемые действия являются очень техническими или же представляют из себя действия легитимных программ. Решение, что разрешить, а что запретить в основном представляет из себя игру-‐угадайку, что приводит к большому количеству ложных срабатываний.
Для того, чтобы быть полезными в сегодняшнем мире быстро эволюционирующих, динамических веб-‐угроз, методы сетевой защиты должны быть проактивными, а не реактивными, и должны предлагать многоуровневый, интегрированный подход к безопасности. Они должны использовать несколько значений для оценки уровня доверия вебсайтов и содержимого индивидуальных веб-‐страниц, и они должны эффективно блокировать вредоносный контент в то время, как разрешать пользователям получать доступ к легитимному контенту, который им нужен. Поиск ограниченного количества типов угроз или зависимость от исторической информации – это уже недостаточно.
Проактивная защита с Web репутацией Cisco IronPort Технология Web репутации Cisco IronPort использует технологии
системой оценки и глубоко детальные возможности сканирования объектов для предоставления пользователям своевременных, точных предупреждений об угрозах. Репутационные Web фильтры также используют инфраструктуру Cisco Security Intelligence Operations (SIO), облачный сервис безопасности, который поддерживается Cisco Threat Operations Center. Cisco SIO коррелирует данные, которые он получает из SensorBase, самой большой в мире сети мониторинга угроз, и предоставляет в Cisco TOC более 500 Гбайт данных об угрозах ежедневно, с
30 млрд индивидуальных запросов устройств, которые устройства делают прямо в SensorBase.
Рис. 2. Cisco Security Intelligence Operations обеспечивает высочайший уровень
корреляции угроз, позволяя пользователям с уверенностью и безопасностью взаимодействовать друг с другом
Для измерения уровня доверия, или же репутации каждого активного веб-‐сервера в интернет, Cisco SensorBase отслеживает более 200 различных параметров, которые относятся в веб, IPS, firewall и трафику email.
Интегрированные возможности по мониторингу разных видов трафика позволяют решениям безопасности Cisco быстро проанализировать активность, репутацию и потенциально злоумышленные намерения вебсайтов, даже если они никогда раньше не были связаны с malware. В дополнение, фильтры Web репутации получают преимущество от данных, которые просматриваются сервисами безопасности глобальной сети Cisco и непревзойденной возможность просмотра интернет-‐трафика и тенденций
Как часть многоуровневого, всеобъемлющего подхода к веб-‐угрозам, Cisco SIO также мониторит веб на предмет ново созданных или
модифицированных URL, получает URL потоки от тщательно проверенных источников, которые идентифицируют URL, связанные с malware, spyware, фармингом, фишингом и спамом. На запрашивающей стороне репутационные фильтры Cisco IronPort включают Cisco IronPort Outbreak фильтрацию и фильтрацию эксплоитов, которые поддерживаются SensorBase, На отвечающей стороне решения Cisco IronPort используют мультивендорное, сигнатурное сканирование анти-‐malware
Рис. 3. Проактивная защита. Процесс фильтрации Cisco IronPort Web репутации.
Всесторонний подход
Использование параметров сетевого уровня для определения Web репутации
Анализ данных, даже элементов, которые наиболее сложны для манипулирования, может много что рассказать о уровне доверия URL. Анализ данных может определить, как давно был зарегистрирован домен, был ли он зарегистрирован автоматически или вручную, кто его владелец, был ли он когда-‐либо ассоциирован с IP адресом, связанным с веб-‐угрозой, является ли адрес статическим или же динамическим, в какой стране хостится вебсайт и многое другое.
Web репутационные фильтры Cisco IronPort получают данные из сети Cisco SensorBase. SensorBase отслеживает более 200 разных параметров, которые являются прекрасными индикаторами репутации URL, IP адреса или веб-‐объекта. Использование сложное моделирование безопасности и агенты, обнаруживающие malware, технология Cisco IronPort оценивает элементы страницы и создает точную картину ее уровня доверия. Некоторые параметры включают:
• Поведенческий анализ контента • Наличие загружаемого кода • Наличие сложных, скрытых пользовательских соглашений
(EULA) • Общий объем трафика и история его изменения
• Информация о собственнике сети • История URL • Возраст URL • Наличие в черных списках вирусов, спама, spyware, фишинга,
фарминга • Наличие в белых списках вирусов, спама, spyware, фишинга,
фарминга • URL, которые содержат опечатки имен популярных доменов • Информация о регистраторе • Информация об IP адресе
Рис. 4. Значение Web репутации. Сложные алгоритмы анализируют и коррелируют
угрозы с помощью более 200 параметров для того, чтобы точно оценить риск malware для Web объекта. С помощью этих данных генерируется динамическое значение от -‐10 до +10
Технология Cisco IronPort Web репутации использует следующий процесс для вычисления репутации URL
1. Через глобальную корреляцию. Cisco SIO использует технологии моделирования безопасности, которые связывают атрибуты вверху для определения, с какой вероятностью URL и веб-‐объекты, которые связаны с определенными атрибутами, аффилированы с malware. В зависимости от этой вероятности соответствующий весовой коэффициент помещается к каждому из этих атрибутов.
2. Используя более чем 200 сетевых атрибутов, Cisco SIO оценивает элементы страницы для определения общей вероятности того, что она содержит malware
3. Агрегированная вероятность того, что страница содержит malware привязывается к значению репутации от -‐10 до +10, где -‐10 наиболее вероятное значение, а +10 наименее вероятное.
Оценка множества параметров предлагает глубокую оценку Большинство приложений, которые определяют malware (включая
решения по URL фильтрации) зависят от ручной оценки и определения и могут предложить только двоичный уровень категоризации «хороший/плохой». Но, поскольку репутационные фильтры Cisco IronPort Web анализируют широкий набор данных, они выдают намного более детальное значение от -‐10 до +10
Это дает администраторам намного большую гибкость, что позволяет им внедрить разные политики безопасности (расшифровка, сканировать дальше) на основе значений web-‐репутации. Вместо того, чтобы пытаться создать политики доступа на основе ограниченного двоичного «хороший/плохой» значения, администраторы могут использовать детальное значение репутации. Это позволяет пользователям сети получить доступ к нужному веб-‐контенту без ненужных ограничений, однако с полной защитой от новых угроз.
Сканирование всех объектов на странице защищает от динамических угроз
В отличие от традиционных решений URL безопасности, Web фильтры безопасности Cisco IronPort проверяют каждый запрос, который делается браузером. Вместо того, чтобы просто просматривать первоначальный HTML запрос, они также анализируют все последующие запросы данных, рассматривая каждый элемент на странице и его источники – включая живые данные (JavaScript, реклама, виджеты), которые могут получать данные из разных доменов. Это позволяет фильтрам Web репутации дать пользователям намного более точную оценку и заблокировать веб-‐контент на более детальном уровне, чем это можно сделать в решениях URL фильтрации и черных списках IP
Рис. 5. Web репутационные фильтры Cisco IronPort обеспечивают обзор намного
дальше первоначальной угрозы.
Ведущие технологии безопасности и защиты Web репутационные фильтры Cisco IronPort блокируют до 70
процентов malware на уровне соединения, еще до сигнатурного сканирования. Использование целостного, многоуровневого подхода – объединение всесторонней репутационной оценки с глубоким сканированием позволяет обеспечить Cisco уровень обнаружения malware на 60% больше, чем на отдельных сигнатурных сканерах.
В добавление, система Cisco IronPort Web репутации это единственная репутационная система, которая включает в себя защиту от
ботсайтов(botsite defense), обнаружение URL outbreak (URL outbreak detection) и фильтрацию эксплоитов Web 2.0 (Web 2.0 exploit filtering)
Защита от ботсайтов использует эвристические и поведенческие алгоритмы для точной идентификации вебсайтов, которые хостятся на бот-‐сетях. Поскольку большинство новых атак malware (например – поддельные сканеры spyware; спам, собирающий номера карт, фишинговые атаки) управляются и направляются ботнетами, эта выделенная система обнаружения, которая изолирует ботсайты, помогает репутационным фильтрам Cisco IronPort защитить пользователей до того, как произойдет атака. Как только мы обнаруживаем активный код, фильтр использует sandbox эмуляцию для того, чтобы выполнить код в безопасной защищенной среде и определения malware, если оно было скрыто.
18 марта 2008 года атака iFrame на спортивный сайт MSNBC показала эффективность системы защиты от ботсайтов. iFrame, который вел на злонамеренный файл JavaScript, перенаправлял на IP адрес, который принадлежал к web серверу, который ранее хостил malware из Intercage и Russian Business Network. С помощью botsite defense, репутационные фильтры Cisco IronPort заблокировали ботсайт за пять дней перед атакой.
Обнаружение URL outbreak. Эта система использует Cisco IronPort Outbreak фильтры для идентификации и блокирования malware, распространяемого через URL, у которого еще нет репутации или сигнатуры. Это malware обычно хостится на ботсайте и контролируется ботнетом.
Линк URL outbreak веден прямо к злонамеренным файлом. Пользователь никогда не направляется на вебсайт – вместо этого, только один клик, при котором пользователь думает, что он посещает сайт, устанавливает автоматически malware файл. Cisco Threat Operations Centers мониторит такие ссылки 24х7х365 и имеет возможность распространять наборы правил за 13 часов перед появлением сигнатур
Фильтрация эксплоитов Web 2.0 позволяет защититься от последней угрозы – доверенные вебсайты, которые были скомпрометированы для того, чтобы распространять malware или фишинговые атаки с помощью технологий cross-‐site scripting, SQL инъекции или невидимые iFrame. Использование облачного сканирования в режиме реального времени с помощью Cisco SensorBase, фильтры эксплоитов проактивно проверяют контент и группируют скомпрометированные узлы в три группы – опасный, скомпрометированный и уязвимый.
Рис. 6. С фильтрацией эксплоитов Cisco предлагает защиту от одной из самых
опасных невидимых угроз -‐-‐ атака malware с легитимных сайтов.
Опасный. Эти вебсайты активно обслуживают malware или содержат внедренные злонамеренные скрипты. Они немедленно блокируются.
Скомпрометированный. Эти узлы содержат злонамеренный скрипт, но он не был активирован бот-‐сетью или же командным сервером, который ответственен за распространение malware. Эти узлы тоже автоматически блокируются.
Уязвимый. Эти популярные веб-‐узлы с высоким трафиком показывают уязвимость общеизвестным эксплоитам или же ранее были связаны с распространением malware. Они помещаются под круглосуточный мониторинг для того, чтобы гарантировать постоянную защиту для всех пользователей Cisco IronPort Web Reputiation
Cisco IronPort Web Security Appliance объединяет традиционную URL фильтрацию с расширенной Web репутационной фильтрацией Cisco IronPort и сканированием malware на одной аппаратной платформе для
того, чтобы проактивно бороться с динамическими и сложными веб-‐угрозами. После веб-‐фильтрации Web Security Appliance использует расширенный механизм сканирования – Cisco IronPort Dynamic Vectoring and Streaming engine и несколько сигнатурных баз в качестве второй линии обороны. Вместе с эвристическим сканированием, которое предлагается McAfee, Web Security Appliance также сканирует трафик с помощью сигнатурных сканеров Webroot, Sophos и McAfee. Сигнатурное сканирование обеспечивает полную проверку контента и обнаруживает и блокирует все остальные виды malware.
Механизм Cisco IronPort DVS запускает все сигнатурные сканеры в одновременную параллельную работу, что увеличивает уровень обнаружения еще на 35 процентов. Предыдущие технологии сканирования делали мультивендорное сканирование практически невозможным из-‐за ограничений в производительности и задержке. Cisco IronPort DVS убирает это ограничение, с помощью технологий увеличения производительности, таких как потоковое сканирование, алгоритмы раннего выхода, кеширование репутационного вердикта и быстрый просмотр и сканирование объекта. Эта стратегия позволила Cisco предложить один Web Security Appliance, который интегрирует несколько сигнатурных баз данных, которые могут использоваться как одновременно, так и по отдельности для того, чтобы обеспечить высочайший уровень защиты от угроз.
Заключение В последнее десятилетие ландшафт угроз кардинально изменился.
Писатели malware сейчас атакуют пользователей с намерением получения их персональной информации. Такие объекты, как номера кредитных карт, пароли, информация о банковских счетах используется для получения финансовой выгоды.
Когда-‐то источники атак были в какой-‐то мере предсказуемы и менее сложны для остановки. Но сегодняшние угрозы malware часто неизвестны. Простой клик на результат поиска или просмотр хорошо известного вебсайта может оказаться достаточным для того, чтобы инфицировать машину.
Malware писатели создают все более и более хорошо выглядящие сайты. Более того, они все чаще распространяют malware через скомпрометированные легитимные вебсайты. Эти сайты доверенные, или же они раньше не были известны как нарушители, традиционные системы URL фильтрации не могут справится с защитой пользователей. Сами по себе сканеры malware тоже не могут предложить адекватную защиту, если новое malware еще не было идентифицировано сигнатурой от вендоров безопасности
Обеспечение доступа пользователей к ценным веб-‐ресурсам, в то время как защита их от постоянно эволюционирующих веб-‐угроз требует всестороннего, интегрированного подхода. Решение, которое смотрит на больше, чем традиционные URL черные и белые списки, проверяет каждый элемент страницы (а не только первоначальный URL) из первоначального запроса, рассматривает индивидуально каждый элемент страницы и его
источники индивидуально, включая живые данные (JavaScript, реклама, виджеты), которые могут получать данные из разных доменов.
Cisco IronPort предлагает расширенные технологии оценки трафика и детальные возможности сканирование объектов для того, чтобы дать пользователям своевременные и точные предупреждения об угрозах. Фильтры Web репутации Cisco IronPort используют инфраструктуру Cisco SIO, облачный сервис безопасности, который поддерживается Cisco Threat Operations Center. Cisco SIO коррелирует данные, которые он получает из Cisco SensorBase – самой большой в мире сети мониторинга угроз.
Используя эту глубокую, широкую коллекцию данных об угрозах трафика web, email, firewall, IPS, технология Web репутации Cisco IronPort может быстро обнаружить вредоносные экземпляры кода и атаки. Этот целостный, интегрированный, многоуровневый подход защищает заказчиков от веб-‐угроз сегодня и завтра.