Rubrik: Produkte/Router/Switches/Security Appliances

Web-Reputationsfilter bietet Schutz vor Botsites und URL-Angriffswellen

Schätzungsweise sind heute sieben Prozent aller Computer mit Internetzugang Teil eines Bot-Netzes

(10.04.08) - IronPort Systems hat ihre Web-Reputationsfilter für ihre Appliances um zwei wesent-liche Sicherheitsfeatures erweitert. Zum einen ist die Abwehr von so genannten Botsites - also zur Verbreitung von Malware genutzten Webseiten - verbessert worden. Zum anderen erkennen die Filter nun sehr schnell jene URLs, die zwar zu eigentlich seriösen Anbietern gehören, aber durch Hackerangriffe missbraucht werden (URL-Outbreaks). Beide Neuheiten sind ab sofort in den Lösungen der "IronPort S"-Serie sowie über das SenderBase-Netzwerk des Sicherheitsanbieters enthalten.

Von den derzeit mehr als zehn Milliarden aktiven Webseiten sind Expertenschätzungen zufolge mittlerweile zwischen zwei und zehn Prozent verseucht. Vor allem die vielfältigen Einfallstore und koordinierten Attacken auf mehreren Kommunikationsprotokollen stellen aktuell die größte Herausforderung dar. Zu den Konsequenzen gehören nicht nur der Verlust von vertraulichen Daten durch Spyware, sondern auch Systemausfälle, verminderte Arbeitsproduktivität und höhere Support-Kosten.

Ein aktuelles Beispiel für die neue Generation von web-basierten Angriffen zeigte sich Anfang März dieses Jahres: Web-User wurden beim Besuch von mehreren hundert legitimen Webseiten automatisch zu Botnetzen weitergeleitet, die Malware verbreiten. Herkömmliche URL-Filter waren in diesem Fall wirkungslos, da die URLs seriösen Anbietern gehörten. Die Web-Reputationsfilter von IronPort untersuchen hingegen, wo die Umleitung hinführt und stoppen die Verbindung zu der verseuchten Seite noch bevor die Malware ins Netzwerk gelangen kann.

Täuschungsmanöver Botsites

Einer der schnellsten Überträger von Malware sind Botsites, also gehackte oder verseuchte Webserver, die Anweisungen von Command-and-control-Netzwerken, so genannten Bot-Netzen, folgen. Jeder Computer in den Bot-Netzen erzeugt automatisch weiteren Spam, der einen Link zu der verseuchten Zielseite enthält. Damit verbreitet sich die Malware-infizierte Website quasi eigenständig und baut das Netzwerk so immer weiter aus. Schätzungsweise sind heute sieben Prozent aller Computer mit Internetzugang (etwa 75 bis 100 Millionen PCs) Teil eines solchen Botnetzes.

URL-Ausbrüche ohne Signatur

Verbunden mit der Zunahme an Botsites beobachtete das Threat Operations Center von IronPort in den letzten zwölf Monaten zudem ein 300-prozentiges Wachstum an URLs mit neuer Malware, für die es noch keine Signatur gibt. Diese URLs werden vorrangig über Botsites, URL-Spam, unsichere Web 2.0-Seiten oder bösartige Werbenetzwerke verbreitet. Angesichts der Vielfalt der Angriffs-zenarien steigt die Bedeutung der schnellen Erkennung von Botsites und URL-Outbreaks

Lösungen mit herkömmlichen URL-Filtern sind aufgrund ihrer oft manuellen Klassifikationstechniken gegen diese neuen URL-Angriffswellen unwirksam, denn die infizierten Seiten verstecken sich meist hinter unkritischen Kategorien wie Finanzen, Unterhaltung oder News. Die URL Outbreak Detection von IronPort hingegen ist speziell dazu entwickelt worden, um neue URLs ohne Reputation oder Signatur zu erkennen und abzuwehren. Das SenderBase-Netzwerk von IronPort nutzt dafür den Überblick über einen Großteil des weltweiten E-Mail- und Webverkehrs. Analysen in Echtzeit ermöglichen es dem Threat Operations Center von IronPort, frühzeitig Reputationswerte für solche URLs zu veröffentlichen - noch vor den ersten Signaturen der Anti-Malware-Anbieter. (IronPort: ra)

 

 
Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken