防御僵尸网站 检测URL爆发的IronPort Web过滤器

DoSTOR存储在线 3月24日报道:思科公司的下属业务部门IronPort系统公司是领先的企业电子邮件和Web安全网关提供商,该公司今天宣布其IronPort Web Reputation Filters(IronPort Web名誉过滤器)功能大大增强。尽管这些过滤器已经提供了业内最高的基于Web的恶意软件的捕获率,该公司仍为其增加了僵尸网站防御(Botsite Defense)和URL爆发检测(URL Outbreak Detection)两项特性,这一有力措施使其成为目前最为全面的Web安全产品。IronPort的S-Series Web安全网关系列和全系列的SenderBase® Network可提供这些强大的新恶意软件防御层。

WWW:疯狂的WebWild Wild Web

IronPort和思科公司的威胁分析师发现,Web逐渐成为恶意软件传播的首选途径。其结果是,企业面临着来自多种入口点的更为复杂的恶意软件威胁以及协同的跨协议攻击。

编写威胁程序的人不断寻找提高成功率的新方法,而通过合法网站传播恶意软件无疑是一种非常有效的方法。这种动态攻击的最近一次发作是在3月初,当时数百个合法网站都被用作生产僵尸的改道枢纽。IronPort的Web名誉过滤器能够辨认出改道到达何处从而能够在任何恶意软件进入网络前阻止进入请求。简单的URL过滤无法单独检测出针对合法网站的威胁,但是具有僵尸网站防御和URL爆发检测特性的IronPort的Web名誉过滤器能够识别和阻止客户连接这些受到攻击的网站。

活跃的Web页的数量超过100亿个。据业内估计,其中2%到10%的都是恶意网站,这对当今的企业来说是一个巨大的威胁。这些网站传播的恶意软件和间谍软件能够造成机密信息外泄、系统和网络中断、员工生产率下降以及客户支持成本的增加。

诸如IronPort URL爆发检测和IronPort 僵尸网站防御这种名誉过滤系统,能够帮助防御受到感染的网站和恶意软件,以及那些能够迅速变异的恶意软件。

驱逐进行欺诈的: 僵尸网站

基于网络的威胁的最快速的传播途径之一就是受到攻击的主机(即僵尸网站),它们服从来自命令以及控制网络(即僵尸网络)的指令。

恶意的僵尸网站通过自身已有的对等网络自我繁殖,通过招聘电子邮件和垃圾邮件进行传播。僵尸网络彼此协调来创建包含被感染的登陆网页的垃圾邮件;僵尸网络-网站系统是一个可重用并能够自我防御的智能恶意软件传播平台。业内评估显示,至少7%的(7500万到1亿台机器)连接到互联网的计算机都成为了某些僵尸网络-网站系统的一部分。

IronPort 系统公司营销副总裁Tom Gillis表示:"这些僵尸网络的智能化程度令人吃惊的。单一的僵尸网络能够滋生出数以千计的含有恶意软件的僵尸网站,它们在任何地方都很活跃,活跃时间从几分钟到几小时不等。对于它们惟一有效的防御办法就是Web名誉服务,这种服务能够检测潜在的欺诈手法并预先地将它们过滤出来。"

URL爆发

随着恶意僵尸网站的增加,IronPort的威胁管控中心(Threat Operations Center)注意到包含无法得到签名的新恶意软件的URL数量显著增加。这些URL大量涌现,在过去的12个月中迅速增长到了300%,而企业尚未获得有效的解决方案。

目前基于URL的威胁主要来自于充当恶意软件传播枢纽的僵尸网站、垃圾邮件URL、不安全的Web 2.0站点以及恶意广告传播网络。随着威胁的传播途径变得多协议化,IronPort大力帮助保卫企业的网络,让业务能够高效率运作,同时又可以减轻对于生产率和资源损失的担忧。

Aurora健康中心的高级企业级安全工程师Tim Sommers表示: "僵尸网络(botsites)以及相应地带来的未归类的恶意软件数量越来越大,构成一个严重的问题。随着IronPort Web名誉过滤器(Web Reputation Filters)的最新发布,我们现在有了一个解决方案,可以在能够获得签名之前帮助提供针对这类威胁的保护。"

僵尸网站防御和URL爆发检测

现有的、依赖于传统的URL过滤的解决方案效果不好,原因在于主要依靠人工分类技术。遭到感染的网站隐藏在许多良性网站类别(包括金融、娱乐和新闻网站)的背后,因此使得基于传统分类的URL过滤的防御作用效果不佳。

IronPort的URL爆发检测旨在识别并防御那些缺乏声誉和签名的URL,这些URL通常驻留在于僵尸网站上,并由僵尸网络控制。

IronPort SenderBase在业内拥有最大的电子邮件和Web流量记录之一,从而让IronPort能够迅速地检测并拦截这些新的URL爆发。对于全球Web流量的实时分析,让IronPort 威胁管控中心中的分析师能够在获得反恶意软件厂商提供的签名之前,预先发布此类URL的名誉分数。

这些最新的改进还包括安全建模技术,可针对那些以合法网站为目标的威胁提供动态保护;还包括"无时不在"的检测,从而能够追踪恶意软件攻击背后的基础架构,然后做出调整以迅速拦截。