Sistema anti-malware web gateway

I pericoli che oggi minacciano i sistemi informatici, trasmessi via Internet, sono sempre più complessi ed includono spyware e codice dannoso sconosciuto. Gli attacchi utilizzano prevalentemente contenuto attivo (le pagine WEB), come applet Java, VBScript, JavaScript e file eseguibili. Le applicazioni malware (dannose) più elaborate non lasciano "tracce" a livello di rete o dati sufficienti per individuarle. Inoltre, i moderni hacker conoscono bene i sistemi di protezione tradizionali (firewall e software antivirus e sistemi di prevenzione/rilevamento delle intrusioni) e creano codice dannoso in grado di "aggirare" tali sistemi.

Nuovi codici dannosi, a rapidissima diffusione (attacchi evasivi, dynamic cmode obfuscation, Web 2.0/AJAX Exploits), possono infettare reti e sistemi nel giro di pochi istanti, senza essere identificati dai sistemi di rilevamento e prevenzione delle intrusioni e, molto prima che sia possibile aggiornare una soluzione antivirus basata su firme (conosciuta con il nome di Signature) o installare un'apposita patch software.

Come funziona la tecnologia di analisi dei contenuti di M86 Security?

Quando il contenuto web viene processato dal motore M86 Secure Web Gateway di scansione in tempo reale, l'analisi avviene secondo i seguenti passaggi logici:

1. rilevazione del vero tipo di contenuto è usato per individuare i diversi tipi di contenuti. L’algoritmo di rilevamento del tipo può identificare variazioni di tipo file, tipi di file “spoofed”, eseguibili archiviati, script codificati, etc ...
2. rilevamento e la decodificazione di codice offuscato, una tecnica spesso utilizzata per "aggirare" gli scanner di sicurezza
3. suddividisione del codice HTML in componenti (comandi HTML, sezioni di testo, CSS, URL, script, attivazione di oggetti esterni, ecc)
4. scansione di ogni componente attivo nel contesto di un motore specializzato ad analizzare quel tipo (Java, ActiveX, Script, HTML, CSS, etc...)
5. creazione di un profilo comportamentale che definisca il comportamento operativo dei componenti di codice attivo
6. confronto del profilo comportamentale con un elenco di profili di sicurezza, e se si tratta di una violazione di uno di essi, viene bloccato
7. eliminazione, in caso di blocco, della parte maligna e proporre la pagina web con più funzionalità possibili

Sulla base di questi principi di funzionamento, il motore di scansione di M86 Secure Web Gateway non è influenzato da variazioni di programma, ad esempio cambi di nomi degli oggetti e variabili negli script, chiamate incrociate tra gli script e sequenze di chiamata alternate.

Per accelerare ulteriormente il processo di scansione, il motore di M86 Secure Web Gateway mantiene un’unica chiave calcolata che identifica ogni oggetto attivo nel codice e memorizza il profilo del comportamento dell’oggetto del codice attivo indicizzato con quella chiave. Quindi, quando la stessa sequenza di codice attivo sarà esaminata di nuovo dallo scanner, sarà utilizzato il suo profilo di comportamento memorizzato.

M86 Secure Web Gateway offre la più completa soluzione di protezione attualmente disponibile sul mercato, che integra la tecnologia brevettata basata sull'analisi del comportamento e i motori Vulnerability Anti.Dote e Anti-Spyware con motori Anti-Virus (Kasperski – McAfee – Sophos) e di URL filtering all'avanguardia (Websense - IBM Proventia - M86 Security). Le soluzioni M86 Security rappresentano la più efficace difesa contro le minacce che arrivano da Internet e consentono alle aziende di avvalersi di tutti i vantaggi commerciali offerti dal Web riducendo al minimo i rischi associati agli attacchi di applicazioni malware. La soluzione di protezione di M86 Secure Web Gateway basata sull'analisi del comportamento rappresenta una novità assoluta in quanto riesce a stabilire se il contenuto attivo è conforme ai criteri di protezione di un'azienda, proteggendo i sistemi online e consentendo all'azienda di svolgere le proprie attività in modo normale.

Soluzione per Cloud (Ibride)

M86 Cloud Secure Web Service Hybrid è una soluzione ibrida che combina policy definite localmente e scanner su cloud. Questo permette alle aziende di godere il meglio delle due architetture: politicy di gestione centralizzate su appliance in sede e scanner sulla cloud che lavorano in sincronia, gestiti attraverso una console centrale. Questo garantisce policy consistenti, indipendentemente da dove risiede l’utente, e un sistema di reportistica aggregato.

M86 Cloud Secure Web Service Hybrid utilizza sia una tecnologia di ispezione dei contenuti web in tempo reale sia una componente di rilevamento delle minacce zero-day brevettati. Crimeware, attacchi di Web 2.0, Spyware, Trojan e altre minacce sono bloccate in tempo reale, prima che abbiano la possibilità di infettare i computer portatili e i desktop della sede.

Caratteristiche e benefici:

• gestione centralizzata delle policy
• opzioni flessibili di implementazione
• scalabilità immediata
• riservatezza dei dati e la conformità normativa: i dati riservati restano entro i confini aziendali
• report unificati e consolidati
• utilizzo dell’infrastruttura web services di Amazon

Differenze e vantaggi rispetto alle soluzioni tradizionali

1 Anti-Virus. Le soluzioni anti-virus sono reattive in natura e, come tali, sono principalmente efficaci contro minacce note. Tuttavia, queste soluzioni sono impotenti contro gli attacchi odierni di obfuscated code e zero-day, che possono utilizzare più tecnologie e diversi modi di attacco. Inoltre, oggi gli hacker provano il loro codice dannoso contro prodotti antivirus prima di rilasciarlo, per essere sicuri che non verranno individuati. Le Soluzioni anti-virus tradizionali bloccano i virus ed i worm noti confrontando il contenuto con il data base delle signature, che devono essere aggiornati ogni volta che viene scoperto un nuovo virus. Data la velocità della diffusione dei virus, le imprese sono consapevoli di avere una protezione limitata rispetto ai nuovi attacchi fino a quando il fornitore di anti-virus non crea una patch (o signature) ed aggiorna il database dell'antivirus .

2 Reputational Database. La tecnologia del Reputational Databases è uno dei più recenti sviluppi nel settore della sicurezza. La tecnologia utilizza uno "spider" che automaticamente visita i siti web e ne identifica i suoi contenuti. Tuttavia, come le altre soluzioni basate su databases, l’analisi della reputazione mostra il problema fondamentale: il volume di dati. Molte aziende di URL filtering stanno promuovendo ora il loro Reputational Database e affermano che visitano fino a 80 milioni di URL in un giorno. Per dirla in questa prospettiva, tuttavia, Gartner ha recentemente affermato che la durata media di un attacco di phishing è di soli 20 minuti (prima che gli stessi autori lo rimuovano dal sito web per ridurre il rischio di essere scoperti). Considerando la massima capacità di scansione attualmente esistente, la tecnologia è solo capace di analizzare 1’111’111 siti, o l’1,38% degli 80 milioni di siti web nella finestra disponibile di 20 minuti. Ciò significa che c’è la possibilità del 98,61 % di non identificare il malware.

3 Firewall. I firewall tradizionalmente operano ai Livelli 2, 3 e 4 del modello OSI ed isolano efficacemente le reti aziendali da Internet, così come nascondono gli indirizzi IP e proteggono le porte dal mondo esterno. Mentre i firewall sono ancora molto utili per la prevenzione delle intrusioni e per il controllo degli accessi, non sono più efficaci per la prevenzione del codice dannoso. Questo perché oggi le minacce, come Spyware e Phishing, entrano nella rete tramite la porta 80 (HTTP) e la porta 443 (HTTPS), che sono lasciate aperte nel firewall. Nella maggior parte delle organizzazioni queste porte non possono essere chiuse senza ostacolare gravemente la produttività degli utenti. Il Firewall può bloccare o aprire una certa porta, ma non può ispezionare il contenuto che ci passa attraverso. Anche le email aprono la porta a numerose minacce e la combinazione di web e email è molto sfruttata da vari tipi di minacce, come il phishing.

4 IDS/IPS. I prodotti di Intrusion Detection System (IDS) sono stati progettati per individuare le situazioni in cui la rete è già stata infettata, attraverso l'individuazione di modelli di comportamento del traffico di rete (di un Computer o un gruppo di computer), che possono indicare la diffusione di un worm od altre anomalie. Quando questo accade, l’IDS controlla i danni e taglia il traffico di rete, isolando il gruppo di computer infetti ed avvisando l'amministratore, con conseguente disagi agli utenti. Gli Intrusion Prevention Systems (IPS) e simili soluzioni "intelligenti di filtraggio dei pacchetti" solitamente operano al livello 2 e 4 del modello OSI e tentano di individuare dei modelli di comunicazione (ad esempio, velocità di trasmissione) dei pacchetti che entrano nella rete, piuttosto che analizzare il codice che entra in rete. Il problema è che gli attacchi più sofisticati non possono essere identificati a livello di singolo pacchetto. Inoltre, gli IPS non sono efficaci contro le tecniche di social engineering che chiedono agli utenti di cliccare su "OK" per installare malware senza che loro lo sappiano.

5 Tecnologie Euristiche. Le tecnologie euristiche rilevano le infezioni guardando la struttura globale di un programma, le sue istruzioni al computer ed altri dati contenuti nel file. La scansione euristica poi fa una valutazione del rischio che il programma sia dannoso basata sulla logica dell’intento apparente. Spesso gli anti-virus utilizzano il metodo euristico per individuare varianti di virus conosciuti. Tuttavia, dal momento che questi schemi non rispettano effettivamente la piena esecuzione del software analizzato, spesso non riescono ad individuare le nuove infezioni; ci sono semplicemente troppi modi per oscurare il codice dannoso e, spesso, l'unico modo per scoprire che il contenuto è dannoso è quello di vederlo funzionare in tempo reale. Questo metodo causa un elevato tasso di falsi positivi. Al contrario, l’analisi comportamentale di M86 Secure Web Gateway è in grado di ridurre al minimo l’overblocking, riducendo i falsi positivi e quindi anche il costo di gestione della soluzione.