Navigazione Internet Sicura PDF Stampa E-mail

Le soluzioni di protezione tradizionali per Internet, ad esempio software antivirus, sistemi di rilevamento e prevenzione delle intrusioni, sistemi basati sull'euristica e firewall, non sono in grado di prevenire attacchi sempre più complessi.

I pericoli che oggi minacciano i sistemi informatici, trasmessi via Internet, sono sempre più complessi e includono spyware e codice dannoso sconosciuto. Gli attacchi utilizzano prevalentemente contenuto attivo (le pagine WEB), come applet Java, VBScript, JavaScript e file eseguibili. Le applicazioni malware (dannose) più elaborate non lasciano "tracce" a livello di rete o dati sufficienti per individuarle. Inoltre, i moderni hacker conoscono bene i sistemi di protezione tradizionali (firewall e software antivirus e sistemi di prevenzione/rilevamento delle intrusioni) e creano codice dannoso in grado di "aggirare" tali sistemi.

Nuovi codici dannosi, a rapidissima diffusione (attacchi evasivi, dynamic cmode obfuscation, Web 2.0/AJAX Exploits), possono infettare reti e sistemi nel giro di pochi istanti, senza essere identificati dai sistemi di rilevamento e prevenzione delle intrusioni e, molto prima che sia possibile aggiornare una soluzione antivirus basata su firme (conosciuta con il nome di Signature) o installare un'apposita patch software.

Come funziona la tecnologia di analisi dei contenuti di M86 Security?

Quando il contenuto web viene processato dal motore M86 Security di scansione in tempo reale, l'analisi avviene secondo i seguenti passaggi logici:

  1. la rilevazione del vero tipo di contenuto è usato per individuare i diversi tipi di contenuti. L’algoritmo di rilevamento del tipo può identificare variazioni di tipo file, tipi di file “spoofed”, eseguibili archiviati, script codificati, etc ...
  2. rilevamento e la decodificazione di codice offuscato, una tecnica spesso utilizzata per "aggirare" gli scanner di sicurezza
  3. suddividere il codice HTML in componenti (comandi HTML, sezioni di testo, Fogli stile, URL, script, attivazione di oggetti esterni, ecc)
  4. scansione di ogni componente attivo nel contesto di un motore specializzato ad analizzare quel tipo (Java, ActiveX, Script, HTML, CSS, etc...)
  5. creazione di un profilo comportamentale che definisca il comportamento operativo dei componenti di codice attivo
  6. confrontando il profilo comportamentale con un elenco di profili di sicurezza, e se si tratta di una violazione di uno di essi, viene bloccato
  7. in caso di blocco, si prova a eliminare la parte maligna e proporre la pagina web con più funzionalità possibili

Sulla base di questi principi di funzionamento, il motore di scansione di M86 Security non è influenzato da variazioni di programma, ad esempio cambi di nomi degli oggetti e variabili negli script, chiamate incrociate tra gli script e sequenze di chiamata alternate.

Per accelerare ulteriormente il processo di scansione, il motore di M86 Security mantiene un’unica chiave calcolata che identifica ogni oggetto attivo nel codice, e memorizza il profilo del comportamento dell’oggetto del codice attivo indicizzato con quella chiave. Quindi, quando lo stesso pezzo di codice attivo sarà esaminato di nuovo dallo scanner, il suo profilo di comportamento memorizzato sarà utilizzato

M86 Security offre la più completa soluzione di protezione attualmente disponibile sul mercato, che integra la tecnologia brevettata basata sull'analisi del comportamento e i motori Vulnerability Anti.Dote e Anti-Spyware con motori Anti-Virus e di URL filtering all'avanguardia (Kasperski – Mcafee – Sophos – Websense - IBM Proventia). Le soluzioni M86 Security rappresentano la più efficace difesa contro le minacce che arrivano da Internet e consentono alle aziende di avvalersi di tutti i vantaggi commerciali offerti dal Web riducendo al minimo i rischi associati agli attacchi di applicazioni malware.
La soluzione di protezione di M86 Security basata sull'analisi del comportamento rappresenta una novità assoluta in quanto riesce a stabilire se il contenuto attivo è conforme ai criteri di protezione di un'azienda, proteggendo i sistemi online e consentendo all'azienda di svolgere le proprie attività in modo normale.

Differenze e vantaggi rispetto ad altre soluzioni

Anti-Virus

Le soluzioni Anti-virus sono reattive in natura e, come tali, sono principalmente efficaci contro minacce note. Tuttavia, queste soluzioni sono impotenti contro gli attacchi odierni di obfuscated code e zero-day, che possono utilizzare più tecnologie, fasi modi di attacco.
Inoltre, oggi gli hacker provano il loro codice dannoso contro prodotti antivirus prima di rilasciarlo, per essere sicuri che non verranno individuati. Le Soluzioni anti-virus tradizionali bloccano i virus e worm noti confrontando il contenuto con il data base delle signature, che devono essere aggiornati ogni volta che viene scoperto un nuovo virus.
Data la velocità della diffusione di virus, le imprese sanno di avere una protezione limitata ai nuovi attacchi fino a quando il fornitore di antivirus, crea una patch (o signature), e che offre patch per il prodotto antivirus database.

Reputational Database

La tecnologia del Reputational Databases è uno dei più recenti sviluppi nel settore della sicurezza.
La tecnologia utilizza una "spider" che automaticamente visita i siti web, e identificare i suoi contenuti. Tuttavia, come le altre soluzioni basate su Databases, l’analisi della reputazione mostra il problema fondamentale: il volume di dati.
Molte aziende di URL filtering stanno promuovendo ora il loro Reputational database, e affermano che visitano fino a 80 milioni di URL in un giorno.
Per dirla in questa prospettiva, tuttavia, Gartner ha recentemente affermato che la durata media di un attacco di phishing, è di soli 20 minuti (prima che gli stessi autori lo rimuovono dal sito web per ridurre il rischio di essere scoperti).
Considerando la massima capacità di scansione attualmente esistente, la tecnologia è solo capace di analizzare 1’111’111 siti, o l’1,38% degli 80 milioni di siti web nella finestra disponibile di 20 minuti. Ciò significa che c’è la possibilità del 98,61 % di non vedere che il malware.

Firewall

I firewall tradizionalmente operano ai Livelli 2, 3 e 4 del modello OSI e isolano efficacemente le reti aziendali da Internet, così come nascondono gli indirizzi IP e proteggono le porte dal mondo esterno. Mentre i firewall sono ancora molto utili per la prevenzione delle intrusioni e per il controllo degli accessi, non sono più efficaci per la prevenzione del codice dannoso. Questo perché oggi le minacce, come Spyware e Phishing, entrano nella rete tramite la porta 80 (HTTP) e la porta 443 (HTTPS), che sono lasciate aperte nel firewall.
Nella maggior parte delle organizzazioni queste porte non possono essere chiuse senza ostacolare gravemente la produttività degli utenti. Il Firewall può bloccare o aprire una certa porta, ma non può ispezionare il contenuto che ci passa attraverso.
Anche le Email aprono la porta a numerose minacce, e la combinazione di Web e email è molto sfruttata da vari tipi di minacce, come il phishing.

IDS/IPS

I prodotti di Intrusion Detection System (IDS) sono stati progettati per individuare le situazioni in cui la rete è già stata infettata, attraverso l'individuazione di modelli di comportamento del traffico di rete (di un Computer o un gruppo di computer), che possono indicare la diffusione di un worm o altre anomalie.
Quando questo accade, l’IDS controlla i danni e taglia il traffico di rete, isolando il gruppo di computer infetti e avvisando l'amministratore, con conseguente disagi agli utenti.
Gli Intrusion Prevention Systems (IPS) e simili soluzioni "intelligenti di filtraggio dei pacchetti" solitamente operano al Livello 2 a 4 del modello OSI, e tentano di individuare dei modelli di comunicazione (ad esempio, velocità di trasmissione) dei pacchetti che entrano nella rete, piuttosto
che analizzare il codice che entra in rete.
Il problema è che gli attacchi più sofisticati non possono essere identificati a livello di singolo pacchetto. Inoltre, gli IPS non sono efficaci contro le tecniche di social engineering che chiedono agli utenti di cliccare su "OK" per installare malware senza che loro lo sappiano.

Tecnologie Euristiche

Le tecnologie Euristiche rilevano le infezioni guardando la struttura globale di un programma, le sue istruzioni al computer e altri dati contenuti nel file. La scansione euristica poi fa una valutazione del rischio che il programma sia dannoso basata sulla logica dell’intento apparente.
Spesso gli anti-virus utilizzano il metodo euristico per individuare varianti di virus conosciuti. Tuttavia, dal momento che questi schemi non rispettano effettivamente la piena esecuzione del software analizzato, spesso non riescono a individuare le nuove infezioni; ci sono semplicemente troppi modi per oscurare il codice dannoso e, spesso, l'unico modo per scoprire che il contenuto è dannoso è quello di vederlo funzionare in tempo reale. Questo metodo causa un elevato tasso di falsi positivi.
Al contrario, l’analisi comportamentale di M86 Security è in grado di ridurre al minimo l’overblocking, riducendo i falsi positivi e quindi anche il costo di gestione della soluzione.

Attachments:
FileFile size
Download this file (DS_M86_Secure_Web_Gateway.pdf)DS_M86_Secure_Web_Gateway.pdf432 Kb
Download this file (How_does_Vital_Security_Web_Appliance_Differ_Apr09.pdf)How does Vital Security Web Appliance Differ609 Kb
 

Footer

Validates to XHTML 1.0 and CSS 3 - webmaster@siledo.com
Copyright © 2010 Siledo Consulting sa - Privacy Policy del sito