20070910d Ironport Reputationsfilter

 Home | News | Hefte | Mediadaten | Online-Artikel | Kommentare | Trends | Wir-ueber-uns | Tipps | Impressum | CeBIT 2012

 

Home
News
Trends
Hefte
Online-Artikel
Kommentare
Service-Angebote
Feedback
Abonnement
Wir-ueber-uns
Tipps
Impressum
Veranstaltungen

»manage it« als

 E-Paper  11-12 2011
E-Paper  9-10 2011
E-Paper  5-6 2011
E-Paper  3-4 2011
E-Paper  1-2 2011
E-Paper  11-12 2010
 E-Paper  9-10 2010
 E-Paper  7-8 2010
 E-Paper  5-6 2010
 

 

 

 

 

 

 

 

 

Reputationsfilter überprüft Seriosität von IP-Adressen

Malware am Gateway ausgebremst

Die Intensität und Häufigkeit der Virenangriffe in Unternehmen nimmt spürbar zu – so lautet das Ergebnis der Studie »Sicherheitscheck 2007« herausgegeben von Secunet Security Networks. Mehr als die Hälfte der befragten Sicherheitsverantwortlichen gab an, dass Schadensfälle durch Malware im Vergleich zum Vorjahr deutlich angestiegen sind. Für derartige Bedrohungen bietet das neuartige Verfahren der Web-Reputation eine Gegenwehr. Ziel ist es, die Seriösität eines Weblinks genau einzuschätzen, indem das Verhalten von IP-Adressen mittels verschiedener Parameter überprüft wird.

 

N

eben der Zahl von Viren-Attacken steigt vor allem ihr Schadenspotenzial stetig. Ein Beispiel hierfür sind die sogenannten Blended Threats – eine Kombination aus E-Mails, schädlichen Web-Inhalten und Spyware. Die Virenschreiber nutzen diese gemischten Attacken um Endnutzer auf infizierte Internetseiten zu lenken. Dazu werden gefährliche Weblinks in sonst völlig harmlose Anhänge von E-Mail-Nachrichten eingebunden. Immer häufiger überschwemmt auch sogenannter Image-Spam, bei dem Werbebotschaften über Bilddateien vermittelt werden, den Posteingang. Diese Art von Botschaften umgeht herkömmliche Spam-Filter dadurch, dass sich die Bilder automatisch variieren lassen. Ein Ausfiltern durch Signaturen wird dadurch nahezu unmöglich. Der gegenwärtig neueste Trend ist Image-Spam in Form von harmlos wirkenden PDF-Dateien, sogenanntem PDF-Spam.

Angesichts derartiger Bedrohungen bieten herkömmliche Malware-Filter keinen ausreichenden Schutz, denn sie überprüfen in erster Linie den Inhalt – und bieten somit keinen ausreichenden Schutz vor Spam, Phishing und Spyware. Denn Virenschreiber haben eine Vielzahl an Techniken entwickelt, um die Filter auszutricksen – durch Blocks, die an simple Texte angehängt werden (Bayesian Buster) oder auch das Verwenden von Zahlen statt Buchstaben (etwa L0ve).

Einen anderen Ansatz bietet die von Iron Port entwickelte Technologie der Web-Reputation: Sie analysiert sowohl den Inhalt als auch die Zusammensetzung eines Threats, dessen Herkunft und Absender. Der Reputationsdienst untersucht das Verhalten einer IP-Adresse mit statistischen Messungen. Die Ergebnisse sind in vielen Fällen bereits verfügbar, wenn der Angriff gerade erst beginnt. Für Unternehmen bietet das reputationsbasierte Verfahren damit sowohl auf Netzwerk- als auch auf Applikationsebene eine frühzeitigere Abwehr von Spyware-Angriffen als andere Technologien.

Angriff erkannt und abgewehrt

Der in eine Sicherheits-Appliance integrierte Web-Reputationsfilter fungiert als äußerer Schutzwall, denn Spyware kommt in der Regel von wenig vertrauenswürdigen Web-Servern mit ungewöhnlichen Verkehrsströmen oder einem ungewöhnlichen Netzwerkverhalten. Der Reputationsdienst analysiert den Webverkehr sowie das Verhalten von Web-Servern und bewertet aufgrund der dabei gewonnenen Informationen deren Seriösität. Der Filter hinterfragt zum Beispiel, wie lange eine Domäne bereits registriert oder in welchem Land die Website eingetragen ist. Alle Informationen werden in einer Datenbank hinterlegt. Die Informationsdatenbank liefert ein exaktes Bild über die Vertrauenswürdigkeit der Weblinks. Zahlreiche Angriffe können auf diese Weise abgewehrt werden, noch bevor sie ins Netzwerk gelangen.

Den administrativen Aufwand vereinfacht ein integriertes Reporting- und Management-System. Es dokumentiert Typ, IP-Adressen, Domains und Umfang der Angriffe und hält die Gegenmaßnahmen fest. Die Reports liefern detaillierte Daten sowie einfach zu interpretierende Grafiken und Diagramme. Der ebenfalls integrierte Web-Security-Manager gibt Administratoren umfassende Informationen über die zahlreichen Richtlinien, die für den Web-Verkehr gelten. Die Web- und E-Mail-Security-Manager von Iron Port nutzen einen gemeinsamen Regelkatalog. Das vereinfacht die Arbeit der Sicherheitsverantwortlichen, denn sie können eine Reihe von Sicherheitsrichtlinien für E-Mail und Internet-Benutzung erarbeiten und einfach auf beide Kommunikationswege übertragen.

Seriösität von Web-Adressen exakt bewerten

Die Datenbank SenderBase bildet die Basis für die Bewertung der Vertrauenswürdigkeit von Weblinks. Das weltweit größte System zur Überwachung des E-Mail- und Webverkehrs analysiert in Echtzeit mehr als 50 vordefinierte Parameter, die individuell festgelegt werden können. Täglich speichert SenderBase Informationen zu rund 20 Millionen IP-Adressen. Die Datenbank arbeitet rund um die Uhr und wird permanent mit Daten versorgt. Durch aktive weltweite Kooperationen lassen sich neue Spam- oder Wurm-Wellen sehr frühzeitig erkennen und die URLs der betreffenden Absender blockieren. Die Kombination aus verschiedenen Reputations-, Malware- und URL-Filtern ermöglicht es, zunächst die Bonität von E-Mails und IP-Adressen zu überprüfen und mit der SenderBase-Datenbank abzugleichen. Auf Grundlage dieser Analyse wird eine Bewertung der Vertrauenswürdigkeit erstellt.

Um mögliche URL-basierte Viren aufzudecken, wird jedes Kriterium ständig wiederholt getestet. Die einzelnen Parameter haben bei der Bewertung jeweils einen unterschiedlichen Stellenwert. Lediglich die Analyse aller Merkmale ermöglicht eine exakte Evaluierung und kann somit Aufschluss über die Wahrscheinlichkeit eines heimtückischen Weblinks geben. Die Ergebnisse fließen in einen statistischen Algorithmus ein, der die Vertrauenswürdigkeit des Absenders auf einer Skala von –10 bis +10 bewertet. Damit unterscheidet sich Web-Reputation von einer traditionellen Black- und Whitelist, die lediglich eine binäre Kategorisierung von »gut« oder »schlecht« anwendet.

Auf der Basis des Reputation-Scores werden unerwünschte Inhalte mit schlechtem Ruf sofort abgeblockt und der Kontakt zu zweifelhaften Absendern gedrosselt. Bei letzteren kommen nun unterschiedliche Systeme zum Einsatz um Inhalte sowie weitere Parameter zu scannen und so die Vertrauenswürdigkeit besser einschätzen zu können. Ist der Ruf des Senders positiv liefert das System die E-Mail beziehungsweise die Web-Inhalte ohne nochmaligen Scan.

Umfangreiche Daten und präzise Analysen als Erfolgsrezept

Jeder Internet-User kann sich auf der Website www.senderbase.org über Spam-Trends, Virenausbrüche und andere Web-Bedrohungen informieren. Ähnlich einer Bonitätsprüfung bei Krediten gibt senderbase.org öffentlich Auskunft über die Seriösität von Domänen und IP-Adressen.

SenderBase beobachtet über drei Millionen Domänen mit Hilfe seiner Watchlist und verfügt über Einblick in 30 Prozent des weltweiten Internetverkehrs. Die Datenbank wird von über 100.000 mitwirkenden Organisationen mit Informationen gespeist, darunter acht der zehn größten Internet Service Provider sowie weltweit agierende Großunternehmen. SenderBase wird seit 2002 ständig weiterentwickelt und bewertet historische Daten über drei Jahre hinweg. Um die Datenbank ständig mit aktuellen Informationen zu speisen, durchsuchen ausgeklügelte Web-Crawler das Internet nach neuen oder modifizierten Weblinks. Alle eingehenden Daten werden unmittelbar über die sogenannte Data Quality Engine überprüft, um die Seriösität und Aktualität sicher zu stellen.

Für eine präzise Analyse der Seriösität von Weblinks ist nicht nur der Umfang, sondern auch die Genauigkeit von Daten ein entscheidender Faktor. Werden wichtige Parameter bei der Überprüfung nicht berücksichtigt, kann das zu einer erhöhten False-Positive-Rate führen. Hierbei steigt die Zahl der fälschlicherweise geblockten, sicheren Weblinks. Ein interessantes Beispiel ist der »Traffic Spike«. Dieser kann zum einen mit einer zunehmenden Viren-Aktivität zusammenhängen, insbesondere URL-basierter Viren. Zum anderen verursacht aber beispielsweise die Veröffentlichung der Breaking News auf den Webseiten des BBC regelmäßig »Traffic Spikes«. Damit Reputationsfilter nicht irrtümlich seriöse URLs blocken, müssen unterschiedliche Parameter überprüft werden. Die Technologie des Reputationsdienstes ermöglicht es, dass die Skala für einzelne unpräzise Informationen unempfindlich ist.

Nicole Lerrahn

_____________________________________________________________________

Nicole Lerrahn ist freie Journalistin

 

 

 

Drei Millionen Domänen überwacht die Datenbank SenderBase mit Hilfe seiner Watchlist. Diese verfügt über einen Einblick in 30 Prozent des weltweiten Internetverkehrs. (Quelle: Iron Port Systems, 2007)

 

Auf einer Skala von –10 bis +10 überprüft der Reputationsfilter die Wahrscheinlichkeit einer bösartigen URL. (Quelle: Iron Port Systems, 2007)

Folgen Sie »manage it« auf Google+

 

 

 

 

 
Copyright © 2003-2012  ap Verlag GmbH