SicurezzaSoftware

Ironport pensa anche alla sicurezza web

Giornalista. Ha collaborato con TechWeekEurope IT fin dal suo inizio

Follow on: Google +

Non solo email. Anche le minacce da web sotto controllo con le appliance della serie S

A quasi un anno dalla sua acquisizione da parte di Cisco, Ironport fa approdare anche in Italia le appliance per la sicurezza web della serie S. Come ricorda Domenico Dominoni , country manager della società, che in Italia realizza un fatturato valutato in tre milioni , “ Il web ha superato l’email come vettore di distribuzione di codice maligno. Una situazione di cui spesso l’utenza non si rende conto”.
La business unit di Cisco fa tesoro di Senderbase, l’infrastruttura mondiale per il rilevamento delle minacce in arrivo via email e via web, per offrire in diverse versioni, per aziende medio piccole e per grandi aziende, una soluzione di difesa contro il malware che adotta una triplice metodologia di protezione. I filtri di reputazione web permettono di bloccare gli accessi ai siti di phishing o infettati da un malware.
L’analisi della reputazione non mira soltanto al blocco della connessione, ma viene applicata anche per indirizzare i contenuti al motore di scansione appropriato oppure al sistema antimalware integrato con le signature antispyware e antivirus fornite da McAfee e quelle antispyware fornite da Webroot
I filtri Url di IronPort confrontano le richieste degli utenti con le politiche di sicurezza relative a 52 categorie predefinite di pagine web. Essi offrono una protezione contro le categorie di siti infetti e permettono alle aziende di definire delle politiche di utilizzo di internet. Il motore di scansione Dvs (Dynamic Vectoring & Streaming) può contenere numerosi database di firme ed effettua la scansione dei flussi in modalità streaming , “soluzione molto più rapida rispetto a quelle basate su Icap”, il protocollo usato di solito nei proxy server per integrare prodotti di protezione di terze parti.
La Web Security Appliance di IronPort è progettata anche per bloccare un particolare tipo di minaccia che viaggia sulle connessioni Https adottate dai siti di banking online e di e-commerce. Il motore di scansione indirizza il traffico Https non verificato al motore di codifica/decodifica incorporato, il quale è in grado di decifrare la connessione, verificare la presenza di malware e il rispetto delle policy d’uso accettabile dell’accesso Internet, e – in caso positivo – cifrare nuovamente la connessione prima dell’invio all’utente finale.
Una particolarità tecnica delle appliance S-Series risiede in un sistema di monitoraggio Layer 4 che analizza tutto il traffico in entrata con l’obiettivo di identificare i collegamenti con eventuali attività botnet all’interno della rete aziendale.
Come spiegano in IronPort, le minacce stanno diventando per loro natura basate su protocolli diversi. Le soluzioni che si appoggiano unicamente ai classici filtri degli Url mancano di efficacia perché si basano su una classificazione che non tiene conto che i siti infetti ormai si nascono dietro altri in apparenza inoffensivi. IronPort adotta nei suoi sistemi una funzione di Url Outbreak Detection per la difesa contro gli Url privi di reputazione o di firma che sono di solito ospitati in un botsite controllato da una botnet.
Qui entra in gioco la rete Senderbase che possiede una vasta base di firme di traffico email e web e analizza in tempo reale il traffico web mondiale e pubblica dati di reputazione sugli Url prima ancora che siano disponibili le protezioni mediante signature.