IronPort® Systems, division de Cisco® et fournisseur majeur de passerelles de sécurité e-mail et Web pour les entreprises, annonce des améliorations significatives de ses filtres IronPort Web Reputation Filters. Alors que ces filtres présentent déjà l’un des taux d’interception de codes malveillants Web les plus élevés du marché, IronPort leur ajoute des fonctions de détection d’alertes à l’URL et de défense contre les « botsites » (postes zombies hébergeant à leur insu des sites Web infectés), ce qui en fait l’une des offres de sécurité Web les plus complètes. Ces puissantes nouvelles couches de protection contre les codes malveillants sont proposées sur les appliances de sécurité Web IronPort S-Series™ ainsi que par l’intermédiaire du réseau IronPort SenderBase®.


WWW : Wild Wild Web ?
Les analystes de menaces d’IronPort et de Cisco ont observé une tendance croissante des pirates à privilégier le Web pour la diffusion de codes malveillants. Les entreprises se trouvent ainsi confrontées à davantage de menaces d’origines diverses et d’attaques coordonnées exploitant des protocoles multiples.
Les auteurs de ces menaces recherchent en permanence de nouveaux moyens d’accroître leur taux de succès. Or, l’utilisation de sites Web légitimes piratés comme véritables « hubs » de redirection des utilisateurs vers des sites infectés constitue une méthode efficace à cet égard. Un exemple récent de ce type d’attaques dynamiques s’est produit début mars, lorsque des centaines de sites légitimes ont été utilisés pour rediriger les internautes vers des sites sources de codes malveillants. Les filtres IronPort Web Reputation Filters repèrent la destination de cette « redirection » et peuvent interrompre la requête avant qu’un code malveillant ne pénètre sur le réseau. Un simple filtrage d’URL ne suffit pas pour détecter les menaces visant des sites légitimes, mais les nouvelles fonctions Botsite Defense et URL Outbreak Detection permettent à IronPort Web Reputation Filters d’identifier les sites infectés hébergés sur des ordinateurs zombies et d’empêcher les utilisateurs de s’y connecter.
Il existe plus de 10 milliards de pages Web actives. Selon les estimations des experts, de 2% à 10% des sites Web sont malveillants, ce qui représente un nombre considérable de menaces pour les entreprises. Les codes malveillants (« malware ») en tous genres propagés par ces sites peuvent entraîner la perte d’informations confidentielles, des pannes système ou réseau, une chute de la productivité et un alourdissement des coûts de support utilisateurs.
Les systèmes de filtrage à base de réputation, à l’image d’IronPort Web Reputation Filters avec les fonctions URL Outbreak Detection et Botsite Defense, peuvent contribuer à la protection contre les sites infectés et les codes malveillants en mutation rapide.

Des sites piégés : les « botsites »
Parmi les vecteurs les plus rapides des menaces Web figurent les postes zombies hébergeant à leur insu des sites infectés (« botsites ») dont le contrôle a été pris à distance par un pirate.
Les réseaux de zombies (« botnets ») de nouvelle génération se propagent désormais automatiquement par le biais de spams envoyés par une partie des zombies du réseau, contenant les URL des sites infectés hébergés par d’autres postes zombies du même réseau. Ce système « botnet/botsite » constitue une plate-forme intelligente de diffusion de codes malveillants, réutilisable et autoprotégée.
« Il est estimé aujourd’hui qu’entre 75 et 100 millions de machines appartiennent à des réseaux d’ordinateurs zombies, et l’intelligence de ces réseaux est stupéfiante », souligne Sébastien Commérot, Responsable Marketing Europe du Sud, Moyen-Orient et Afrique chez IronPort Systems. « Un seul botnet peut produire des milliers de botsites infestés de codes malveillants, qui peuvent rester actifs de quelques minutes à quelques heures. La seule parade efficace réside dans un service de réputation Web capable de détecter le piège sous jacent et de filtrer ces sites de façon proactive. »

Alertes à l’URL
Parallèlement à la prolifération des sites malveillants, le TOC (Centre opérationnel d’identification des menaces) d’IronPort a observé une augmentation significative du nombre d’URL hébergeant de nouveaux codes malveillants pour lesquels aucune signature n’est disponible. Ces alertes à l’URL ont explosé de 300% au cours des 12 derniers mois, sans que les entreprises ne se voient proposer de solutions efficaces.
Aujourd’hui, les menaces à base d’URL proviennent principalement de botsites servant de plates formes de diffusion de malwares, de messages spam incluant des URL, de sites Web 2.0 non sécurisés et de réseaux de distribution de publicités malveillantes. Alors que les menaces deviennent multi protocolaires par nature, IronPort aide à sécuriser les réseaux des entreprises afin de permettre à celles-ci de gagner en efficacité tout en atténuant les risques de perte de productivité et de ressources.
« Le nombre croissant de botsites et des nouveaux codes malveillants non répertoriés qu’ils diffusent pose un problème considérable », témoigne Tim Sommers, responsable de la sécurité chez Aurora Healthcare. « Avec la nouvelle version d’IronPort Web Reputation Filters, nous disposons désormais d’une solution qui facilite la protection contre de telles menaces, avant que les signatures soient disponibles. »

Fonctions Botsite Defense et URL Outbreak Detection
Les solutions existantes qui s’appuient sur le filtrage classique d’URL manquent d’efficacité car elles s’en remettent à des techniques de classification manuelle. Les sites infectés se cachent en effet derrière des catégories d’apparence inoffensive (finance, divertissement, actualité), ce qui rend inopérant le filtrage traditionnel des URL en fonction de leur classification.
La fonction URL Outbreak Detection d’IronPort est conçue pour permettre aux entreprises d’identifier et de se défendre contre les URL dépourvues de réputation ou de signature, généralement hébergées sur un botsite contrôlé par un botnet.
Le réseau IronPort SenderBase possède l’une des plus vastes bases de données de signatures de trafic e-mail et Web du marché, permettant à IronPort de détecter et bloquer rapidement ces nouvelles alertes à l’URL. Grâce à l’analyse en temps réel du trafic Web mondial, les analystes du TOC d’IronPort peuvent publier de manière proactive des notes de réputation pour ces URL avant que des signatures soient disponibles auprès d’éditeurs antivirus.
Ces nouveaux perfectionnements comprennent des techniques de modélisation de la sécurité assurant une protection dynamique contre les menaces visant des sites Web légitimes ainsi qu’une détection permanente consistant à surveiller l’infrastructure sous-jacente des attaques de codes malveillants puis à procéder rapidement aux réglages nécessaires pour les bloquer.

Disponibilité
La nouvelle version d’IronPort Web Reputation Filters est disponible dès à présent sur la gamme d’appliances de sécurité Web IronPort S-Series. Pour plus de détails, consultez le site :
www.ironport.com/products/web_security_appliances.html.

A propos d’IronPort Systems
IronPort Systems, division de Cisco, est un fournisseur majeur d'appliances anti-spam, anti-virus et anti-spyware s'adressant aux entreprises de toutes tailles, depuis les PME jusqu'aux plus grandes multinationales. Les appliances IronPort s'appuient sur SenderBase, le plus vaste réseau mondial de détection des menaces pour les messageries électroniques et le Web. Caractérisés par leur innovation, leur facilité d'utilisation et leurs performances de pointe, les produits d'IronPort jouent un rôle stratégique au sein de l'infrastructure réseau d'une entreprise. Pour en savoir plus sur ses produits et services, consultez le site http://www.ironport.com/.

Copyright © 2000-2008 Cisco Systems, Inc. Tous droits réservés. IronPort, le logo IronPort et SenderBase sont des marques déposées de Cisco Systems, Inc. Toutes les autres marques sont la propriété de Cisco Systems, Inc. ou de leurs détenteurs respectifs. Bien que tout ait été mis en oeuvre pour assurer l'exactitude des informations fournies, Cisco dégage toute responsabilité quant aux erreurs éventuelles. Les caractéristiques et autres informations figurant dans ce document peuvent être modifiées sans préavis.