Exploit-Filter

IronPort schützt vor löchrigen Websites

23.09.2008
Von Katharina Friedmann 
Die Cisco-Tochter IronPort hat ihren Web-Security-Appliances einen Exploit-Filter spendiert, der herkömmlichen URL-Filtern bei der Identifikation gefährdeter, infiltrierter und kompromittierter Web-Seiten überlegen sein soll.

Mit dem neuen Exploit-Filter adressiert IronPort ein gravierendes Sicherheitsproblem: Immer häufiger missbrauchen Cyber-Kriminelle bekannte, eigentlich vertrauenswürdige Websites, um mittels Cross-Site-Script-Exploits, Buffer-Overflow-Angriffen, SQL-Injection und unsichtbaren iFrame-Redirects Trojaner zu verbreiten oder Phishing-Attacken zu lancieren. IronPort-Analysen zufolge sind auf diese Weise infiltrierte Sites derzeit für rund 87 Prozent aller Web-basierenden Bedrohungen verantwortlich.

Der Exploit-Filter nutzt die Reputationstechnik des Anbieters, die sich wiederum auf so genanntes Echtzeit-Cloud-Scanning stützt. Letzteres soll es ermöglichen, Inhalte so präzise zu erfassen, dass lediglich die infizierten Komponenten einer Website geblockt werden können, während die unbedenklichen zugänglich bleiben. Hierzu überprüft die Technik laut Anbieter jede Browser-Anfrage von der HTML-Abfrage bis zu den nachfolgenden Datenrabfragen und Links, die von unterschiedlichen Domains stammen können, um verdächtige Sites dann anhand bekannter Sicherheitslücken und Exploits als "gefährlich" oder "kompromittiert" (in diesen Fällen werden die Seiten umgehend geblockt) beziehungsweise "gefährdet" (diese Sites werden genau beobachtet) einzustufen. Auf diese Weise soll der ab sofort in alle Produkte von IronPorts "S-Serie" integrierte Exploit-Filter Anwender vor Web-Bedrohungen schützen, auch wenn die häufig legitimen Sites von URL- und signaturbasierenden Filtern nicht als kompromittiert erkannt werden oder noch nicht gelistet sind.