Reputationsdienste

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche


Im Gegensatz zu herkömmlichen Methoden wie Blacklists, die den Webverkehr auf Schadcode überprüfen und mit bekannten Mustern abgleichen, analysieren Reputationsdienste in einem dynamischen Prozess sowohl den Kontext als auch die Zusammensetzung eines Threats, dessen Herkunft und Absender in Echtzeit. Durch die umfassende Wahl der Parameter eignet sich die Technologie zur Absicherung von E-mail und Web-Kommunikation.

Das Ziel von Reputationsdiensten ist es, die Seriosität einer Email- und Web-Adresse mittels statistischer Messungen genau einzuschätzen. Der Reputationsfilter registriert Unregelmäßigkeiten im Netzwerkverhalten, wie auffallend hohen Email-Versand, und Verkehrsströme, die Hinweise auf verdächtige Webserver liefern. In die Prüfung fließen Informationen wie Ort und Datum der Registrierung einer Domäne sowie die Nutzung einer dynamischen IP-Adresse mit ein. Das Wissen um eine neue Bedrohung ist damit bereits zu Beginn einer Malware-Attacke verfügbar. So ermöglichen reputationsbasierte Verfahren auf Netzwerk- wie Applikationsebene eine frühzeitige Abwehr von Spy- und Malware-Attacken, noch bevor eine Signatur dafür erhältlich ist.

In SenderBase, der weltweit größten Reputaions-Datenbank, wirde über ein Drittel des weltweiten E-Mail- und Webverkehrs getrackt, analysiert und bewertet. Der Datenpool speichert täglich Informationen zu rund 21 Millionen IP-Adressen und analysiert mehr als 150 vordefinierte Parameter in Echtzeit. Überprüft werden über 3,5 Milliarden Seiten in über 70 Sprachen aus 200 Ländern. SenderBase wurde von Cisco IronPort ins Leben gerufen und seit 2002 ständig weiterentwickelt. Auf www.senderbase.org kann sich jeder Internet-User über aktuelle Spam-Trends, Viren-Ausbrüche, Spyware und andere web-basierte Bedrohungen informieren.

Ähnlich einer Bonitätsprüfung bei Krediten gibt Senderbase Auskunft über die Seriosität von Domänen und IP-Adressen. Das Ergebnis ist der sogenannte Reputation-Score, der mit einem Wert von +10 bis -10 angibt, ob eine Adresse besonders vertrauenswürdig ist oder eine sehr intensive Filterung benötigt. Gateways können dadurch beispielsweise Durchlauf- und Latenzzeit minimieren. Während Adressen mit stark positiver Reputation den Filter passieren, macht eine schwach positive Reputation den Scan durch ein Anti-Malware-System erforderlich. Weblinks mit schwach negativer Reputation werden von mehreren Systemen überprüft. Mangelhafte Reputationen blockt der Reputationsdienst ohne vorhergehenden Scan sofort. Dieses Prozedere führt zu einer exakten Einschätzung der Quellen noch bevor die Malware ins Netzwerk gelangt.

Unabdingbar für eine treffsichere Analyse von Netzwerkadressen ist die Genauigkeit der Daten. Werden wichtige Parameter bei der Überprüfung nicht berücksichtigt, kann dies zu einer erhöhten False-Positive-Rate führen - die Zahl der fälschlicherweise geblockten Adressen steigt. Um dies zu verhindern, müssen möglichst viele aussagekräftige, aber unabhängige Parameter überprüft werden. Hierbei ist die Unempfindlichkeit der Reputationsskala für einzelne unpräzise Informationen von entscheidender Bedeutung.

Reputationsdienste eignen sich nicht nur als äußerstes Schutzschild mehrstufiger Web-Security-Lösungen. Sie können auch innerhalb integrierter Malware- und URL- Filter zum Einsatz kommen. Die Reputationsanalyse ist in diesen Fällen in alle Funktionen eingebunden, auch wenn es um die Bewertung von Web-Inhalten geht, die ihrerseits wiederum Links enthalten können. Anhand der Reputationsdaten entscheidet das System, ob Inhalte in der Dynamic Vectoring and Streaming (DVS)-Engine einer Multi-Vendor-Signaturerkennung unterzogen werden. Auf diese Weise werden auch eingebettete Malware-Links auf Seiten mit ansonsten guter Reputation identifiziert.


Siehe übergeordnete Stichworte

Siehe auch




Diese Seite wurde zuletzt am 21. September 2011 um 12:42 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Admin und Angelika Felsch.

Anzeigen