Dans la foulée du lancement en mars 2008 d’IronPort URL Outbreak Detection & Botsite Defense, qui protège les utilisateurs contre la diffusion de codes malveillants via des sites Web contrôlés par des botnets, Exploit Filtering s’attaque à la dernière menace en date pour la sécurité : des sites Web normalement dignes de confiance qui ont été contaminés de façon à propager des chevaux de Troie ou des attaques de phishing au moyen de diverses techniques : XSS (Cross-Site Scripting), débordement de buffer, injection SQL ou redirection invisible par iFrame.

Selon le TOC (Centre opérationnel d’identification des menaces) d’IronPort, qui surveille et analyse en temps réel le tarif Web, les sites piratés sont aujourd’hui responsables de plus de 87% de l’ensemble des menaces véhiculées par le Web, alors qu’un nombre croissant d’auteurs de codes malveillants ciblent des sites réputés et dignes de confiance. A titre d’exemple, début juillet, le site PlayStation de Sony a été victime d’une attaque par injection SQL, au cours de laquelle du code JavaScript malfaisant a été inséré dans certaines parties du site pour afficher un message d’alerte indiquant à l’utilisateur que son ordinateur était infecté. Le message aiguillait ensuite les internautes vers un site où ils pouvaient acheter un prétendu « logiciel antivirus » qui était en réalité un cheval de Troie.

Les filtres d’URL classiques se révèlent inefficaces pour identifier ces
types de menaces car ils reposent sur des méthodes de classement manuelles permettant aux sites infectés de se dissimuler derrière des classifications génériques (e-commerce, finance, loisirs, actualités). En revanche, la technologie de réputation Web d’IronPort fait appel à une analyse en temps réel afin de détecter les sites Web contaminés et d’en bloquer l’accès avant que des codes malveillants ne puissent devenir opérationnels sur ceux-ci.

Le système IronPort de filtrage à base de réputation Web est la seule solution du marché à examiner chaque requête effectuée par le navigateur, depuis la requête HTML initiale jusqu’à toutes les requêtes ultérieures de données, ces dernières pouvant provenir de différents domaines. En fonction de la présence de vulnérabilités et de codes malveillants, les sites Web se voient automatiquement attribuer trois niveaux distincts de menace :

· Contaminé et hébergeant du code malveillant actif ? Ces sites, qui
diffusent activement des codes malveillants ou bien sur lesquels des
scripts malfaisants ont été injectés, sont immédiatement bloqués.

· Contaminé ? Ces sites ont été contaminés à une ou plusieurs reprises
et contiennent des scripts malfaisants, mais ceux-ci n’ont pas été activés
et ne contrôlent pas encore de serveurs. Ils sont eux aussi bloqués par
défaut.

· Vulnérable ? Ces sites très fréquentés et « à haut risque » font
l’objet d’une surveillance active de la part du TOC d’IronPort car ils
sont exposés aux attaques courantes ou ont été associés à la diffusion de
codes malveillants par le passé.

Première ligne de défense contre les codes malveillants, le système IronPort de filtrage à base de réputation Web analyse journellement plus de 5 milliards de transactions Web. Il bloque ainsi jusqu’à 70% des codes malveillants au niveau de la connexion, avant même l’analyse de signature.

Grâce à sa capacité mondiale d’examen de trafic d’URL, il présente un taux d’interception des codes malveillants supérieur de 60% à celui des scanners de signatures classiques.

Exploit Filtering est aujourd’hui disponible sur les appliances de sécurité Web IronPort S-Series. Les appliances IronPort S-Series combinent une plate-forme de sécurité hautes performances avec la technologie exclusive de réputation Web d’IronPort et son moteur DVS (Dynamic Vectoring & Streaming), qui accélère l’analyse de signature pour le filtrage des codes malveillants et du spyware.

– Disponibilité et prix

Exploit Filtering est disponible pour tous les utilisateurs d’IronPort Web
Reputation Filters.