Début 2003, IronPort inaugurait le concept d’analyse de réputation. Depuis
lors, le filtrage à base de réputation s’est révélé très puissant. Dans la
plupart des cas, les appliances e-mail IronPort peuvent bloquer plus de 90%
des spams entrants, en se référant uniquement à la réputation du serveur
expéditeur. En janvier 2006, IronPort a lancé le filtrage de réputation Web,
en appliquant au trafic Web les mêmes techniques qui avaient fait la preuve
de leur efficacité avec le courrier électronique.

Les appliances de sécurité Web IronPort S-Series analysent en temps réel la
réputation de chaque serveur Web contacté par les utilisateurs d’une
entreprise. Cette analyse constitue la première ligne de défense contre les
menaces véhiculées par le Web. Les utilisateurs des appliances de sécurité
Web IronPort peuvent choisir d’appliquer un nombre quelconque de règles afin
d’exclure certains sites Web indésirables en fonction de leur note de
réputation. Les codes malveillants sont devenus extrêmement complexes,
présentant des milliers de variantes susceptibles d’apparaître à tout
moment. IronPort Web Reputation Filters™ fournit un excellent moyen de
contrer les attaques de codes malveillants polymorphes qui échappent aux
filtres à base de signatures. L’utilisation de la réputation ne se limite
pas au blocage des connexions. L’analyse de réputation est intégrée à l’
ensemble de l’appliance IronPort de façon à aiguiller les contenus vers le
moteur d’analyse approprié, en particulier le nouveau moteur d’inspection
HTTPS, ainsi que le système intégré de protection contre les codes
malveillants à base de signatures de McAfee et Webroot. Cette méthode
aboutit à un examen plus efficace et intelligent des contenus Web.

Pour atteindre le double objectif d’accroître leur productivité et de
limiter leur responsabilité potentielle, de nombreuses entreprises ont
élaboré des règles d’usage acceptable qui régissent l’utilisation d’Internet
sur le lieu de travail. Nombre de ces règles sont mises en œuvre via un
système de filtrage d’URL. L’IronPort S ?Series incorpore une solution de
filtrage URL de haut niveau, fournissant des rapports détaillés sur les
habitudes de navigation Web des utilisateurs et permettant de contrôler plus
de 50 catégories distinctes de sites Web. L’outil de gestion de politiques
Web inclus au sein de l’appliance IronPort facilite la création et la mise
en œuvre de règles d’usage acceptable, et ce par groupes LDAP. Le filtrage
URL complète efficacement IronPort Web Reputation Filters.

Suite à l’analyse faite à base de réputation, le trafic réputé malveillant
est bloqué, celui reconnu comme légitime ne subit aucune analyse
supplémentaire, tandis que le trafic suspect est soumis à un filtre
anti-malware reposant sur des bases de signatures issues de divers
spécialistes de la sécurité. Le moteur IronPort Dynamic Vectoring &
Streaming™ (DVS) exploite désormais les signatures anti-malware de Webroot
ainsi que les signatures anti-malware et anti-virus de McAfee.

Les analystes de menaces d’IronPort et de Cisco ont observé une tendance
croissante à privilégier le Web (plutôt que l’e-mail) pour la diffusion de
codes malveillants. Les entreprises sont confrontées à davantage d’
infections sophistiquées comme par exemple la prise de contrôle à distance
de certains de leurs postes de travail par des pirates. Cette technique
transforme les postes d’une entreprise en zombies, le pirate pouvant les
utiliser à distance pour lancer des attaques de façon camouflée. L’IronPort
S-Series intègre un moniteur de trafic de niveau 4, qui analyse le trafic
sur tous les ports (et pas uniquement le trafic Web) afin d’identifier les
connexions liées à l’activité de postes zombies sur le réseau de l’
entreprise. De plus en plus, les entreprises se tournent vers des systèmes
complets tels que l’offre Self Defending Network de Cisco pour faciliter la
détection et le blocage de l’activité des zombies sur leurs réseaux, ainsi
que la mise en place des remèdes appropriés, à l’image de Network Access
Control (NAC).

IronPort considère l’utilisation du flux HTTPS comme un point faible des
solutions offertes par de nombreux équipements de sécurité Web. Etant donné
que le protocole HTTPS établit une connexion chiffrée entre le poste client
et le serveur origine, les équipements de sécurisation du réseau n’ont en
général ni visibilité ni contrôle sur le trafic HTTPS. L’emploi de HTTPS sur
Internet n’a cessé de progresser, à un rythme annuel supérieur à 60%,
stimulé par des usages légitimes tels que la banque ou le commerce en ligne.
Or, il est très simple de créer un nouveau site Web présentant l’aspect d’
une banque ou d’un site marchand, d’établir des connexions HTTPS
correspondantes, puis d’envoyer des codes malveillants à l’utilisateur final
dans un format impossible à analyser au moyen des systèmes de sécurité
classiques.

Les appliances de sécurité Web IronPort sont conçues pour aider à faire face
à cette future menace en combinant le filtrage à base de réputation et les
catégories d’usage acceptable afin d’examiner le trafic HTTPS de manière
sélective. Le moteur IronPort DVS peut diriger le trafic HTTPS suspect vers
le moteur intégré de chiffrement/déchiffrement. Ce dernier est à même de
déchiffrer la connexion, d’analyser celle-ci en matière de codes
malveillants et d’usage acceptable, puis (si nécessaire) de la chiffrer à
nouveau pour transmission à l’utilisateur final. L’utilisation de l’analyse
de réputation à ce stade est cruciale. Les sites dignes de confiance, ayant
une réputation positive et figurant en outre dans les catégories banque,
santé ou commerce, ne doivent en effet pas voir leurs communications
déchiffrées, de sorte que l’entreprise ne s’expose pas à des plaintes pour
violation d’informations confidentielles ou privées concernant l’utilisateur
final (données financières, dossier médical, informations de carte de crédit
…). En revanche, l’emploi du filtrage à base de réputation signifie que les
certificats autosignés, suspects, provenant de sites inconnus ou de sites
accrédités par des autorités de certification suspectes classées dans les
domaines de la finance, de la santé ou du commerce verront quant à eux leurs
connexions déchiffrées et analysées par souci de sécurisation du réseau.
Cette utilisation intelligente du filtrage à base de réputation et des
catégories d’usage acceptable contribue à optimiser la sécurité, l’efficacit
é du boîtier et la protection de la vie privée de l’utilisateur final.