Diventa Autore per CoreTech | Scopri di più
02/08/11 CoreTech Blog
Se hai già un firewall che blocca virus, worm e spyware in entrata, la tua sicurezza IT non è comunque completa finchè non utilizzi un filtro web.
Di seguito l’intervista a Jeff Finn, CEO di zvelo e partner di Kerio Technologies, che fornisci i servizi di categorizzazione web utilizzati nel Kerio Web Filter.
[quote]
Per prima cosa, ci fornisce una panoramica di zvelo?
[/quote]
Per fornire una breve panoramica, zvelo è una società specializzata nella categorizzazione dei contenuti Web e nella rilevazione di siti Web dannosi. Noi utilizziamo una combinazione di sistemi di intelligenza artificiale e di analisi umana che offre garanzia di qualità. Noi diamo in licenza la nostra tecnologia esclusivamente ai nostri partner OEM come Kerio.
[quote]
Internet conta miliardi di pagine, come si fa a tenere traccia della continua evoluzione dei contenuti?
[/quote]
Ci concentriamo sui siti che le persone visitano allo stato attuale, e che noi chiamiamo siti ActiveWeb. Il database di URL zveloDB conta quasi 500 milioni di URL che coprono oltre 7 miliardi di pagine web in quasi 200 lingue. In totale essi costituiscono il 99,9% dei siti ActiveWeb. I siti web aggiornati vengono analizzati per effettuare la categorizzazione in tempo reale per determinare se il sito può avere dei contenuti maligni o se può essere utilizzato per phishing, spam, ecc.
[quote]
Quando una rete dovrebbe utilizzare un filtro web come misura di sicurezza?
[/quote]
Il Web Filtering è stato storicamente utilizzato come un modo per bloccare o filtrare l’accesso a siti Web con contenuti inappropriati, come pornografia, istigazione all’odio e all violenza, oppure l’accesso ai siti che possono impattare sul livello di produttività, ad esempio i siti di video streaming che consumano un’elevata larghezza di banda in azienda. Queste applicazioni di web filtering continuano ad essere utilizzati dalle imprese e dalle famiglie per tutelare la produttività, la sicurezza dei propri bambini o per altre ragioni.
Tuttavia, oggi c’è la necessità che un sistema di web filtering non si limiti soltanto a monitorare e bloccare l’accesso ai contenuti inappropriati. Ecco perché gli hacker hanno tradizionalmente utilizzato e-mail o protocolli via e-mail come un modo per trasferire la loro minacce.
Poiché le aziende sono migliorate nell’implementazione di filtri spam, anti-virus e anti-spyware – Kerio Control svolge questo lavoro al top grazie al Sophos anti-virus – gli hacker sono rivolti sempre più al Web come mezzo per installare malware, phishing e altre truffe. In particolare, gli hacker stanno prendendo di mira social network e blog il cui contenuto è molto dinamico ma non vi è moderazione o un controllo centralizzato. Questo è senz’altro l’ambiente ideale per i malintenzionati per compromettere il corretto funzionamento di queste tipologie di siti web e distribuire spyware o malware, o usare trucchi di social engineering, come gli attacchi di phishing e spear phishing per indirizzare gli utenti direttamente su questi siti web compromessi.
[quote]
Per un utente medio con un PC, che rischio c’è effettivamente di visitare uno di questi siti web compromessi? Quando una rete dovrebbe utilizzare un filtro web come misura di sicurezza?
[/quote]
Gli utenti ora rischiano di essere infettati semplicemente visitando un sito Web compromesso, dove si possono scaricare all’insaputa spyware o malware. Inoltre, molti siti web vengono attaccati e utilizzati per campagne di spam, phishing, o peggio – in molti casi, senza che il proprietario del sito ne abbia consapevolezza. La maggior parte delle aziende e degli utenti comprende la necessità di utilizzare dei software antivirus per proteggere i propri PC da e-mail-malware, non sono tuttavia così consapevoli dei pericoli rappresentati da siti Web maligni e compromessi.
Inoltre, gli hacker hanno usato trucchi di social engineering sempre più sofisticati per indurre gli utenti a visitare siti web compromessi, con grande efficacia per gli hacker. In questi casi entra in gioco il web filter come misura di sicurezza.
[quote]
Che raccomandazioni si potrebbero dare per tutelarsi dalle minacce IT?
[/quote]
Bloccando automaticamente l’accesso degli utenti ai siti maligni, una società può proteggere gli utenti che inconsapevolmente possono visitare un sito web compromesso ed evitare che essi o coloro i quali sono sulla stessa rete locale vengano infettati con una vasta gamma di malware. A differenza del web filtering in materia di contenuti inappropriati, c’è poco o nessun argomento relativo al blocco dell’accesso ai siti Web dannosi, dove un’infezione può causare gravi danni su PC, unità disco, directory e altro, per non parlare della perdita di dati aziendali riservati, quali dati finanziari e altri.
E’ necessario che queste informazioni arrivino al mercato, ai nostri clienti che hanno bisogno di capire le differenze tra web filtering per i contenuti e web filtering per la sicurezza. La battaglia contro gli hacker nei prossimi anni sarà sempre più focalizzata sugli attacchi basati sul Web ed il primo passo è quello di educare il mercato sui pericoli rappresentati oggi da Internet.
[quote]
Con che frequenza viene aggiornato il database del Kerio Web Filter?
[/quote]
Siti come Facebook, blog e altri siti Web 2.0 hanno un contenuto che è in continua evoluzione, in molti casi senza alcuna moderazione o controllo centralizzato dei contenuti. Solo per questo motivo, dobbiamo aggiornare il database zveloDB utilizzato nel Web Kerio 24 ore al giorno.
L’elevato volume di traffico degli utenti a questi siti li rende più vulnerabili in quanto vengono spesso presi di mira dagli hacker, ed è per questo che zvelo deve rivedere questi siti in maniera continuativa, in modo da poter rilevare quando vengono lanciati nuovi siti o quando il contenuto potrebbe essere stato modificato, non solo in termini di contenuti contestuali, ma anche dove il sito è cambiato.
Tradotto in numeri, per fare un esempio, Facebook conta da solo più di 750 milioni di utenti che, in media, inseriscono oltre 90 nuovi contenuti ogni mese. Si tratta di oltre 60 miliardi di messaggi o di pagine mensili che richiedono l’analisi e la scansione dei contenuti dannosi. Si può ben capire per quale motivo Facebook sia diventato una sorta di ground zero per gli attacchi di phishing e altre forme di attacchi da parte degli hacker.
Ci sono delle categorie di Web Filter che un amministratore IT attento alla sicurezza deve sempre considerare ai fini del blocco?
Sì, le categorie dannose quali spyware, phishing devono essere sempre bloccate. Anche in questo caso, non vi è alcuna ragione valida per cui un utente vorrebbe, o dovrebbe accedere a questi tipi di siti. Ulteriori impostazioni di categoria saranno allineate con la politica o la cultura del luogo in cui viene implementato il web filtering.
Kerio Control consente ai clienti di scegliere quali delle 53 categorie filtrare, bloccare o consentire. Si raccomanda sempre di bloccare le categorie come Adware, Anonymizer, Compromised, Phishing / Fraud, Spam, siti Spyware.
In che modo zvelo scopre una nuova URL e in che modo questa viene categorizzata?
Ogni giorno arrivano miliardi di query nel data center zveloNET. All’interno di queste query, ci saranno diversi milioni di nuovi URL, che rappresentano siti web del tutto nuovi oppure nuove pagine su siti già esistenti che verranno classificati in tempo reale utilizzando i sistemi di auto-categorizzazione di zveloNET.
I sistemi di Auto-Categorizzazione zveloNET sono sistemi basati su intelligenza artificiale che considerano una vasta gamma di fattori e dati, in decine di lingue, per eseguire in maniera contestuale la categorizzazione dei contenuti, in genere in pochi secondi. zvelo utilizza anche una squadra di oltre 150 analisti Web multi-lingua per offrire una garanzia di qualità attraverso un campionamento statistico delle categorizzazioni automatiche eseguite da zveloNET.
Oltre alla categorizzazione dei contenuti in tempo reale, i sistemi di zveloNET effettuano anche un’analisi delle URL per determinare se sono infette, compromesse o usate dagli hacker per attacchi di phishing o simili. Questo lavoro è svolto dai sistemi di rilevamento delle minacce di zveloNET, che visitano ogni URL attraverso una serie di processi statici, comportamentali, script e analisi del codice.
Si tratta di un approccio olistico che mira ad analizzare il sito nella sua totalità per determinare se c’è qualcosa che appare anomalo e che potrebbere stare ad indicare la presenza di siti web compromessi o sfruttati.
Cosa succede quando un cliente Kerio Control visita un nuovo url?
Supponiamo che un utente Kerio Control riceve un messaggio IM (instant messaging) da un collega con un link ad un sito. L’utente fa clic sull’URL e il Web Filter di Kerio Control immediatamente interroga il database zveloDB. Se l’URL risulta categorizzato, e considerato che nel database zveloDB, con il 99,9% di copertura dell’ ActiveWeb, c’è un’alta probabilità che sarà nel database, zveloDB restituisce il valore di categoria al web filter Kerio. A questo punto quindi Kerio Control consente o blocca l’accesso al sito in base alle impostazioni di politica della categoria che sono state impostate dalla società tramite Kerio Control. Questo processo è molto veloce e richiede in genere meno di 100 millisecondi.
Se l’URL è un nuovo sito che non è mai stato visitato prima, l’utente riceverà un messaggio che dice di riprovare in pochi istanti, durante i quali i sistemi di categorizzazione automatica zveloNET classificheranno il contenuto dell’ URL e determineranno se il sito è infetto o compromesso.
Infine, i responsabili/amministratori IT possono configurare Kerio Control in modo da consentire agli utenti di accedere ai siti Web non categorizzati, tuttavia si consiglia di bloccare l’accesso ai siti Web non categorizzati, a causa dell’alta percentuale che questi siano infetti.
Tipicamente avremo un nuovo sito web classificato nel giro di pochi secondi o minuti da quando è stato ricevuto dal sistema di categorizzazione automatica, in modo che quando l’utente riprova a visitare quel sito, l’URL è già classificato e rientra nel database zveloDB.
