“Wachdienst gegen Online-Gefahren”
Würmer, Viren, Trojaner und Co sind die Parasiten der Internetgesellschaft. Immer leichter kapern sie unbemerkt PCs oder ganze Netzwerke, um dort Daten zu fressen, sich zu vermehren oder zunächst friedlich zu schlummern. Ein Gastbeitrag von Christian Bössler, Security Systems Engineer bei Cisco.
Der Reputationsdienst vergibt für jede geprüfte URL einen Wert von unbedenklich bis absolut gefährlich. Der Administrator einer Appliance kann anhand von Schwellenwerten entscheiden, wie die Appliance mit einer HTTP-Transaktion umgeht, etwa ob die URL sofort geblockt oder nach einem weiteren Scanning durch unterschiedliche Filter zugelassen wird. Durch aktive weltweite Kooperationen mit Sensor-Netzwerken lassen sich neue Spam- oder Wurmwellen früh erkennen und die IP-Adressen der betreffenden Absender blockieren.
SenderBase weiß im Extremfall schon mehrere Tage vor einem Ausbruch, wenn ein Exploit auf einer Seite schlummert und speichert dies in Form eines negativen Reputationswertes in der Datenbank. Wenn der Virus dann einige Tage später ausbricht, ist das Unternehmensnetzwerk bereits geschützt. Da die Analyse im Vorfeld geschieht, verringert sich die Latenzzeit. Gleichzeitig nutzt Senderbase dafür die Rechenleistung von riesigen Netzwerken und entlastet damit die Systeme im Unternehmen.
Globaler Wachdienst für Netzwerke
Die Informationen aus dem weltweiten Reputationsnetzwerk wird inzwischen auch von den Intrusion Prevention Systeme (IPS) von Cisco genutzt, um Netzwerke zu schützen. Das Prinzip der so genannten Global Threat Correlation ist folgendes: Indem Informationen aus einem globalen Netzwerk (Sensorbase) mit Intrusion-Daten zueinander in Beziehung gesetzt werden, lassen sich Bedrohungen schneller aufspüren. Gleichzeitig kann gefährlicher Webverkehr schon am Perimeter geblockt werden – noch vor einer eingehenden Prüfung im Netzwerk.