Autor: Robert Buljevic

Koristite li provjeru web stranica na reputaciju?

Sigurno ste primjetili da maliciozni programi, crvi i virusi danas uglavnom stižu preko web browsera do korisničkih računala.
Web prijetnje su postale toliko raširene da je antivirusnim proizvođačima sve teže sustizati tisuće varijanti dnevno samo jednog crva ili spyware-a.
Ključna strategija u obrani od novih web opasnosti je provjera web stranica na reputaciju. Pojednostavljeno, web stranica koja širi napr. spyware ili crve dobiva nisku reputaciju, a stranica koja ima dugu povijest distribucije legitimnog sadržaja ima višu reputaciju.
Officescan od verzije 8.0 podržava web reputaciju odnosno omogućava vam da blokirate pristup web stranicama prema razini njihove reputacije te tako u korijenu spriječite širenje zaraze.
Ovo je posebno korisno kada su klijentska računala (laptopi) izvan mreže, pa ne podliježu uobičajenoj politici provjere web prometa na internet gateway-u kompanije.

Dok su računala u sigurnom okruženju ureda, iza cijelog niza sigurnosnih rješenja (korporacijski firewall, sigurni web gateway, URL filtering, itd.), rizik od web prijetnji je bitno smanjen. Medjutim, za računala koja redovno izlaze iz sigurnog okruženja IT sustava tvrtke (a takva su praktički sva laptop računala), nastaje problem kako spriječiti pristup web stranicama koje sve ćešće postaju izvor web prijetnji, odnosno spyware-a i ostalog zlonamjernog koda (malware).

Trend Micro Web reputacija je online servis kojem OfficeScan klijenti postavljaju upite o reputaciji web stranice prije pristupa samoj stranici.
Da bi se konfiguracija OfficeScan klijenta prilagodila mobilnosti računala odnosno laptopa, u OfficeScan je ugrađena funkcionalnost "Location Awareness", pri čemu je moguće definirati različit način provjere web reputacije u ovisnosti o lokaciji štićenog računala. Prilikom promjene lokacije OfficeScan klijenta, "Location Awareness" automatski postavlja definiranu konfiguraciju za tu okolinu odnosno lokaciju.
"Location Awareness" se zasniva na detekciji promjene gatewaya u IP konfiguraciji ili postojanju veze sa OfficeScan serverom. Napr. ukoliko računalo izgubi vezu sa Officescan serverom, možemo postaviti strožu razinu provjere web reputacije, obzirom da se pretpostavlja da je tada računalo izvan lokalne mreže tvrtke.

Konfiguracija
Napomena: postupak u nastavku se odnosi na OfficeScan 8.0 SP1 ili noviji.

1. Web reputacija se konfigurira kroz web konzolu OfficeScan servera, u izborniku Networked Computers -> Web Reputation -> Computer Locations. Ovdje mozete odabrati jedan od dva kriterija utvrđivanja lokacije:

a. Client Connection Status - detekcija lokacije klijenta na osnovu povezanosti sa OfficeScan serverom. U "Reference server list" moguće je upisati alternativne druge FTP, SQL, WEB servere za slučaj da klijent izgubi vezu sa OfficeScan serverom, a i dalje se nalazi u lokalnoj mreži tvrtke. Kliknite na gumb Save.
b. "Gateway IP address" ili opcionalno "MAC address" po kojima će Officescan razlikovati nalazi li se u lokalnoj mreži ili izvan nje. Ukoliko ima više gateway adresa, moguće ih je importirati pomoću "Gateway Settings Importer tool". Kliknite na Save.

2. Podesiti politiku u Networked Computers -> Web Reputation -> Policies. Politika se definira za:

a. vanjske lokacije ("External computers") – kada klijent nema povezivost sa serverom ili definirani gateway nije u listi definiranoj pod 1.b.
b. internu lokaciju ("Internal computers") - kada je klijent unutar loklane mreže – server je dostupan i klijent je povezan sa serverom ili je u IP postavkama klijenta prisutan gateway iz liste.

Oba elementa politike se odvojeno uključuju klikom na „Enable Web Reputation Policy“ u odgovarajućim tabovima. Isto tako se i za oba elementa može podesiti nivo sigurnosti (visoki, srednji i niski). Preporuka je za Internal Computers postaviti razinu filtriranja na najnižu (Low), a za External Computers postaviti na srednju razinu (Medium).
Također, za oba elementa politike moguće je definirati zasebnu listu URL adresa koje će biti izuzete od provjere reputacije.
Ukoliko smatrate da je stranica dobila krivu ocjenu reputacije, možete zatražiti izmjenu ovdje:
http://reclassify.wrs.trendmicro.com/wrsonlinequery.aspx
Na kraju podešavanja, kliknite na Save kako bi spremili konfiguraciju.

3. Ukoliko u organizaciji imate proxy server koji zahtijeva autentikaciju, potrebno je pod Networked Computers -> Web Reputation-> Proxy Settings upisati autentikacijske parametre kako bi upiti za web reputaciju radili kroz proxy.

Officescan klijent bi sada trebao provjeravati svaki URL odnosno web zahtjev na reputaciju. Funkcioniranje ove provjere možete potvrditi ako na klijentu pristupite određenoj stranici koja distribuira zlonamjerni kod, napr.:
http://www.astalavista.box.sk/
U browseru bi morali dobiti poruku o blokiranju stranice kao sto je prikazano na slici:

Blokiranje pristupa stranicama sa niskom reputacijom spriječava u korijenu širenje sve češćih web prijetnji, omogućavajući zaštitu računala čak i kada su ona izvan lokalne mreže odnosno izvan uobičajenih kontrola kao što su aplikacijski firewall i/ili URL filtriranje sadržaja. Bez web reputacije vaša mreža odnosno računala su manje sigurna i nedostaje vam ključni element u obrani od najnovijih provali web prijetnji.