¿Desde dónde los productos como BlueCoat y ForcePoint obtienen las categorizaciones de URL?

Navega tus respuestas
3

Hace poco tuve un problema en el que publiqué un software que utilizaba una nueva URL y varios de los sitios de mis clientes se quejaron de que el software no funcionaba dentro de su red wifi. Resultó que sus respectivos productos de software de firewall (algunos usaban BlueCoat, otros ForcePoint, Barracude, etc.) estaban bloqueando mi nueva URL porque estaba categorizada como "Nueva" o "Desconocida" o "No confiable" o algo así.

Mi pregunta es: ¿Cuál es la fuente autorizada de estas categorizaciones? Todos parecen estar de acuerdo con la categoría de mi nueva URL, ¿por lo tanto, todos estos productos están utilizando la misma autoridad central (Google?) Para la categorización? ¿Podría haber contactado con alguna autoridad u organización para clasificar correctamente mi URL antes de lanzar mi software?

No quiero que todos mis clientes tengan que agregar excepciones de firewall en casos como este.

    
pregunta CFL_Jeff 23.04.2018 - 22:13
fuente

2 respuestas

2

Como antiguo cliente de bluecoat desde hace mucho tiempo, puedo darte una idea.

Dos fuentes principales:

  1. Fuentes de inteligencia de amenazas: muchos ingieren los mismos conjuntos de datos sobre qué es una fuente maliciosa y qué no lo es. Como resultado, verá mucha superposición entre los productos.

  2. Cantidades masivas de personas: Bluecoat tiene específicamente personas cuyo único trabajo es revisar nuevos sitios y sugerir categorizaciones, o revisar cambios sugeridos en esas categorizaciones.

Lo que sus clientes están haciendo: bloquear los sitios "nuevos" y "no clasificados" es absolutamente la mejor práctica. Dado el aumento de DNS de flujo rápido , y los algoritmos de generación de dominios, el número de nuevos dominios legítimos es un orden de magnitud menor que los maliciosos o los correos no deseados.

Sugeriría simplemente establecer las expectativas de sus clientes y comprender los modelos de soporte para estos importantes proveedores para garantizar que sus nuevos sitios puedan abrirse lo antes posible.

    
respondido por el Chris M 23.04.2018 - 22:26
fuente
1

Responde a tu primera pregunta: No hay una autoridad central, pero podrían referirse a las mismas fuentes de información, como las bases de datos de inteligencia de amenazas, y todas siguen un proceso sistemático para esta clasificación.

El proceso de categorización / clasificación de sitios web / contenido web puede variar de proveedor a proveedor, pero la mayoría de ellos siguen algo similar a lo siguiente:

  • Análisis capacitado / entrenado de contenido / sitios web - El cerebro humano es desplegado a través de un riguroso proceso de revisión.

  • Programas automatizados (scripts) - Scripts automatizados como web Las arañas / rastreadores se implementan para monitorear la red mundial para Comprender las nuevas URL y contenidos web.

  • Fuentes inteligentes de amenazas: dependen de fuentes inteligentes de amenazas para identificar el índice malicioso de las IP / Dominios / Etc.

  • Bases de datos de categorización: obtienen información de contenido web bases de datos como enlace

  • Siga las directrices de la legislación: se aplica cierta categorización basado en las normas legales y legislativas.

  • Envío manual por los usuarios: comentarios de los usuarios sobre la categorización incorrecta se tomarán como comentarios y se realizará una revisión.

*** Estos son algunos de los pasos y, según se indique, variarán dependiendo del proveedor.

Responde a tu segunda pregunta: Ahora su segunda pregunta sobre cómo clasificar su sitio web, hay varias fuentes disponibles donde podrá enviar su url con la clasificación sugerida. Por ejemplo: enlace

Y puede enviar su URL al sitio del proveedor de filtros web de sus clientes, así como para la reclasificación. Por ejemplo: enlace enlace

    
respondido por el Sayan 23.06.2018 - 05:11
fuente

Lea otras preguntas en las etiquetas

¿Puedo consultar datos encriptados por filas en mi base de datos? ¿Cuál es la diferencia entre un "firewall que reconoce la aplicación" y un "firewall de la aplicación web"?