Aktivitet som omgår elever har i det stille blitt den vanligste trusselen på nettverk for barnehage og videregående skole. Ikke skadelig programvare. Ikke phishing. Proxy-omgåelse – og det genererer 7 ganger mer blokkert aktivitet enn skadelig programvare på tvers av nettverk for barnehage og videregående skole.

Studentene er ressurssterke, motiverte og jobber med stadig mer sofistikerte verktøy. Bypass-metodene som er tilgjengelige i dag (proxy-rammeverk, spillaggregatorer, delte bypass-lenker, nettleserutnyttelser) er ikke dine “bare Google en proxy”-løsninger fra 2015. De er i utvikling, distribuert og stadig vanskeligere å fange opp med konvensjonell filtrering.

De fleste filtre var ikke designet for å stoppe dem.

Hvorfor tradisjonell filtrering ikke holder mål

De fleste innholdsfiltreringsmetoder fungerer ved å sjekke en URL eller et domene mot en blokkeringsliste. Hvis adressen er på listen, blokker den. Hvis den ikke er det, slipp den gjennom.

Den tilnærmingen ga mening da bypass-forsøk var enkle. Den holder ikke mål med metodene studentene bruker i dag:

• Proxy-rammeverk som Ultraviolet, Scramjet og Rammerhead, som tunnelerer trafikk direkte i nettleseren bak tilsynelatende rene URL-er
• Spillaggregatorer som er vert for innebygde startere bak generiske sider som Nebula og Interstellar
• Google Nettsteder brukes til å distribuere bypass-lenker på tvers av studentnettverk
• Chrome-økter uten utvidelser som omgår filtrering fullstendig ved å åpne nettleservinduer som aldri laster inn filterutvidelsen

Ingen av disse ser ut som omgåelsesforsøk på vertsnavnnivå. Det er poenget.

Statiske regler fanger opp statiske trusler. Bypass er et bevegelig mål, og det beveger seg raskere.

Oppdage hva URL-en ikke forteller deg

Det er ikke nok å skanne teksten på siden. Å stoppe bypass på atferdsnivå krever en annen tilnærming: å analysere hva som faktisk kjører i nettleseren, ikke bare hvor forespørselen går.

Det er det Lightspeed-filteret ny Live Intelligence-kapasitet gjør.

Når en student laster inn en side, analyserer Lightspeed Filter™ den i sanntid og evaluerer signaler som:

• DOM-struktur og sidekomposisjon
• Nettverksaktivitet initiert av siden
• JavaScript-utførelse og -oppførsel
• Proxy-biblioteker som finnes i koden, inkludert verktøy som Ultraviolet og Rammerhead

Disse signalene evalueres mot kjente bypass-mønstre. Indikatorer med høy konfidens utløser umiddelbar blokkering. Signaler med lavere konfidens akkumuleres til en vektet poengsum inntil en terskel er nådd.

Det er viktig at analysen ikke stopper ved sideinnlasting. Økten fortsetter å overvåkes gjennom hele prosessen, og fanger opp forsinket eller dynamisk unnvikelse der atferd endres etter den første innlastingen. Dette er viktig fordi noen bypass-verktøy med vilje utsetter mistenkelig atferd til de har bestått den første filtersjekken.

Resultatet er deteksjon som fungerer uavhengig av domene- eller URL-samsvar.

Innebygd i en lagdelt sikkerhetsmodell

Omgåelse gjøres ikke ved hjelp av én enkelt teknikk, det er et utviklende og skiftende sett med utnyttelser som blir mye mer sofistikerte og ikke alltid er begrenset til sideinnhold, men kan målrette nettleseren, operativsystemet eller til og med selve nettverket.

Live Intelligence er ett lag i Lightspeed Filters flerlagstilnærming, og fungerer sammen med:

• Nulldagers trusselbeskyttelse for ukjente og nylig registrerte nettsteder
• Granulær sikkerhetskategorisering for dynamisk, policybasert blokkering
• ChromeOS-app og -enhet beskyttelse for trusler som omgår utvidelser
• Filtrering på enhetsnivå og nettverksnivå på tvers av alle større enheter og operativsystemer

Hvert lag lukker hull som de andre ikke dekker. Det er med vilje.

Sanntids bypass-deteksjon styrker Live Intelligence-laget spesifikt – det legger til atferdsbasert identifikasjon av proxy-aktivitet mens den kjøres, og adresserer metodene som historisk sett har sluppet gjennom.

Sikt krever ikke et sløvt instrument

Deteksjon og blokkering er to separate kontroller, og poenget er å holde dem adskilt. Skoler trenger full innsikt i hva som skjer på nettverket deres – ikke bare for å blokkere aktivitet, men for å revidere den, identifisere nye trusler og forstå mønstre før de blir problemer.

Lightspeed Filters følsomhetskontroller lar administratorer finjustere bypass-deteksjon etter policy (“Avslappet”, “Normal” eller “Streng”) for ulike brukergrupper, klassetrinn eller ansatte. Blokkering kan også justeres på kategorinivå, noe som gir skolene presis kontroll over hvordan deteksjon håndheves på tvers av ulike trusseltyper. Et distrikt kan velge å automatisk blokkere proxy-rammeverk for hele distriktet, samtidig som blokkering av spillaggregatorer er deaktivert for en bestemt gruppe – noe som reduserer forstyrrelser der det er fornuftig uten å skape blindsoner. Deteksjon fortsetter å kjøre på tvers av alle kategorier uansett, slik at ingenting forsvinner ut av syne bare fordi blokkering ikke brukes.

Den fleksibiliteten er viktig i praksis. Målet er ikke å låse alle enheter vilkårlig. Det er for å gi IT- og sikkerhetsteam informasjonen og kontrollen til å ta de riktige avgjørelsene for miljøet sitt.

Hva dette betyr for nettverket ditt

Proxy-omgåelse har forbigått alle andre trusselkategorier i K–12-nettverk i volum. Verktøyene elevene bruker er sofistikerte, mye delt og spesielt utviklet for å unngå konvensjonell filtrering.

Å håndtere dette krever deteksjon som opererer på atferdsnivå – evaluering av hva som kjører i nettleseren, ikke bare hvilken adresse den peker på. Det er det Live Intelligence for bypass-deteksjon og blokkering bringer til Lightspeed Filter.

Hvis ditt nåværende filter hovedsakelig er basert på URL- eller domenesamsvar, har det hull. Og det er nettopp disse hullene der omgåelsesaktiviteten befinner seg. Lær mer om hvordan Lightspeed Filter™ håndterer omgåelsesdeteksjon og -blokkering på vår side for forebygging av filteromgåelse.