White Paper. Inhaltsverzeichnis

Transkript

1 Secure Computing ist einer der international führenden Anbieter von Lösungen im Bereich Enterprise Security. Unser preisgekröntes Portfolio mit Lösungen auf der Grundlage unserer TrustedSource -Technologie ermöglicht es unseren Kunden, innerhalb und außerhalb ihres Unternehmens zuverlässige IT-Umgebungen zu schaffen. Besserer Schutz vor Angriffen aus dem Internet: Neun völlig neue Möglichkeiten zur Verringerung des Netzwerkrisikos durch Geo-Location und sfilterung Inhaltsverzeichnis Einleitung... 2 Besserer Schutz vor Angriffen aus dem Internet basierend auf der geografischen Lage... 2 Innovation: Geo-Location... 2 Neuer Schutz Nr. 1: Geo-Location zur Verringerung des Datenverkehrs im Netzwerk... 3 Neuer Schutz Nr. 2: Geo-Location zur Verringerung des Angriffsrisikos... 3 Besserer Schutz vor Angriffen aus dem Internet basierend auf sdaten... 3 TrustedSource Global Intelligence... 4 Neuer Schutz Nr. 3: TrustedSource-Technologie zur Verringerung des Datenverkehrs im Unternehmensnetzwerk... 5 Neuer Schutz Nr. 4: TrustedSource zur Verringerung des Angriffsrisikos durch Echtzeit-Informationen... 5 Neuer Schutz Nr. 5: Identifizierung befallener PCs von Mitarbeitern an entfernten Standorten... 6 Secure Computing Corporation Hauptsitz des Unternehmens 55 Almaden Blvd., 5th Floor San Jose, CA 95113, USA Tel: Tel: Fax Hauptniederlassung in Europa No 1, The Arena Downshire Way Bracknell, Berkshire RG12 1PU Großbritannien Tel: Hauptniederlassung Deutschland Ohmstraße 4 / Haus C Unterschleißheim Deutschland Tel: Fax: Eine vollständige Liste aller Niederlassungen finden Sie unter www. securecomputing.com/goto/globaloffices Neuer Schutz Nr. 6: Sperrung des Zugangs zu schädlichen DNS-Servern; Entdeckung von Malware-infizierten Rechnern im eigenen Netzwerk... 6 Besserer Schutz vor Angriffen aus dem Internet basierend auf der geografischen Lage und der... 7 TrustedSource und Geo-Location in Kombination: höchste Flexibilität für Netzwerkzugang und Fernzugriff... 7 Neuer Schutz Nr. 7: Sicherung des Zugriffs für mobile Mitarbeiter... 7 Neuer Schutz Nr. 8: Sicherung des Banksystems... 8 Neuer Schutz Nr. 9: Beträchtliche Verbesserung der kategoriebasierten Web-Filterung... 8 Hinweis in Sachen Flexibilität... 9 Fazit Informationen über (Sidewinder) Secure Computing Corporation. Alle Rechte vorbehalten. FIRE-GeoL-WP-July08vF. Secure Computing, IronMail, MobilePass, SafeWord, SecureOS, SecureSupport, Sidewinder, SmartFilter, SnapGear, Strikeback, Type Enforcement und Webwasher sind Marken der Secure Computing Corporation, eingetragen beim U.S. Patent and Trademark Office sowie in anderen Ländern. SecureWire, SmartReporter und TrustedSource sind Marken der Secure Computing Corporation.

2 Einführung Kombinierte Bedrohungen (Blended Threats) sind auf dem Vormarsch Blended Threats sind besonders gefährliche Angriffe, da sie mehrere Bedrohungsfaktoren vereinen. So entstehen schwerwiegende Schäden, und die Infektion greift sehr schnell um sich. Es kommt beispielsweise vor, dass typische Merkmale von Viren und Würmern zusammengeführt und zusätzlich die spezifischen Schwachstellen von Computern, Netzwerken oder anderen physischen Systemen genutzt werden. Bei einem derartigen Angriff besteht die Möglichkeit, dass ein Hybrid aus Virus und Wurm per verteilt wird. Mit diesem selbstreproduzierenden Schadprogramm können auch Web-Server infiziert werden die Infektion breitet sich dann über alle Besucher einer bestimmten Website aus. Die herkömmlichen reaktiv ausgelegten Technologien der meisten aktuellen Firewallbzw. Sicherheitsprodukte arbeiten mit schwarzen Listen oder bieten signaturbasierten Schutz. Komplexe Angriffe werden damit nicht erkannt. Das Internet bietet Unternehmen attraktive Möglichkeiten für Kommunikation und Kosteneinsparungen mit einem Tempo, das noch vor zehn Jahren unvorstellbar war. Allerdings sind nach Angaben von Google zehn Prozent aller Websites mit Malware infiziert 1, und TrustedSource.org identifiziert jeden Tag circa neue Zombies 2. Daran wird deutlich, dass es auch enorme Sicherheitsrisiken gibt, die das Internet zu einem gefährlichen Instrument für die Abwicklung von Geschäften machen. Wenn man das Internet wie einen physischen Marktplatz betrachtet, ergibt sich folgendes Bild: Egal wo Sie Ihren Standort haben, im Internet platzieren Sie Ihr Gebäude gleichzeitig in den guten und schlechten Lagen der Stadt! Die tatsächliche räumliche Nähe spielt keine Rolle mehr, und angesichts der ständigen Ausbreitung von Malware, kombinierten Angriffen, Phishing und Spyware im Web sowie per , FTP, VoIP und über verschlüsselten Datenverkehr wachsen die Bedrohungen ebenso schnell wie die Chancen für Ihr Unternehmen. Mehr denn je sind Unternehmen auf eine sichere und zuverlässige Infrastruktur angewiesen, um Risiken zu senken, gesetzliche Vorschriften einzuhalten und Datenbestände vor einer Vielzahl von Web-2.0- Bedrohungen zu schützen. Diese Bedrohungen sind vielfältig angefangen bei Botnets und Zombies über Malware, Spyware, Identitätsdiebstahl, Würmer und Trojaner, Angriffe durch SQL-Injektionen und Cross Site Scripting bis hin zu Viren und Haftungsrisiken um nur einige zu nennen. Hinzu kommt, dass diese Bedrohungen mittlerweile häufig verbunden sind, also verschiedene Angriffswege gleichzeitig nutzen, und aus allen Regionen der Welt kommen, auch aus den schlechten Gegenden, in denen Sie Ihr Geschäft niemals ansiedeln würden. In diesem werden zwei vielversprechende neue Technologien vorgestellt, die Ihnen durch Beschränkung des Internets auf die guten bzw. geschäftlich erforderlichen Regionen eine deutliche Senkung des Risikos von Angriffen auf Ihr Netzwerk ermöglichen. Innerhalb dieser Internet- Regionen können Sie das Risiko weiter reduzieren, indem Sie beim verbleibenden Datenverkehr auf sinformationen zurückgreifen und klassische Firewall-Richtlinien bzw. Sicherheitsvorgaben sowie Filter einsetzen. Sie lernen neun völlig neue Verfahren kennen, mit denen Sie Ihr Netzwerk vor den umfassenden und weitreichenden Gefahren des Internets schützen können, während Sie gleichzeitig von höchster Flexibilität für reibungslosen Zugang und Bandbreitenmaximierung profitieren. Besserer Schutz vor Angriffen aus dem Internet basierend auf der geografischen Lage Nur wenige Unternehmen haben Geschäftsbeziehungen mit allen Ländern der Erde. Unternehmensnetzwerke können dennoch mit unerwünschtem oder sogar gefährlichem Datenverkehr aus allen sicheren oder unsicheren Gebieten rund um den Globus überschwemmt werden die Firmenpräsenz im Internet bildet das Einfallstor. Auch die eigenen Mitarbeiter erhalten darüber denselben indirekten Zugang zu Applikationen und Servern in allen Regionen der Erde, selbst zu solchen, die unter Umständen Malware verbreiten oder andere unlautere Absichten haben. Wie wäre es nun, wenn es eine Technologie gäbe, mit der Sie die geografischen Regionen auswählen könnten, aus denen eine Verbindung mit Ihrem Netzwerk zulässig ist bzw. zu denen Ihre Mitarbeiter eine Verbindung aufbauen dürfen? Geo-Location Geo-Location ist eine innovative neue Technologie, mit der Unternehmen Firewall- Richtlinien so festlegen können, dass Verbindungen je nach Ländercode gesperrt oder zugelassen werden (Abbildung A). Unternehmen können also bestimmen, aus welchen Ländern sie Verbindungen annehmen (eingehender Datenverkehr) und zu welchen Gebieten die Mitarbeiter eine Verbindung aufbauen dürfen (ausgehender Datenverkehr). von Secure Computing ist die erste und einzige Firewall, die es Unternehmen ermöglicht, das Angriffsrisiko zu reduzieren, indem sie ihren Internet-Radius auf Regionen beschränken, die sie für sicher bzw. sicherer halten. Geo-Location filtert dazu den Zugriff von festgelegten Einzel- oder Gruppenstandorten anhand einer ständig aktualisierten Datenbank, in der jeder im Internet vorhandenen IP-Adresse ein Ländercode zugeordnet wird. Dank dieser fortschrittlichen Funktion können Sie die betreffenden Regionen komplett blockieren oder alternativ zusätzliche Sicherheitsvorkehrungen dafür treffen, beispielsweise mit intensiver Applikationsfilterung, IPS und Virenfilterung. 1 id=100000a0cehc 2 2

3 Kommentare zu Secure Firewall Geo-Location Preston Hogue, Chief Security Officer bei Network Computing Architects, Inc.: Da Secure Firewall die Möglichkeit bietet, Verbindungen basierend auf dem Ländercode einer IP- Adresse zu filtern, können unsere Kunden die Bedrohung durch Viren und Malware aus Hochrisikogebieten erheblich reduzieren und so ihren geschäftlichen Aktionsradius erweitern. Mehrere Kunden und Interessenten betrachten diese Technologie als hervorragendes neues Verfahren, um die Netzwerksicherheit zu verbessern und die Belastung von Verteidigungssystemen an der Netzwerkperipherie zu verringern. Charles Kolodgy, Research Director bei IDC: Die Reduzierung der Bedrohungen und des Datenverkehrs sind gleichermaßen erstrebenswerte Ergebnisse. Da unerwünschter bzw. schädigender Datenverkehr häufig aus bestimmten geografischen Regionen stammt, in denen Kunden keine Geschäftsinteressen verfolgen, bewirkt die Steuerung dieses Datenverkehrs eine Reduzierung der Bedrohungen sowie eine Verbesserung der Sicherheit neben anderen Vorteilen wie einem potenziell geringeren Aufwand bei der - Archivierung, der Einhaltung von Auflagen, bei der elektronischen Beweiserhebung und ähnlichen IT-Aktivitäten. Die Geo-Location-Technologie erschließt Unternehmen das Potenzial dieser Vorteile, da Verbindungen basierend auf der Länderregion an der Firewall-Peripherie gefiltert werden können. In Verbindung mit dem sfilter von TrustedSource lässt sich mit dieser Kontrolle ein höheres Schutzniveau erreichen. Die Möglichkeiten des Einsatzes von Geräten zur Netzwerksicherheit werden umfassend erweitert. Damit haben wir ein Element des aufkommenden Trends XTM (Extensible Threat Management). Land 1 Land 2 Land 3 Land 4 mit Geo-Location-Technologie Abbildung A: Geo-Location ermöglicht große Einsparungen bei der Bandbreite und eine Verringerung der Angriffsgefahr, da Datenverkehr basierend auf dem Ländercode zugelassen oder abgelehnt werden kann. Secure Firewall Geo-Location ist Bestandteil aller acht Modelle von (Sidewinder). Geo-Location gibt Unternehmen die Kontrolle über Zugriffe aus Ländern, mit denen keine Geschäftsbeziehung besteht, aber auch aus Ländern, die als Ursprung böswilliger Hacker-Angriffe bekannt sind. Gewiss ist keine geografische Region gegen schädigenden Datenverkehr immun, doch rund um den Globus gibt es einige regelrechte Brutstätten mit höheren Konzentrationen bei der Verbreitung von Schadprogrammen. Am 4. Juni 2008 berichtete die Nachrichtenagentur Associated Press 3 darüber, dass bestimmte Regionen sehr viel häufiger eine Quelle von Bedrohungen sind als andere. In dem Beitrag wurden auch die (spezifischen Ländern zugeordneten) Domänen genannt, in denen die meisten bzw. die wenigsten gefährlichen Websites zu finden sind. Bei den risikoreichsten Länderdomänen wurden 11,8 bis 19,2 Prozent der untersuchten Websites als potenzielle Gefahr für Besucher identifiziert. Wenn ein Unternehmen nicht in Geschäftsbeziehungen mit derartigen Hochrisikoregionen steht, gibt es absolut keinen Grund, das Unternehmensnetzwerk dieser Gefahr auszusetzen. Neuer Schutz Nr. 1: Geo-Location zur Verringerung des Datenverkehrs im Netzwerk Die meisten (selbst einige der weltweit größten) Unternehmen, die auf das Internet zugreifen, haben nur in einigen wenigen Ländern Geschäftsniederlassungen bzw. Mitarbeiter. Wenn Ihr Unternehmen nur in fünf bis zehn Ländern aktiv ist, können Sie in großem Umfang Bandbreite sparen, indem Sie die Zahl der Länder begrenzen, denen Sie über Internetverbindungen Zugriff auf Ihr Netzwerk gewähren. Zehn Länder sind natürlich sehr viel weniger als die ungefähr 200 Länder, die es derzeit auf der Erde gibt überlegen Sie sich die Auswirkungen. Ihnen stünde mehr Verarbeitungsleistung für den erwünschten Datenverkehr zur Verfügung, und Sie müssten nicht mehr jahrelang Unmengen von unerwünschten s speichern, um den gesetzlichen Vorschriften Genüge zu tun. Neuer Schutz Nr. 2: Geo-Location zur Verringerung des Angriffsrisikos Eine Länderbeschränkung spart nicht nur Bandbreite, sie trägt auch zu einer starken Reduzierung des Sicherheitsrisikos für das Netzwerk sowie für Fernzugriffsserver und Applikationen mit Internetanbindung bei. Sollten Sie also nicht in Geschäftsbeziehungen mit gut 200 verschiedenen Ländern stehen oder Mitarbeiter in all diesen Ländern haben, bietet es sich vielleicht an, etwa 190 Länder per Firewall-Richtlinie zu blockieren und Datenverkehr nur für die Länder zuzulassen, in denen Sie tätig sind. Sie könnten dadurch das unnötige Risiko ganz einfach vermeiden. Für Behörden oder Unternehmen mit kritischen Infrastrukturen (beliebiger Ebene) ergeben sich noch mehr Vorteile, da solche Organisationen typischerweise nur Leistungen für Menschen im gleichen Land bzw. in einer begrenzten Region bereitstellen. Eine Richtlinie zum Blockieren des Zugriffs für die meisten (oder auch alle) anderen Länder lässt sich daher leicht legitimieren. Behörden aus dem Verteidigungsbereich könnten eine strategische Gruppe verbündeter Länder anlegen, denen dann Zugriff auf das gesamte Netzwerk oder auf bestimmte Applikationen gewährt wird. Besserer Schutz vor Angriffen aus dem Internet basierend auf sdaten Natürlich kann es selbst in guten Gegenden vorkommen, dass Gauner in dunklen Ecken auf unbekümmerte und ungeschützte potenzielle Opfer lauern. In der Cyber-Welt handelt es sich dabei um zunehmend besser organisierte Kriminelle und Hacker, die aus dem Schaden an Unternehmen Profit schlagen wollen. 3 Ihr geschütztes Netzwerk 3

4 Ohne Zweifel wäre es vorteilhaft, bereits vor Beginn des Angriffs zu wissen, wer diese Kriminellen sind. In der Web-2.0-Welt ist Hacking ein lukratives Geschäft und Drive-by-Downloads von Malware beim Surfen im Internet sind gang und gäbe. Sie können es sich ganz einfach nicht leisten, keine Informationen über die Absender empfangener Daten oder über die von Ihren Mitarbeitern besuchten Websites zu haben. Secure Computing ermöglicht Ihnen erstmals einen fundierteren Blick auf das Internet, sodass Sie die Risken begrenzen können, die sich für Ihr Unternehmen aus den ständig neuen schädlichen Strategien der Hacker ergeben. TrustedSource Global Intelligence Nehmen wir an, Sie haben mit Geo-Location Filter eingerichtet, die nur Webseiten aus den von Ihnen gewünschten und benötigten Gebieten zulassen. Wie können Sie nun Cyber-Kriminelle erkennen, die womöglich zunächst einen guten Eindruck machen? Wie wäre es, wenn Sie erfahren könnten, ob ein System (also eine Website oder ein PC im Internet) als gut oder schlecht einzustufen ist, selbst wenn Sie nie zuvor damit zu tun hatten? Stellen Sie sich außerdem vor, dass Sie diese Informationen unabhängig vom Inhalt des Systems erhalten könnten. Mit Secure Computing haben Sie diese Möglichkeit. Secure Computing setzt mit dem innovativen, branchenführenden ssystem TrustedSource neue Maßstäbe für die proaktive Risikoerkennung. TrustedSource ist ein echtzeitbasierter In-the-Cloud-Service, also ein internetbasierter Dienst zur Erfassung der Verhaltenshistorie () jedes Internet-Systems. Sie erfahren damit, ob es das Risiko lohnt, Bandbreite einzusetzen und den Datenverkehr in Ihrem Netzwerk zu verarbeiten (Abbildung B). Absender, Hosts (PCs, Server) GUTE Anfrage Antwort SCHLECHTE Ausgestattet mit TrustedSource Ihr geschütztes Netzwerk Abbildung B: TrustedSource-Technologie ist ein sogenannter In-the-Cloud-Service, also ein Internet-basierter Dienst. swerte werden damit über einen verschlüsselten Kanal an in Ihrem Unternehmen gesendet, sodass Sie Ihr Risiko bei Verbindungen beurteilen können. Im Unterschied zu Technologien auf Basis von Black-Lists und Signaturen kommen bei TrustedSource Echtzeitdaten zum Einsatz. Mit TrustedSource bekämpfen Sie nicht nur die Symptome, sondern packen das Übel bei der Wurzel so schützen Sie Ihr Netzwerk proaktiv vor Zero-Hour-Angriffen (mit unbekanntem schädlichem Code). TrustedSource stellt ein neuartiges Schutzkonzept dar. Der Datenverkehr wird nicht anhand von relativ statischen Bedrohungsinformationen aus der Firewall analysiert, sondern basierend auf globalen Echtzeitinformationen über die eines Internet-Systems. Signaturen (aus Virenschutz- und IPS- Systemen) eignen sich im Rahmen von umfassenden Firewall-/Gateway-Lösungen gut zum Abwehren spezifischer bekannter Angriffe. Bei neuen Angriffen ist die Wirksamkeit allerdings stark eingeschränkt Zero-Hour-Attacken in täglich wechselnder Form richten verheerende Schäden an, weil keine Signaturen dafür vorhanden sind. TrustedSource unterscheidet sich von Signaturdiensten, denn TrustedSource sucht im Internet selbst nach den Angreifern und schädlichen Websites. Mit anderen Worten: TrustedSource bekämpft die Ursache und nicht nur die Symptome also eine proaktive Vorgehensweise gegen Zero- Hour-Angriffe, die Ihnen hilft, um sich greifende Zombie-PCs, Spam-Versender, infizierte Websites, Botnets, schädliche DNS-Server und vieles mehr zu vermeiden. TrustedSource funktioniert ähnlich wie die Systeme zur Bewertung der Kreditwürdigkeit, die im Finanzdienstleistungsbereich eingesetzt werden: Für jede Person und jedes Unternehmen wird dabei basierend auf der individuellen Finanzhistorie (aufgenommene und zurückgezahlte Kredite, pünktlich geleistete Zahlungen usw.) die Kreditwürdigkeit bewertet. Die Bewertung fließt dann bei potenziellen Kreditgebern in die Entscheidungsfindung ein. In der Cyber-Welt ermittelt TrustedSource einen swert für jeden Host und jedes Gerät (also jede IP-Adresse). Grundlage dafür ist die tägliche Überwachung von Milliarden Internet-Transaktionen mit Zehntausenden Sensoren weltweit. Anhand des ermittelten Werts wird IP-Adressen dann der Zugang zu Ihrem Netzwerke gewährt oder verweigert (Abbildung C). Trügerische Botnets, Zombies und kombinierte Bedrohungen werden dadurch unschädlich gemacht, selbst wenn ein bestimmter Angriff niemals zuvor aufgetreten ist. 4

5 Mitarbeiter an entferntem Standort Secure Computing TrustedSource Bereitstellung von Informationen zur globaler IP-Adressen an GUTE bis NEUTRALE = normale Richtlinie für die Web-Zugriffe Internet GUTE bis NEUTRALE SCHLECHTE SCHLECHTE = Richtlinie für schlechte ; eingeschränkter Zugriff (Sidewinder) Ihr geschütztes Netzwerk Abbildung C: TrustedSource ermöglicht Ihnen das Auswählen einer Richtlinie basierend auf swerten. TrustedSource ist Signaturen damit weit voraus auch Angriffe, die nie zuvor aufgetreten sind, können gestoppt werden. Das Global-Intelligence-Raster von TrustedSource gibt Ihnen die Möglichkeit, über 70 Prozent des Datenverkehrs, der heute die Netzwerke überflutet, bereits an den Außengrenzen Ihres Unternehmensnetzwerks zu stoppen. Das Datenvolumen auf Downstream-Servern in Ihrem Netzwerk wird dadurch reduziert, und die Gefährdung durch Angriffe verringert (Abbildung D). Mit Hilfe von TrustedSource können Sie die betreffenden Verbindungen zurückweisen und die Ressourcen stattdessen für die verbleibenden, wichtigen Verbindungen einsetzen, die dann unter Verwendung Ihrer standardmäßigen Firewall-Richtlinie (z. B. mit Virenschutz, IPS, Web-Filterung und spezifischen Application-Layer-Kontrollen) weiter gefiltert werden. Thema Schnelllebigkeit: Die von Internet- Teilnehmern kann sich rasch ändern. Sie können sicher sein, dass die Internet-basiert ablaufende Verteilung von globalen TrustedSource- Informationen an Secure Firewall für Echtzeit-Schutz sorgt die Vertrauenswürdigkeit von Internet-Teilnehmern ist tagesaktuell bekannt. Ein Beispielfall: Die Website des Football-Teams Miami Dolphins wurde kurz vor dem Super Bowl 2007 gehackt. 4 Jeder Besucher der Website wurde ohne sein Wissen mit Malware infiziert. TrustedSource wusste darüber Bescheid, dass diese sonst vertrauenswürdige Site manipuliert war. Nach Behebung des Problems wurden die Informationen über die Sicherheit der Site entsprechend aktualisiert, um korrekte swerte an Secure Firewall (Sidewinder) liefern zu können und angemessene Richtlinienentscheidungen in Echtzeit zu ermöglichen. Gesamtmenge des Internet- Datenverkehrs Spam Infizierte Web-Antworten Botnet-Scans Sonstiges Secure Firewall Nur der von Ihnen benötigte SAUBERE Internet-Datenverkehr! Ihr geschütztes Netzwerk Abbildung D: Mit globalen sinformationen stoppt TrustedSource über 70 Prozent des gesamten Datenverkehrs, der die Netzwerke heutzutage überflutet. TrustedSource, das Bestandteil aller acht Modelle von (Sidewinder) ist, hält unerwünschten Traffic an der Unternehmensperipherie auf so profitieren Sie von mehr freier Bandbreite und Verarbeitungsleistung sowie von Kosteneinsparungen und Risikoverringerung. Neuer Schutz Nr. 3: TrustedSource-Technologie zur Verringerung des Datenverkehrs im Unternehmensnetzwerk Die im Internet angesiedelte TrustedSource Global Intelligence ist mit (Sidewinder) verbunden. Nach der Implementierung werden automatisch 70 Prozent oder mehr des bekannten schädlichen Datenverkehrs (mit schlechter ) direkt auf Verbindungsebene ausgeschlossen. So werden Firewall, Web-Server, Mail-Server und das gesamte Netzwerk im Unternehmen entlastet. Neuer Schutz Nr. 4: TrustedSource verringert das Angriffsrisiko durch Echtzeit- Informationen Beim Prinzip des Blockierens und beim Anwenden verstärkter Schutzmaßnahmen auf Datenverkehr, der anhand der als fragwürdig eingestuft wurde, geht es letztlich immer darum, die Gefährdung durch Angriffe zu reduzieren. Ob in der Finanzbranche oder in der Cyber-Welt eine schlechte kommt meist nicht von ungefähr. Wenn eine Internet-Einheit in der Vergangenheit Spam versendet hat oder über bestimmte Kanäle in Kommunikation mit einem Botnet stand, ist es sehr wahrscheinlich, dass auch neue, aktuell verbreitete Angebote eher gemieden werden sollten

6 Neuer Schutz Nr. 5: Identifizierung befallener PCs von Mitarbeitern an entfernten Standorten Angenommen, der private PC eines Mitarbeiters aus der Finanzabteilung wurde durch Malware-Infektion zum Zombie was geschieht, wenn dieser Mitarbeiter mit dem befallenen Gerät auf die Finanzdatenbank zugreifen möchte? Beim Versuch des Zugriffs auf Ihr Netzwerk wird der Zugang verweigert. Dies geschieht nicht aufgrund falscher Zugangsdaten für die VPN-Verbindung oder die zuverlässige Authentifizierung, sondern weil TrustedSource den PC als Zombie identifiziert und ihm einen entsprechend niedrigen swert zugewiesen hat. TrustedSource kann so verhindern, dass infizierte PCs aus dem Internet Ihr Netzwerk schädigen (Abbildung E). TrustedSource Blockierung des Datenverkehrs von einem PC mit einem SCHLECHTEN swert, selbst wenn der betroffene Mitarbeiter versucht, sich mit zuverlässiger Authentifizierung anzumelden Mitarbeiter an entferntem Standort mit Zombie-PC Ihr geschütztes Netzwerk Abbildung E: Durch globale Echtzeitinformationen zur weiß TrustedSource, wann der Fernzugriff eines Mitarbeiters aufgrund eines infizierten PCs abzulehnen ist. Neuer Schutz Nr. 6: Sperrung des Zugangs zu schädlichen DNS-Servern; Entdeckung von Malware-infizierten Rechnern im eigenen Netzwerk Laufend werden zahlreiche Laptops und portable Datenträger wie z. B. USB-Laufwerke mit Ihrem Netzwerk verbunden und wieder davon getrennt. Dieselben Geräte Ihrer Mitarbeiter sind zu anderen Zeitpunkten wahrscheinlich an öffentliche Netzwerke angeschlossen, daher ist es fast unmöglich, die Systeme frei von Malware zu halten. Selbst die neuesten Virenschutzprogramme sind keine Garantie, da ständig blitzschnell neue Viren und neue Malware auftauchen. Einige Malware-Programme führen sehr elementare Schritte aus. URL-Anfragen von Mitarbeitern können beispielsweise einfach auf schädliche DNS-Server im Internet umgeleitet werden. Der schädliche DNS-Server leitet den Datenverkehr vom PC des Mitarbeiters dann zu einer Website um, die auf jeden Fall weitere Schäden am Rechner und an Ihrem Netzwerk verursacht. TrustedSource mit blockiert die Umleitung zum schädlichen DNS-Server nicht nur, sondern protokolliert auch den Versuch der Umleitung. Administratoren können dann proaktiv den infizierten Rechner im Netzwerk suchen und ihn säubern (Abbildung F). 2 Prüft die bei einem TrustedSource-Zentrum Internet Desktop-Benutzer 1 PC ist infiziert Klick auf URL Malware leitet DNS-Abfrage um Umleitung führt zu schädlichem DNS-Server im Internet (Sidewinder) TrustedSource lehnt die Anfrage ab Schädlicher DNS-Server Kein legitimer Internet-DNS- Server Angelegt für die Umleitung des Datenverkehrs auf eine schädliche Website Abbildung F: Anhand der swerte erkennt TrustedSource auch die schädlichen DNS-Server, die zum unbemerkten Umleiten von Internet-Browsern auf Websites mit schädlichen Inhalten dienen. TrustedSource schützt Mitarbeiter beim Surfen im Internet die schädlichen DNS-Server werden erkannt und blockiert, bevor ein Schaden angerichtet werden kann. 3 6

7 Besserer Schutz vor Angriffen aus dem Internet basierend auf der geografischen Lage und der Die Kombination aus TrustedSource und Geo-Location bietet Ihnen ultimative Flexibilität für den Zugriff innerhalb des Netzwerks ebenso wie für den Fernzugriff Geo-Location kann in Verbindung mit TrustedSource eingesetzt werden, um das Gefährdungspotenzial für Ihr Unternehmen drastisch zu reduzieren. Dabei werden Richtlinien festgelegt, in die sowohl der Ländercode als auch die der IP-Adresse des Datenverkehrs einfließen. Mit (Sidewinder) ist der separate oder kombinierte Einsatz von TrustedSource und Geo-Location in der Firewall-Richtlinie möglich. Involviert sind folgende Elemente: 1. Sowohl ein- als auch ausgehender Datenverkehr 2. Jedes Protokoll, nicht nur Web und Mail 3. Flexible Sicherheitsrichtlinien durch Regelbasierung 4. Kombination mit Proxys, detaillierten Applikationskontrollen, IPS- und Viren-/Malware-Signaturen Weder Geo-Location noch TrustedSource müssen in der Firewall-Richtlinie global aktiviert oder deaktiviert sein. Sie können die kombinierte bzw. einzelne Anwendung spezifisch festlegen. In Abbildung G sehen Sie Beispiele für die Flexibilität der Firewall-Richtlinie so können Sie durch den gemeinsamen Einsatz von Geo-Location und TrustedSource-Technologie höchste Kontrolle und umfassende Zugangsmöglichkeiten erreichen. In den weiteren Abschnitten dieses s werden diese Vorteile anhand von Beispielen aus der Praxis verdeutlicht. GUT Zugelassenes Land GUTE Zugelassenes Land NEUTRALE Uneingeschränkter Zugriff Authentifizierung erforderlich Neutral SCHLECHT Zugelassenes Land SCHLECHTE Abgelehntes Land SCHLECHTE Scanning auf Malware; Einschränkungen bei aktiven Inhalten Verweigerung des Zugriffs Geo-Location Abbildung G: Profitieren Sie durch Geo-Location in Kombination mit TrustedSource von dem äußerst flexiblem Zugriff auf den Datenverkehr. Neuer Schutz Nr. 7: Sicherung des Zugriffs für mobile Mitarbeiter Ein sehr gutes Beispiel für die Vorteile des kombinierten Einsatzes von TrustedSource und Geo-Location ist die Verringerung von False-Positives, wenn ein Mitarbeiter in ein anderes Land gereist ist, das aufgrund der geografischen Region vom Unternehmen blockiert wurde, und von dort Zugang zu den Servern im Netzwerk erhalten möchte. Die -Richtlinie wäre hier darauf ausgelegt, einem PC mit Standort im gesperrten Land XYZ, aber gutem swert den Zugriff auf das Netzwerk zu gewähren (Abbildung H). 7

8 TrustedSource und Geo-Location Zulassung von Datenverkehr mit GUTEM swert auch bei Ursprung in einem Land mit SCHLECHTEM swert GUT Mitarbeiter an entferntem Standort in Land XYZ Ihr geschütztes Netzwerk Abbildung H: Ein Mitarbeiter in einem per Geo-Location gesperrten Land kann aufgrund eines guten TrustedSource- swerts und korrekter Authentifizierung Zugang zu Ihrem Netzwerk erhalten. Neuer Schutz Nr. 8: Sicherung des Banksystems In der heutigen Bankenwelt sind Phishing-Angriffe und damit zusammenhängende Anmeldeversuche ein bedeutender Kostenfaktor und eine große Belastung für die betroffenen Finanzinstitute. Wenn TrustedSource und Geo-Location Ihren Servern vorgeschaltet sind, können Sie eine sehr detaillierte Richtlinie festlegen, die Authentifizierungsversuche je nach Ursprungsland und des Hosts blockiert oder weiter filtert. In Abbildung I sehen Sie Beispiele für die mögliche Implementierung einer -Richtlinie im Bankenbereich. Länder mit hohem Risiko werden automatisch blockiert, sofern nicht der Host (PC oder Server) eine gute hat. Internet Heimatregion IP-Standort Andere Regionen Bekannte Risikoländer IP- GUT UNBEKANNTE Als VERDÄCHTIG oder SCHÄDLICH eingestufte ZULASSEN ZULASSEN BLOCKIEREN ZULASSEN CHALLENGE- RESPONSE VERLANGEN BLOCKIEREN CHALLENGE- RESPONSE VERLANGEN BLOCKIEREN BLOCKIEREN TrustedSource und Geo-Location Banksystem/kritische Applikation Abbildung I: Im Bankenbereich setzen Geo-Location und TrustedSource Informationen ein, um Verbindungen von Hosts mit schlechter oder aus bekannten Risikoländern zu filtern, sodass Ihre Dienste vor Phishing-Versuchen aus allen Teilen der Welt geschützt sind. Neuer Schutz Nr. 9: Beträchtliche Verbesserung der kategoriebasierten Web- Filterung Gegen die in der Web-2.0-Welt zunehmend verbreitete Drive-by-Malware und gegen Schadprogramme, die innerhalb weniger Tage hunderttausende Web-Server infizieren, bieten die bisher eingesetzten Technologien zur kategoriebasierten Web-Filterung keinen angemessenen Schutz. Eine vor kurzem veröffentlichte Studie von Google bestätigt das häufige Vorkommen von Malware auf legitimen Websites: Nach Angaben von Google ergaben eine Untersuchung von mehreren Milliarden URLs und eine detaillierte Analyse von 4,5 Millionen Webseiten in einem Zeitraum von 12 Monaten, dass von Webseiten aus Drive-by-Downloads gestartet wurden. 5 Mit, TrustedSource und Geo-Location lassen sich vorhandene Lösungen zur kategoriebasierten Web-Filterung erheblich verbessern: Mitarbeiter können daran gehindert werden, unbeabsichtigt auf einen Link zu klicken etwa über Werbung auf einer eigentlich vertrauenswürdigen Website und dadurch eine Verbindung zu einer URL aufzubauen, die dann eine Umleitung zu einem Malware-Server auslöst (Abbildung J). TrustedSource Global Intelligence kennt die infizierten Websites, 5 id=100000a0cehc 8

9 die sich von einem Tag zum anderen dynamisch ändern können, und ihnen ist bereits eine schlechte zugeordnet. Basierend auf dem swert verweigert (Sidewinder) dem Mitarbeiter den Zugriff auf die Websites. Geo-Location schafft zusätzlichen Schutz für das Netzwerk, indem Mitarbeitern der Zugang zu Webseiten in Ländern verwehrt wird, mit denen das Unternehmen keine Geschäftsbeziehungen pflegt oder die vom Unternehmen als häufige Quelle für schädigende Websites eingestuft wurden. TrustedSource und Secure Firewall Geo-Location Schutz der Benutzer beim Surfen auf Websites Firewall-Richtlinie für GUTE ZULASSEN AKTIVER INHALTE Zulassen des Herunterladens von EXE- und PDF-Dateien GUTE für Ihr geschütztes Netzwerk (Sidewinder) SCHLECHTE für XXX Firewall-Richtlinie für SCHLECHTE BLOCKIEREN AKTIVER INHALTE Ausschließen von ActiveX Ausschließen von JavaScript Ausschließen von EXE-Dateien Ausschließen von PDF-Dateien Scannen des gesamten Inhalts auf Malware Abbildung J: TrustedSource und Geo-Location setzen dort an, wo bisher eingesetzte Technologien zur kategoriebasierten Web-Filterung enden sinformationen für dynamische Internet-Systeme werden in Echtzeit bereitgestellt; das Angriffsrisiko wird auf geografische Regionen beschränkt, die erforderlich und erwünscht sind. Hinweis in Sachen Flexibilität TrustedSource-Technologie erlaubt Unternehmen eine neue Flexibilität für individuelle Anforderungen. Dabei kommt eine Skala der Vertrauenswürdigkeit zum Einsatz, die von einer sehr schlechten bis zu einer sehr guten reicht. Je schlechter der swert einer Website ist, desto zuverlässiger ist anzunehmen, dass die Website Malware enthält bzw. schädigende Aktionen ausführt. Sicherheitsadministratoren können abgestimmt auf die jeweiligen Unternehmensrichtlinien Regeln festlegen, die den von TrustedSource bereitgestellten swert berücksichtigen. TrustedSource berechnet die swerte in Echtzeit; Kategorien dafür sind Malicious (schädlich), Suspicious (verdächtig), Unverified (unbestätigt), Neutral (neutral) und Trusted (vertrauenswürdig). Dabei besteht größtmögliche Flexibilität: Weil Netzwerkparameter rund um den Globus variieren können, lassen sich die Grenzen dieser Kategorien den spezifischen Netzwerkanforderungen entsprechend anpassen mit einfachen Konfigurationsoptionen der Benutzeroberfläche von (Abbildung K). Weitere Informationen über TrustedSource finden Sie in dem, das Sie über die folgende Website abrufen können: Schlechte Gute Abbildung K: Die Benutzeroberfläche von (Sidewinder) ermöglicht eine Anpassung der Grenzen zwischen den verschiedenen Kategorien für TrustedSource- swerte, um den individuellen Netzwerkanforderungen bestmöglich gerecht zu werden. IP-Adressen können auch auf eine White-List gesetzt werden, damit Datenverkehr aus wichtigen Netzwerken unter allen Umständen zugelassen wird. 9

10 Fazit Secure Computing setzt mit der Integration der innovativen Geo-Location-Technologie einer Branchenneuheit und des branchenweit ersten und führenden globalen ssystems TrustedSource in jedes der acht angebotenen Modelle von (Sidewinder) neue Maßstäbe für die proaktive Risikoerkennung. Die neuen Technologien schützen nicht nur auf klassische Weise die Netzwerkperipherie vor Angriffen, sie bieten auch Schutz vor Bedrohungen von innen durch Mitarbeiter, die Ihr Netzwerk beim Surfen im Internet in der Web-2.0-Ära unbeabsichtigt einem Risiko aussetzen. Die Technologien verringern die Gefahren für Unternehmen; gleichzeitig reduzieren sie zudem den Datenverkehr für Applikationen mit Internetanbindung so sparen Sie wertvolle Ressourcen und steigern die Leistung Ihres Netzwerks. TrustedSource mit reputationsbasierten Richtlinien und Geo-Location mit länderbasierten Richtlinien lassen sich zusammen mit vorhandenen Firewall-Richtlinien einsetzen, die beispielsweise Virenschutzprogramme, IPS-Signaturen und die Filterung auf Applikationsebene einbeziehen können. Das Risiko für Unternehmen wird damit weiter reduziert; Angriffen wird vorgebeugt. Informationen über (Sidewinder): Die -Appliance ist eine marktführende Firewall der nächsten Generation. bietet Applikationserkennung und -kontrolle für höchsten Schutz und höchste Netzwerkleistung. Die globale Erkennung dynamischer Bedrohungen ist das Fundament von und einer der Hauptgründe dafür, dass unbekannte und bekannte Bedrohungen gleichermaßen zuverlässig identifiziert. sorgt für erstklassige Sicherheit. Die -Appliances blockieren Viren, Würmer und Trojaner, verhindern Versuche eines unberechtigten Eindringens in Unternehmensnetzwerke und wehren Spam- und Phishing-Taktiken ab. Außerdem stoppen sie Cross- Site-Scripting, SQL-Injektionen, Denial-of-Service-Attacken (DoS und DDoS) sowie in verschlüsselten Protokollen verborgene Angriffe. verhindert die getarnten vielschichtigen Angriffe, die von anderen Sicherheitsprodukten nicht erkannt werden. CommandCenter ermöglicht eine vereinfachte zentrale Verwaltung einer beliebigen Anzahl von -Appliances über mehrere Unternehmen hinweg. Reporter bietet leistungsstarke, benutzerfreundliche Funktionen für die Analyse von sicherheitsrelevanten Ereignissen und das zugehörige Reporting. Weitere Informationen über (Sidewinder) finden Sie auf unserer Website: 10