AUF EINEN BLICK SIE VERWENDEN FIREWALLS. Missing Link. Erster sein. Keine üble Nachrede. Inhaltlich. Blacklisting. Serverseitig.

Transkript

1

2 SIE VERWENDEN FIREWALLS AUF EINEN BLICK Sehr gut, wir auch. Und trotzdem werden Webseiten gehackt, manipuliert und verunstaltet. Auch wenn Sie sich schützen, können Sie sehr schnell Opfer Keine üble Nachrede Missing Link Erster sein eines Angriffes werden. Sie wissen vermutlich, dass knapp drei Viertel 1 aller Unternehmenswebseiten weltweit innerhalb von zwei Jahren zumindest einmal gehackt werden viele Unternehmen merken davon anfangs nichts. Datenklau und Schadsoftwareverbreitung passieren oft im Verborgenen. «73% 1 aller Unternehmenswebseiten weltweit werden innerhalb von zwei Jahren zumindest einmal gehackt.» nimbusec hilft Ihrem Unternehmen Manipulationen Ihrer Webauftritte frühzeitig zu erkennen bevor Ihre Kunden es merken. Web Application Firewalls und Virenscannern sollen Angriffe verhindern. Ist ein Angriff dennoch erfolgreich, detektiert ihn nimbusec. Wird eine erfolgreiche Manipulation detektiert, läuten die Alarmglocken. Wir informieren Sie umgehend via SMS und . Genau hier setzt nimbusec an und hilft mit erstaunlicher Präzision, unerwünschte Ereignisse sofort zu erkennen und adäquat zu reagieren, bevor Unannehmlichkeiten entstehen können. Mit nimbusec beugen Sie somit möglichen Imageverlusten durch Medienberichte und oft auch hohen materiellen Schäden (durchschnittlich EUR 1 ) zuverlässig vor! Serverseitig Inhaltlich Blacklisting nimbusec bietet interne und exter- Fortschrittliche Algorithmen zerlegen nimbusec prüft Ihre Webseite regel- ne Sicherheit. Es wird auf verteilte die Webseiten in Design und Inhalt. mäßig gegen Blacklisten. Z. B. Google Schadsoftware, veränderte Dateien Unerwünschte Änderungen und Safe Browsing, Malware Domain List, und Webshells geprüft. Defacements werden erkannt. Web of Trust und viele mehr. ist ein österreichischer Cloud Service mit Standort Linz, der von extern Webspaces und Domains auf Infektionen (Malware), Verunstaltungen (Defacement) und Sperren (Blacklisting) überprüft. Zusätzlich arbeitet nimbusec mit einem hoch spezialisierten Server Agent, der auf Ihrem System Webshells und Schadsoftware erkennen kann. Werden potenzielle Manipulationen gefunden, informiert das Nachrichtencenter innerhalb von drei Minuten 2 via Mail oder SMS. Am Puls der Zeit Mandantenfähig Datenschutz Durch Kooperationen mit Universitä- Mit nimbusec können Sie festlegen, Die nimbusec Datenschutzrichtlinien ten und Forschungseinrichtungen ist welcher Kontakt Benachrichtigungen sind härter als die von EU und nimbusec immer einen Schritt voraus. für welche Domain erhält. Österreich vorgegebenen. 1 State of Web Application Security, US, Ponemon Institute, Feb in Abhängigkeit vom gebuchten Scan-Intervall 2 3

3 INFIZIERT? VERUNSTALTET? Ein argloser Besucher Ihrer Webseite wird mit Schadsoftware (z. B. dem BKA-Trojaner 1 ) infiziert. Selbst Unternehmen, die in ihren Netzen Webfilter-Techniken einsetzen, können Opfer eines solchen Angriffes werden. Technisch wird oft eine Umleitung in Ihre Seite eingeschleust. Die eigentliche Schadsoftware wird dann von einem Drittserver auf das System des Besuchers geladen (Standard-Vorgehensweise Blackhole.KIT Malware). Ihre Firewall Ihre Webpräsenz wurde grafisch verändert? Es prangt plötzlich ein neues Logo mit Text (wie z. B. You have been PWND by ) anstelle Ihrer üblichen Startseite? Neben möglichem Imageverlust kann dabei im Falle von fehlerhaften Backups oft auch eine Menge an Daten vernichtet werden. Bei manipulierten Inhalten sind Virenscanner und Firewalls weitgehend machtlos und Sie erfahren oft erst spät davon. und Ihr Webfilter bekommen davon nichts mit, denn Sie selbst verteilen keine Schadsoftware. Auch wenn der Trojaner nicht von Ihnen stammt wird die Reputation Ihrer Seite nachhaltig geschädigt. bei inhaltlicher Manipulation bei serverseitiger Manipulation Inhalts- oder Designänderungen Ihres Webauftrittes erkennen Defacement-Erkennung Statistische und branchenabhängige Bewertung der Inhaltsänderungen Schadsoftware durch erprobte Technologien und spezialisierte Eigenentwicklungen detektieren Zugriffe von verschiedenen Betriebssystemen und Browserversionen simulieren und damit unterschiedlichste Malware aufdecken Weiterleitungen erkennen Eingeschleusten JavaScript Code erkennen Die durch Kooperation mit Universitäten und Forschungseinrichtungen ständig weiterentwickelten Algorithmen zerlegen Ihre Webseite in Design und Inhalt. Sie erkennen große und kleine Änderungen am Design und informieren Sie zuverlässig. Mittels maschinellem Lernen steigt die Erkennungsrate kontinuierlich und nimbusec lernt zuverlässig, welcher Inhalt böswillig manipuliert wurde und welchen Sie selbst verändert haben. Schadsoftware versteckt sich gewöhnlich vor automatisierten Crawlern. nimbusec verhält sich daher wie ein menschlicher Besucher und erkennt so Viren und Trojaner, die den anderen Crawlern verborgen bleiben. Um ganz sicher zu sein, simuliert nimbusec immer verschiedene Browser- bzw. Betriebssystemversionen. Dabei werden bis zu 95% der möglichen Konstellationen Ihrer Webseitenbesucher abgebildet. 1 Der BKA-Trojaner präsentiert sich dem User nach einem Computer-Neustart mit einer Warnung. Wegen angeblich illegaler Aktivitäten solle ein Geldbetrag entrichtet werden. Einige Varianten des Trojaners verschlüsseln die Festplatten irreversibel mit großem Schaden für die Betroffenen. 4 5

4 GESPERRT? SERVER AGENT Zeigt der Browser dem Besucher eine Warnung vor dem Aufruf Ihrer Der Server Agent von nimbusec läuft direkt auf Ihrem Webserver oder Webseite? Durch die Listung auf einer Blacklist ist Ihre Webseite erschwert dem Webspace Ihres Providers. Er erkennt eingeschleusten Code und soge- erreichbar und Warnungen verunsichern Ihre Kunden. Zusätzlich verschlech- nannte Webshells, die zur Übernahme eines Servers genutzt werden können. tert sich die Reihung (Page Rank) in den Suchmaschinen oder Sie werden Die Daten, die der Server Agent an unsere Server übermittelt, werden ano- komplett aus deren Index gelöscht. nymisiert und verschlüsselt gesendet und lassen keine Rückschlüsse auf den Inhalt Ihrer Daten zu. Denn: Datenschutz ist uns wichtig! bei Sperrung durch Blacklists Prüfen, ob Blacklists die Seite sperren Hilfe beim Löschen von der Blacklist Prüfen der Reputation Anzeigen der Sperrgründe bei Einsatz des Server Agents Webshells durch Machine Learning Algorithmen mit bis zu 98% Erkennungsrate (gegenüber ca. 40%1 von signaturbasierten AV-Engines) detektieren. Wir überwachen, ob Ihre Domain oder Webseite auf einer relevanten Blacklist (z. B. Google Safe Browsing oder Web of Trust) gelistet wird. Änderungen im Filesystem erkennen und bewerten Erweitertes Tracking infizierter oder modifizierter Dateien Scheint sie auf, werden Sie sofort informiert und wir unterstützen Sie bei der Entfernung von der Blacklist. API APPLICATION PROGRAMMING INTERFACE nimbusec stellt alle Ergebnisse der Analysen auch in Form einer API-Schnittstelle zur Verfügung. Sie können infizierte Domains zum Beispiel automatisiert sperren oder umleiten. Anhand der Resultate können Sie teilweise Probleme und Infektionen automatisch beheben. Entsprechende Referenzkonfigurationen und Skripte2 stellt Ihnen das nimbusec-team gerne zur Verfügung. So könnte eine von einer Blacklist gesperrte Webseite aussehen Testergebnis aus dem nimbusec-labor stehen in der Knowledge Base von nimbusec zur Verfügung 7

5 SO HILFT NIMBUSEC Sehen Sie, wie Sie konkret von nimbusec profitieren. nimbusec webseitenwächter Als Cloudservice erfolgt unsere Prüfung regelmäßig und automatisiert. Von Ihrer Web Application Firewall oder Firewall nicht blockierte Angriffe werden zuverlässig erkannt. Ihre Webseite & Ihr Webserver geschützt durch: Virenscanner Web Application Firewall Firewall nimbusec Server Agent nimbusec Monitoring Service Verschiedenste Dienste analysieren und kategorisieren Informationen und gewichten diese mit statistischen Methoden und Algorithmen zur künstlichen Intelligenz ( machine learning ). Im Bereich AntiVirus sorgen mehrere Engines von renommierten Herstellern für hohe Erkennungsraten. Durch Forschungskooperationen mit Universitäten und Fachhochschulen sind wir den Angreifern stets einen Schritt voraus. Ihr Vorteil durch nimbusec Ihr Webteam wird bei einem Problem sofort informiert und kann reagieren, bevor die Kunden das Problem überhaupt bemerken. Ohne nimbusec erfährt Ihr Webteam von Problemen erst durch Kundenbeschwerden oder durch eine Meldung aus der Presse. Angreifer Ihre Kunden Der nimbusec Server Agent schickt anonyme Daten (Hashwerte) verschlüsselt an den Nimbusec-Server und erkennt auch unbekannte Schadsoftware mit durchschnittlich 98%. Was macht... ein Virenscanner auf Ihrem Server? Er prüft den Inhalt des Servers und erkennt unbekannte Schadsoftware mit einer Trefferquote von ca. 40%. eine Web Application Firewall? Sie prüft den Inhalt der Datenübertragung. Richtig konfiguriert ist sie eine Hilfe, um Einbrüche bzw. Einbruchsversuche zu blockieren. eine Firewall? Sie erlaubt den Zugriff auf die Ports 80 und 443. Diese geben den Weg auf die Webseite frei. Andere Ports werden geblockt. Ihr Vorteil durch nimbusec Ihr Webteam reagiert sofort. Der Angriff verliert seine Wirkungskraft. Ohne nimbusec wäre die Reaktionszeit Ihres Webteams bei einem erfolgreichen Angriff aufgrund fehlender Information viel zu langsam. Ihr Vorteil durch nimbusec Ihr Kunde kann nicht durch Schadsoftware infiziert werden, da Ihr System keine Viren verbreitet. Zusätzlich erhält Ihr Kunde beim Ansurfen der Webseite keine Warnungen durch den Browser. Ohne nimbusec bestünde für Ihren Kunden ein Risiko durch das Benutzen eines nicht aktuellen Browsers oder Virenscanners über Ihre Webseite mit Schadsoftware infiziert zu werden. Zusätzlich kann Ihre Reputation durch manipulierte Inhalte geschädigt werden. Steht Ihre Webseite auf einer Blacklist, wird die Anzeige für Ihren Kunden durch Warnungen erschwert. 8 9

6 WENN ES BRENNT nimbusec meldet sich nur, wenn es brennt und wenn Sie es wünschen. Es bleibt Ihnen überlassen, wer in welchem Fall auf welche Art benachrichtigt wird. Das System ist mandantenfähig und kann rollenbasierte Zugriffsrechte abbilden. Sie können die Benachrichtigungsketten entsprechend Ihren internen Unternehmensprozessen individuell konfigurieren. nimbusec informiert nur, nimbusec unterstützt je Mandant eine beliebig große Anzahl an Kontakten. Im nimbusec Nachrichtencenter können Sie festlegen, welcher Kontakt Benachrichtigungen für welche Domain, Kategorie und Sicherheitsstufe erhält. Wird innerhalb einer definierten Zeit nicht reagiert, kann automatisiert ein Deeskalationsplan ausgeführt werden. wenn etwas passiert ist ist mandantenfähig bietet individuelle Deeskalationspläne Als Benachrichtigungskanäle stehen und SMS zur Verfügung. Zusätzlich erhalten Sie Zugang zum nimbusec-portal, auf dem Sie alle Warnungen einsehen und umgehend reagieren können. Maßgeschneidert Behalten Sie den Überblick Besitzen Sie fünf Domains, von denen drei durch einen externen Webmaster oder eine andere Abteilung gewartet werden? Kein Problem! nimbusec kann so konfiguriert werden, dass für Warnungen auf diesen drei Domains genau der zuständige Webmaster benachrichtigt wird. Ist Ihnen eine Domain nimbusec bietet Ihnen die Möglichkeit bei jeder Warnung sofort informiert zu werden. Zusätzlich können Sie tägliche und wöchentliche Zusammenfassungen über Ihre betroffenen Domains erhalten. So sind Sie auch unterwegs bestens über die Gesundheit Ihres Webauftritts informiert. besonders wichtig, können auch mehrere Personen benachrichtigt werden. Jeder sieht nur, was in seinen Zuständigkeitsbereich fällt. Das nimbusec-portal sorgt für maximale Transparenz, vom allgemeinen Überblick bis zu tiefergehenden technischen Informationen. Es können sowohl generelle als auch personalisierte Einstellungen vorgenommen werden. Die Entscheidung liegt bei Ihnen. 10

7 Cumulo Information System Security GmbH Humboldtstraße Linz Österreich FN m FBG Linz UID ATU Behörde gem. ECG: Magistrat der Stadt Linz/Donau Mitglied der Wirtschaftskammer Oberösterreich (Fachgruppe Unternehmensberatung und Informationstechnologie, IT-Dienstleistung)