IronPort & Web Security

Transkript

1 IronPort & Web Security Schluß mit Spam, Viren und Spyware! Dirk Beste IronPort - A Cisco Business Unit Senior Systems Engineer dbeste@ironport.com Tel.:

2 Aktuelle Herausforderungen

3 80% aller s sind unerwünscht Quelle: IronPort Threat Operation Center (representing 25% of the world s )

4 #1: Spam nimmt zu. April.2007 Spam Volume (BN) Image Spam % Spam Volumen steigt jährlich > 100% Image-basierte Spam nun 33% Anteil gegenüber 7% vor einem Jahr! Oct- 05 Nov- 05 Dec- Jan- Feb- Mar Apr- 06 May- Jun Jul- 06 Aug- 06 Sep- Oct- Nov Dec- Jan Average Daily Spam Image Spam % Feb- Mar- Apr

5 Wesentlich schnellerer Spam-Versand VCDY Stock Spam Outbreak / 27. März 2007 Klassisches Pump & Dump Schema - Aktienpreis stieg um 13% bei vierfachem Volumen Spam-Volumen - Ausbruch nutzt Zombie PC's in 44 Ländern - Über 100 Mio. s in weniger als 10 Stunden Verschleierungs-Techniken - Spam nutzt weiterentwickelte Techologien wie geschwungenen mehrfarbigen Text mit buntem Hintergrund IronPort protects against outbreak in real-time; no drop in catch-rate Image Spam Catch Rate % 100% 95% 90% 85% 80% VCDY spam outbreak begins Major Anti-Spam provider unable to protect against outbreak; image spam catch-rate drops for 7 hours 11:00 13:00 15:00 17:00 19:00 21:00 23:00 1:00 Time IronPort Catch-Rate Major Anti-Spam Provider Catch-Rate

6 #2: Spam ist schwerer zu erkennen Image-basierte Spam 1. Polka dots 2. Slice & Dice

7 Es funktioniert

8 Bunter und 'ungleicher'

9 #2: Spam ist schwerer zu erkennen Image-Link Spam - April & Mai.2007 Link angeklicht URL referenziert Image Spam 4% gesamten Spam Volumens im Mai.2007 Sehr schwer zu erkennen: - Legitime Domänen benutzt Domänen- Blacklisting greift nicht Web Reputation ist wesentlich IronPort: ~ 98% Catch Rate bei "Image-Link Spam" IronPort protects against outbreak in real-time; no drop in catch-rate Image-Link Spam Catch Rate % % 97.00% 94.00% 91.00% 88.00% 85.00% 21-Apr 28-Apr 5-May 12-May

10 Trend #3: URL Attacks A Trend Called Domain Kiting Is on the Rise Brings the cost of registering a domain to *zero* Domains are now advertised in spam for < 4hrs Makes URL Blacklists/whitelists ineffective * Source: IPWalk.com

11 Profil einer Spam-Attacke ändert sich Sehr viel kürzere Responsezeit erforderlich Spam /Stunde in Millionen 2007 Rapid Start Attacken-Profil 2005 Reguläres Attacken-Profil Zeitachse

12 ISP-Kunde: 800% Spitze im Monat Mai 800M 800 Monatliches Volumen y ( ) M Mar-04 Apr-04 May-04 Jun-04 Jul-04 Aug-04 Sep-04 Oct-04 Nov-04 Dec-04 Jan-05 Feb-05 Mar-05 Apr-05 May-05 Jun-05 Kapazitätsplanung.

13 #3: Ständige Weiterentwicklung Botnet Command & Control Center! IP infizierter PC's verbunden mit einer C&C "Node "- Echtzeitanzeige!!

14 Lösungsansatz

15 IronPort Security Gateway Produkte IronPort SenderBase Internet Security Appliance WEB Security Appliance Security MANAGEMENT Appliance

16 Erweiterbare Plattform Konsolidierung am Perimeter Internet Internet Internet Firewall MTA Anti-Spam Anti-Virus Policy Management Mail Routing Groupware Groupware Firewall IronPort L4 Traffic Monitor Firewall IronPort Web Proxy Policy Filters Anti-Spyware Anti-Virus URL Filtering Policy Management Benutzer Anwender

17 Plattform IronPort AsyncOS

18 IronPort AsyncOS Unübertroffene Skalierbarkeit und Sicherheit MANAGEMENT TOOLS SPAM- ABWEHR VIREN- SCHUTZ POLICY ENFORCEMENT AUTHENTICATION DIE IRONPORT ASYNCOS PLATTFORM AsyncOSproprietäres Betriebssystem bis zu aktive Verbindungen Erweiterte Kontrolle schützt Ihre Reputation und interne Mail-Server Einfache Migration gängige Standards werden unterstützt

19 IronPort AsyncOS Dediziertes Betriebssystem für -Gateways (2001) Traditionelle Plattformen IronPort Security Appliance TCP/IP Model General purpose Low performance for high connect rates; DoS potential TCP/IP Model Lightweight threading 10,000 connections at the same time; supports very fast setup/teardown Single Queue For all destinations Queue Backup Delays all Per-Destination Queues Fault-tolerance and custom control File System General purpose Cannot handle massive file create/delete File System specific journaling Securely, quickly, and safely handles loads O/S Concurrency General purpose Context switching reduces throughput and adds delays O/S Concurrency Short thread scheduler Scheduler balances heavy and lite processes; Speeds delivery of mail

20 Erweiterte Versand-Konfigurationen Schützen Sie Ihre Reputation Versand-Kontrolle Virtual Gateway Technology? Internet neue Firma Bounces Internet Schützt Ihre Groupware Server Limitiertes Sende-Volumen für bestimmte Zieladressen möglich TLS Verschlüsselung Schützt Ihre Reputation s mit verschiedenen IP- Adressen versenden Patentierte IronPort Technologie

21 DomainKeys Identified Mail (DKIM) Signatures - RFC 4871 Receiving Mail Server queries the Header for the signature in the DKIM- Signature header field Sender signs outgoing mail with private key Signing Key

22 Targeted Bounce Attack (Joe Job) 1 MAIL FROM: support@customer.com RCPT TO: ugpl@isp.com ISP.com MAIL FROM: sales@customer.com RCPT TO: hgtw@isp.com 2 Inbound Spammer / Attacker Virus-infected zombies MAIL FROM: service@customer.com RCPT TO: djqvr@isp.com Millions of invalid bounces MAIL FROM:: <> RCPT TO:: support@customer.com MAIL FROM:: <> RCPT TO:: sales@customer.com Invalid Recipient 43 4 MAIL FROM:: <> RCPT TO:: service@customer.com Outbound customer.com

23 IronPort Secure Bounce Suite TM Comprehensive Protection Against Bounce Problems Spammer / Attacker 1 Virus-infected zombies Millions of invalid bounces MAIL FROM: support@customer.com RCPT TO: ugpl@isp.com Reputation Filters MAIL FROM: sales@customer.com RCPT TO: hgtw@isp.com MAIL FROM: service@customer.com RCPT TO: djqvr@isp.com MAIL FROM:: <> RCPT TO:: support@customer.com MAIL FROM:: <> RCPT TO:: sales@customer.com MAIL FROM: 4 IronPort Bounce Verification MAIL FROM:: <> RCPT TO:: service@customer.com prvs=support=ea1cf0407@customer.com RCPT TO: joe..smith@isp.com MAIL FROM: < > RCPT TO: prvs=support=ea1cf0407@customer.com 2 ISP.com Inbound Address 43 Validation Invalid Recipient Outbound customer.com

24 IronPort Reputations Filter

25 Fixing Was wird benötigt? IDENTITY REPUTATION POLICY Internet private ISPs DNS public

26 IronPort SenderBase Weltweit erstes Netzwerk zur Bewertung von öffentlichen, -versendenden IP-Adressen 25% des weltweiten - und Web-Verkehrs 150+ Parameter zur Bewertung von IP-Adressen 5 Milliarden Anfragen täglich ( 20 Mrd. s)

27 Toleranz durch viele Parameter Good Reputation Good Sending History Only Sending to Valid Recipients Reverse DNS Works Average Reputation Volume Spike Poor Reputation Blacklisted System Tolerant of Anomalies

28 Reputation Tracking: Die Daten machen den Unterschied THREAT PREVENTION IN REALTIME SenderBase Network Sophisticated Security Modeling Reputation Scores (-10 to +10) 90+ Parameters Global volume data Message composition data Spam traps, complaints Blacklists, whitelists Compromised host lists Open proxy lists Offline data (F500, ISP, NSP, govt.) Sender Reputation Score 45+ Parameters URL blacklists and whitelists HTML Content Data Domain Registrar Information Compromised Host Lists Network Owners Known Threats URLs Web Site History Web Reputation Score

29 IronPort Reputationsfilter Stoppt ~ 80% des Spams bereits vor der Annahme

30 IronPort Reputations-Filter Mail Flow Monitor & Rate Limiting

31 Spam Traffic Beispiel 1000 Benutzer Kunde mit IronPort C-100

32 IronPort AntiSpam

33 Erkennung mit Web Reputation erweitern Effectiveness TODAY Time Content Filterung allein unzureichend Reputation erlaubt proaktiven Schutz Web Reputation gegen neue Attacken

34 Context Adaptive Scanning Engine (CASE) What CASE Finds Verdict: BLOCK WHAT? HOW? WHO? Message content legitimate Message construction emulates Microsoft Outlook client IP address started sending a day ago WHERE? Message originated from dial-up IP address IP address generating thousands of complaints Mismatch between display & target URL Website domain registered a day ago Website hosted on a compromised host Website hosted at an untrustworthy network owner Name servers located in Ukraine

35 Aktuelle Herausforderungen Web Security

36 WWW: klare & aktuelle Risiken "Circle of Risk" Web Traffic Mehr als 75% aller Unternehmen sind mit Spyware & Malware infiziert 35-40% WWW-Nutzung ist nicht geschäftsbezogen (IDC) Malware-basierte Angriffe & Verletzung von Unternehmensrichtlinein

37 Bisherigen Systeme ("1 st Generation") adressieren nicht aktuelle Probleme Nicht zufriedenstellende Trefferquote Hohe Laufzeit / geringer Durchsatz Limitierte Darstellung aktueller Angriffe

38 WWW-Datenverkehr "The Long Tail Gets Longer " "Big Head & Long Tail" ~110 Millionen Web-Sites ~10-12 Milliarden Web-Seiten Wächst 35-40% jährlich Vorhersehbarer Verkehr, bekannte Domänen, Verkehrsvolumen Big Head Schnell wachsend, beherbergt unbekannten Inhalt & Malware Long Tail # Web-Sites

39 IronPort S-Serie Adressiert komplettes Spektrum von WWW-Datenverkehr Verkehrsvolumen Lösung: URL-Filter Big Head Schützt vor bekannten & unbekannten Sites Lösung: Web Reputations-Filter + IronPort Web Security Appliance Marktführender Signatur-Scanner Signatur-basierter Anti-Malware Schutz Long Tail # Web-Sites

40 Lösungsansatz

41 Einführung IronPort S-Serie Web Security Appliance IronPort S-650, S-350 Stabilität & Skalierbarkeit Bis zu 10-fache Leistung gegenüber herkömmlichen Systemen Sehr hohe Trefferquote auf unterschiedliche Angriffe Integrierter Multi-Layer Schutz gegen HTTP-basierte Angriffe ("Malware") Umfassende Visualisierung: Monitoring & Reporting Visualisierung von Angriffen & Traffic

42 Multi-Layer, Multi-Vendor, Effektivste Filter zuerst, 'Early Exit' zu jedem Zeitpunkt Unternehmensspezifisch SenderBase Informationen SenderBase Informationen Internet Outbound Inbound IronPort Policy Filters IronPort IronPort Web Reputation Filters IronPort IronPort L4 Traffic Monitor Policy Filters Anti-Malware System Anwender Maximiert Durchsatz Minimiert Laufzeit Reduziert Last durch Inhaltsanalyse

43 IronPort AsyncOS for Web

44 IronPort Web Security Appliance: Umfassender Lösungsansatz 1. AsyncOS: Skalierbarkeit & Zuverlässigkeit 2. Web-Reputations-Filter: Reduzierung Last & False Positive's 3. L4 Traffic Monitor: Schutz kompletter Netzwerkkommunikation 4. URL Filter: Kontrolle kompletten WWW-Datenverkehrs 5. Anti-Malware: Schutz kompletter WWW-Transaktionen Management-Oberfläche 2 3 IronPort IronPort Web Reputation L4 Traffic Monitor Filter 4 5 IronPort IronPort Anti-Malware URL Filter System (AS, AV) 1 IronPort AsyncOS Web Security Plattform

45 Web Reputations Filter

46 Web Security Monitor: Reputations Filter

47 Web Security Monitor: Reputations Filter

48 Layer 4 Traffic Monitor

49 Integrierter L4 Traffic Monitor Wire-Speed Network Layer Scanning nach Malware Erkennung von 'Malware'- Kommunikation die versucht Standard-Port 80 zu umgehen Alle möglichen Ports Erkennung von infizierten Benutzerarbeitsplätzen Vergleich verdächtiger Kommunikation mit bekannten 'Malware'- IP-Adressen und - Domänen Einfaches Hinzufügen der Ergebnisse zu aktueller Liste Monitoren & Blocken nach Richtlinien-Regelwerk TCP Header & Packete Anwender L4 Traffic Monitor AsyncOS for Web Internet Network Layer Analyse

50