So stoppen Sie verschlüsselte Bedrohungen
Die verborgene Gefahr Hacker entwickeln ihre Fähigkeiten ständig weiter. Mittlerweile nutzen sie SSL-Datenverkehr, um ihre Malware und ihre Angriffe vor Sicherheitssystemen zu verbergen. 97 % 130%ige 41 % 80 % der befragten Unternehmen haben eine Zunahme des verschlüsselten Webverkehrs beobachtet 1 Zunahme von Bedrohungen in 2016, die TLS-/SSL-Verbindungen nutzen (gegenüber 2014) 1 der im Umlauf befindlichen Malware verbirgt sich im SSL-Verkehr 2 der Befragten waren schon einmal Opfer eines Cyberangriffs 2 1 Studie, NSS Labs, Juni 2016 2 Studie, Ponemon-Studie 2016 2
So machen sich Hacker die Verschlüsselung zunutze Aufruf einer Seite: Nutzer (Opfer A) ruft auf seinem Rechner eine unbedenkliche Website auf, die aber bösartigen Code enthält. Ausführung des Exploit-Kits: Bei der Übertragung des Webinhalts an den Client wird ein kleines Softwareprogramm auf das Gerät des Benutzers heruntergeladen. Anschließend wird eine Abfolge von Befehlen ausgeführt, um die Software-Schwachstellen auf dem Client-Gerät auszunutzen. Malware-Anfrage: Sobald der Betreiber des Exploits-Kits das Gerät unter seiner Kontrolle hat, wird ein Request-Befehl an eine Website gesendet, die Malware hostet und bereitstellt. C&C: Die Malware kommuniziert mit einer Command-and-control- Infrastruktur, um weitere Anweisungen zu erhalten. Herausschleusen von Daten: Daten auf dem Rechner von Opfer A werden zur Verarbeitung auf einen externen Server kopiert. Opfer B: In dieser Phase erweitern Angreifer oft ihre Zugriffsrechte, sodass sie sich innerhalb des Netzwerks seitlich ausbreiten und weitere Endpunkte infizieren können. Verschlüsselung: Neu daran ist, dass sich die Verschlüsselung in jeder Phase dieses Angriffs nutzen lässt, um eine Erkennung zu vermeiden. Infektion mit Malware: Auf dem Rechner von Opfer A ist nun Malware installiert. Die Verschlüsselung lässt sich in jeder Phase eines Angriffs nutzen Verteilung Opfer A Seitenanforderung Ausführung des Exploit-Kits Malware-Anfrage Infektion mit Malware Unbedenkliche Site, die aber böswilligen Code enthält Server, auf dem Malware gehostet wird C&C sowie Herausschleusen von Daten Command-and-control-Server Repository-Server Opfer B 3
Welche Herausforderungen birgt verschlüsselter Datenverkehr? Drei typische Hürden, die einer Prüfung des SSL-Verkehrs im Wege stehen Mangel an geeigneten Sicherheitstools Unzureichende Ressourcen Leistungseinbußen Quelle: Studie, Ponemon-Studie 2016 4
Die Beeinträchtigung der Performance ist ein großes Problem Die Leistung eines Sicherheitssystems ist bei aktivierter SSL- Prüfung um bis zu 81 Prozent geringer 1 61 Prozent der Befragten entschlüsseln den SSL-Verkehr nicht, weil sie Leistungseinbußen befürchten 2 83 Prozent sagen, dass es in Organisationen, die den SSL- Verkehr entschlüsseln und prüfen, in irgendeiner Form zu Beeinträchtigungen kommt 2 1 Quelle: SSL Performance Problems (SSL-Performance- Probleme), NSS Labs, Juni 2013 2 Quelle: Studie, Ponemon-Studie 2016 5
Stellen Sie kritische Fragen Drei kritische Fragen, die Sie zum SSL-verschlüsselten Verkehr stellen SOLLTEN Wissen Sie, ob Ihre Unternehmensfirewall HTTPS- Datenverkehr überprüft? Hatte Ihre Organisation häufig mit Netzwerkunterbrechungen oder -ausfällen zu kämpfen, weil die Performance Ihrer Firewall bei der Prüfung von HTTPS-Verkehr komplett zusammengebrochen ist? Wie skalieren Sie die Firewall-Schutzfunktionen, um Leistungseinbußen, Verzögerungen und Latenzprobleme Ihres Netzwerks bei der Prüfung von HTTPS-Verkehr zu verhindern? 6
7 Die SonicWall-Lösung
Die SonicWall-Lösung: So unterbricht SonicWall den Malware-Kreislauf im verschlüsselten Datenverkehr 1. Mit dem Web Content Filtering und Enforced Content Filtering Client auf der Firewall verhindert SonicWall, dass Endpunktsysteme innerhalb oder außerhalb der Firewallgrenze unangemessene, illegale und bösartige URLs aufrufen, und sorgt so für einen zuverlässigen Schutz. 2. Die einzigartige SonicWall Deep Packet Inspection-Technologie für SSL-verschlüsselten Verkehr (DPI-SSL) entschlüsselt verschlüsselten Internetverkehr zwischen Clients und Webservern. 3. Der SonicWall Intrusion Prevention Service durchleuchtet unverschlüsselten Datenverkehr und bietet so Schutz vor Anwendungsschwachstellen sowie Würmern, Trojanern, Peer-to- Peer-Anwendungen, Spyware und Backdoor-Exploits. 4. Die SonicWall-Threat-Prevention-Sicherheitsdienste einschließlich Gateway-Anti-Virus, Cloud-Anti-Virus, Botnet- und GeoIP-Filtering sowie Bedrohungsinformationen Dritter tragen ebenfalls dazu bei, den Malware-Infektionszyklus zu durchbrechen. 5. SonicWall Capture ATP, eine Multi-Engine-Sandbox-Plattform, führt verdächtige Dateien aus und überprüft diese, um Zero-Day- Bedrohungen aufzuspüren und zu stoppen. Opfer A Capture Cloud-basiertes Sandboxing 5 3 4 1 Content Filtering Service Enforced Content Filtering Client Enforced Client Anti-Virus Intrusion-Prevention Gateway Anti-Virus Cloud Anti-Virus Enforced Cloud Anti-Virus Botnet-Filter GeoIP-Filtering 2 DPI-SSL-Entschlüsselung Seitenanforderung Ausführung des Exploit-Kits Malware-Anfrage Infektion mit Malware C&C sowie Herausschleusen von Daten Unbedenkliche Site, die aber böswilligen Code enthält Server, auf dem Malware gehostet wird Command-and-control-Server Repository-Server Botnet-Filter API-Feeds Dritter 8
Die SonicWall-Lösung: wie die DPI-SSL-Technologie verschlüsselten Datenverkehr entschlüsselt und überprüft 1 Der Client startet einen SSL-/TLS-Handshake mit dem Server. 2 Die Next-Generation-Firewall fängt die Anfrage ab und stellt eine Sitzung mit ihrem eigenen Zertifikat anstelle des Serverzertifikats her. 3 Die Next-Generation-Firewall startet einen SSL-/TLS-Handshake mit dem Server im Auftrag des Clients. Dabei verwendet sie ein vom Administrator definiertes SSL-/TLS-Zertifikat. 4 Der Server schließt den Handshake ab und baut einen sicheren Tunnel zwischen sich selbst und der Next-Generation-Firewall auf. 5 Die Next-Generation-Firewall entschlüsselt den gesamten Verkehr zum oder vom Client und prüft ihn auf verschlüsselte Bedrohungen. 6 Anschließend verschlüsselt die Next-Generation-Firewall den sicheren Datenverkehr erneut, leitet ihn an den Client weiter und blockiert mögliche verschlüsselte Bedrohungen. Client 1 6 Verschlüsselung Prüfung/ Schutz 2 IPS GAV AIC DLP 5 3 Internet Server 4 Verschlüsselung 9
Vorteile für den Kunden Besserer Einblick in den SSL-/TLS-verschlüsselten Verkehr Blockieren von Malware-Downloads im verschlüsseltem Datenverkehr Command-and-control-Kommunikation sowie das Herausschleusen von Daten werden verhindert Optimierung der Anwendungskontrolle, Sicherheitsfeatures und Funktionen zur Vermeidung von Datenlecks Obwohl die Systemlast steigt, treten keine Performanceprobleme auf. Somit kann ein extrem hohes Quality-of-Service-Level für das Netzwerk und andere Ressourcen beibehalten werden. Erfahren Sie mehr. Besuchen Sie uns unter www.sonicwall.com/encrypted-threats. 10
Über SonicWall Seit über 25 Jahren schützt SonicWall kleine, mittlere und große Unternehmen weltweit vor Cyberkriminalität. Mit unseren Produkten und Partnerschaften können wir eine Echtzeit-Cyberabwehrlösung für die individuellen Anforderungen von über 500.000 globalen Organisationen in über 150 Ländern bereitstellen, damit sie sich voll und ganz auf ihr Geschäft konzentrieren können. Wenn Sie Fragen zur Nutzung dieser Unterlagen haben, wenden Sie sich an: SonicWall Inc. 5455 Great America Parkway Santa Clara, Kalifornien 95054, USA Weitere Informationen finden Sie auf unserer Website. www.sonicwall.com 2017 SonicWall Inc. ALLE RECHTE VORBEHALTEN. SonicWall ist eine Marke oder eingetragene Marke von SonicWall Inc. und/oder deren Tochtergesellschaften in den USA und/oder anderen Ländern. Alle anderen Marken und eingetragenen Marken sind Eigentum der jeweiligen Inhaber. Die Informationen in diesem Dokument werden in Verbindung mit den Produkten von SonicWall Inc. und/oder deren Tochtergesellschaften bereitgestellt. Sie erhalten durch dieses Dokument oder in Verbindung mit dem Verkauf von SonicWall-Produkten keine Lizenz (weder ausdrücklich noch stillschweigend, durch Rechtsverwirkung oder anderweitig) für geistige Eigentumsrechte. SONICWALL UND/ODER DESSEN TOCHTERGESELLSCHAFTEN ÜBERNEHMEN KEINE HAFTUNG UND KEINERLEI AUSDRÜCKLICHE, STILLSCHWEIGENDE ODER GESETZLICHE GEWÄHRLEISTUNG FÜR DEREN PRODUKTE, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE STILLSCHWEIGENDE GEWÄHRLEISTUNG FÜR DIE HANDELSÜBLICHKEIT, DIE VERWENDUNGSFÄHIGKEIT FÜR EINEN BESTIMMTEN ZWECK UND DIE NICHTVERLETZUNG VON RECHTEN DRITTER, SOWEIT SIE NICHT IN DEN BESTIMMUNGEN DER LIZENZVEREINBARUNG FÜR DIESES PRODUKT NIEDERGELEGT SIND. SONICWALL UND/ODER DESSEN TOCHTERGESELLSCHAFTEN HAFTEN NICHT FÜR IRGENDWELCHE UNMITTELBAREN, MITTELBAREN, STRAFRECHTLICHEN, SPEZIELLEN, ZUFÄLLIGEN ODER FOLGESCHÄDEN (EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF SCHÄDEN AUS ENTGANGENEM GEWINN, GESCHÄFTSUNTERBRECHUNG ODER VERLUST VON INFORMATION), DIE AUS DER VERWENDUNG ODER DER UNMÖGLICHKEIT DER VERWENDUNG DIESES DOKUMENTS ENTSTEHEN, SELBST WENN SONICWALL UND/ODER DESSEN TOCHTERGESELLSCHAFTEN AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDEN. SonicWall und/oder dessen Tochtergesellschaften übernehmen keine Gewährleistungen in Bezug auf die Genauigkeit oder Vollständigkeit dieses Dokuments und behalten sich das Recht vor, Spezifikationen und Produktbeschreibungen jederzeit ohne Vorankündigung zu ändern. SonicWall Inc. und/oder deren Tochtergesellschaften übernehmen keinerlei Verpflichtung, die in diesem Dokument enthaltenen Informationen zu aktualisieren. 11 Ebook-DefeatingEncryptedThreats-US-VG-28676