Bericht www.securecomputing.com Secure Computing ist ein weltweit führendes Unternehmen für Enterprise Gateway Security- Lösungen. Unser preisgekröntes Portfolio an Lösungen auf der Grundlage unserer TrustedSource - Technologie ermöglicht es unseren Kunden, innerhalb und außerhalb ihrer Organisationen zuverlässige Umgebungen zu schaffen. Secure Computing Corporation Inhaltsverzeichnis In der heutigen Web 2.0-Umgebung steht proaktive Sicherheit ganz oben. Ist Ihr Unternehmen geschützt? Web Gateway Security: Protect. Enforce. Comply. Einführung: Grenzen sind nicht mehr physisch, sondern virtuell... 2 Sicherheitsbedrohungen von außen... 2 Bedrohungen von innen... 3 Ältere Sicherheitslösungen sind nur bedingt für den Schutz vor Web 2.0-Bedrohungen geeignet... 3 Web 2.0-Sicherheitsbedrohungen direkt mit umfassender Web Gateway Security begegnen... 4 Hauptkomponenten von Web Gateway Security: Was ist erforderlich?... 5 Reputationsbasierte Webfilterung... 5 Proaktiver, verhaltensbasierter Schutz vor Malware... 5 Überprüfung des SSL-Datenverkehrs... 6 Enterprise-Reporting... 6 Die Webwasher Web Gateway Security-Lösung: Technologie und Architektur... 7 Eine preisgekrönte Web Gateway-Lösung... 9 Zusammenfassung... 9 Hauptsitz des Unternehmens 4810 Harwood Road San Jose, CA 95124 USA Tel: +1 800 379 4944 Tel: +1 408 979 6100 Hauptniederlassung in Europa No 1, The Arena Downshire Way Bracknell, Berkshire RG12 1PU United Kingdom Tel: +44 870 460 4766 Fax: +44 870 460 4767 Hauptniederlassung Deutschland Ohmstraße 4 / Haus C 85716 Unterschleißheim Deutschland Tel: +49 89 7104 6110 Fax: +49 89 7104 6111 2007 Secure Computing Corporation. Alle Rechte vorbehalten. WW-WGS-WP-Feb07vF. Secure Computing, SafeWord, Sidewinder, Sidewinder G2, Sidewinder G2 Firewall, SmartFilter, Type Enforcement, CipherTrust, IronMail, SofToken, Enterprise strong, MobilePass, G2 Firewall, PremierAccess, SecureSupport, SecureOS, Bess, CyberGuard, Total Stream Protection, Webwasher, Strikeback und Web Inspector sind Marken der Secure Computing Corporation, eingetragen beim U.S. Patent and Trademark Office sowie in anderen Ländern. G2 Enterprise Manager, SmartReporter, Security Reporter, Application Defenses, Central Management Control, RemoteAccess, IronIM, SecureWire, SnapGear, TrustedSource, On-Box, Securing connections between people, applications, and networks sowie Access Begins with Identity sind Marken der Secure Computing Corporation.
Einführung: Grenzen sind nicht mehr physisch, sondern virtuell Das Internet funktioniert heute anders als früher. Im heutigen Internet, oft als Web 2.0 bezeichnet, verschwimmen die Grenzen des Unternehmens, und dies wirkt sich auch auf die Netzwerksicherheit aus. Anwendungen werden heute über das Internet genutzt und Intranets und Extranets sind wesentliche Teile eines Unternehmens. Einige Unternehmen bauen ihr Geschäft jetzt sogar komplett auf Web-Infrastrukturen auf: der Beweis hierfür sind virtuelle Unternehmen, die überhaupt keinen physischen Geschäftssitz mehr haben. Das heutige Geschäftsmodell beinhaltet einen Remote-Zugang für Tele-Mitarbeiter, Partner und Kunden. Auch interne Mitarbeiter gehen über das interne Netzwerk hinaus, um Informationen aus dem Internet zu erhalten bzw. über das Internet zu vermitteln. Dieser bidirektionale Aspekt des Zugriffs auf Anwendungen über das Internet führt für Unternehmen jedoch zu erheblichen Sicherheitsproblemen. Kommunikationsmethoden sind sowohl nach innen als auch nach außen gerichtet und so gibt es auch Bedrohungen von innen und von außen. Das Unternehmen muss vor Malware (bösartiger Software) geschützt werden, gesetzliche Vorschriften müssen eingehalten werden, Daten dürfen nicht nach außen gelangen und die Produktivität der Mitarbeiter muss gewahrt werden. Diese Sicherheitsprobleme bestehen für sämtlichen IP-basierten Datenverkehr, ob E-Mail, VoIP, Instant-Messaging, Web-Zugang, Dateiübertragungen oder andere Anwendungen im Unternehmen, die über IP kommunizieren. Unternehmen, die Web- und Web 2.0-Applikationen nutzen, setzen sich also sowohl Sicherheitsbedrohungen von innen als auch von außen aus. Die für Web 1.0 getroffenen Gegenmaßnahmen sind in diesem Fall nicht ausreichend. Die neue Generation der Sicherheitsbedrohungen besteht aus bösartigen Angriffen durch virtuelle Kriminelle gegen bestimmte Unternehmen, um sich persönlich oder finanziell zu bereichern. Dieser Bericht befasst sich mit den neuen Bedrohungen und wägt die begrenzte Effektivität älterer Websicherheitslösungen gegen diese Bedrohungen ab. Anschließend wird das neue proaktive Sicherheitsmodell beschrieben, das für die Sicherheit von Web 2.0-Anwendungen und für den Schutz der Unternehmen, die sie täglich nutzen, notwendig ist. Beginnen wir also mit den heutigen Bedrohungen im Web 2.0. Sicherheitsbedrohungen von außen Wie bereits erwähnt sind die Zeiten vorbei, in denen man sich primär um einen allgemeinen Virusangriff aus dem Internet Sorgen machen musste. Diese Angriffe zielten hauptsächlich darauf ab, sich unter Hackern zu profilieren. Websites wurden ähnlich wie Graffiti an Mauern oder Autobahnbrücken verunstaltet; politische und persönliche Slogans wurden manchmal in Webseiten eingebettet oder an Desktops gesendet. Diese Angriffe waren lästig, die PCs mussten bereinigt werden und Angreifer waren oftmals darauf aus, den Empfänger in eine peinliche Lage zu bringen. Diese Angriffe führten oft zu einem Abfall der Produktivität oder eingeschränktem Datenvolumen und schafften potenzielle Haftungsprobleme. Die Angreifer waren jedoch mit dem virtuellen Äquivalent einer Sprühdose oft nicht sehr raffiniert. Die heutigen Angreifer dagegen sind raffiniert, organisiert und finanziell motiviert. Sie sind virtuelle Kriminelle, die Technologie für sich nutzen, um gezielte Angriffe gegen bestimmte Personen oder Unternehmen zu starten, durch die sie sich finanziell bereichern können. Das Sicherheitsrisiko und das Potenzial für erhebliche Verluste ist heute viel größer. Eine Taktik, die von diesen virtuellen Kriminellen verwendet wird, besteht darin, ihre Computerkenntnisse gezielt einzusetzen, um Würmer in Host-Computer einzuschleusen. Diese Computer werden als Zombies bezeichnet, vermietet und sind zu Phishing, Spam und sonstigen Angriffen fähig 1. Neben den Zombie-Netzwerken ( Botnets ), die vermietet werden, setzen virtuelle Kriminelle auch raffinierte Tools ein, um scheinbar harmlosen Inhalt zu verbreiten, der aber trojanische Pferde mit bösartigen Funktionen enthält. Diese zielgerichteten trojanischen Pferde stellen eine Bedrohung für das Unternehmen dar, da sie an der Oberfläche harmlos und unscheinbar wirken oder gar als nützliches Programm oder Spiel getarnt sein können. Oftmals werden für diese Angriffe weit verbreitete Dokumente wie MS Office-Dateien verwendet, die via geschäftlicher oder privater E-Mail, auf die Mitarbeiter über verschlüsselte Web-Mail zugreifen, übertragen werden. Nach dem Öffnen der E-Mail wird der Trojaner installiert und öffnet damit die Tür für Unternehmensdatenspionage, Datendiebstahl und die Installation weiterer Malware. Gewöhnliche Virenschutzprogramme können den Angriff nicht stoppen, weil es keine bekannte Signatur gibt. Gezielte Angriffe haben eine immer kürzere Dauer und werden nur an wenige Empfänger gesendet. Oftmals bestehen sie aus Malware, die den signaturbasierten Virenschutz des Unternehmens umgehen soll. Da der Angriff bereits in ein paar Stunden beendet sein kann, sind Ihre Daten unter Umständen schon gestohlen, bevor überhaupt jemand merkt, dass ein Angriff stattgefunden hat. 2, 3 1 http://news.com.com/2102-7349_3-5772238.html?tag=st.util.print 2 http://news.com.com/2102-7349_3-6125453.html?tag=st.util.print 3 http://www.itpro.co.uk/security/news/99467/2006-the-year-of-targeted-malware.html Bericht In der heutigen Web 2.0-Umgebung steht proaktive Sicherheit ganz oben. Ist Ihr Unternehmen geschützt? 2
Aber nicht nur Dateien, die in Trojanern versteckt in ein Unternehmen eindringen, können Malware installieren. Auch scheinbar harmlose Websites, auf die Mitarbeiter zu legitimen Zwecken zugreifen, können Malware oder Spyware in einem Netzwerk installieren. Dies ist unter Umständen viel gefährlicher. Anwender können darum gebeten werden, nicht auf suspekte E-Mail-Anhänge zu klicken, aber bösartige Websites können aktiven Code enthalten, der automatisch gestartet wird, sobald die Website geöffnet wird. Dies ist ein häufiger Nachteil von Web 2.0-Applikationen wie Blogs, Wikipedia und Networking-Sites wie MySpace, bei denen Anwender auch Code als Teil des erlaubten Inhalts posten dürfen. Im November 2006 wurde beispielsweie auf die beliebte Wikipedia-Referenzsite schädlicher Code hochgeladen, über den Malware an völlig ahnungslose Besucher verteilt wurde, die dachten, Informationen über einen Sicherheitspatch zu erhalten 4. Ein Beispiel dafür, wie signaturbasierter Virenschutz und kategoriebasierte URL-Filterung durch die Dynamik von Web 2.0-Bedrohungen fragwürdig geworden sind, ist ein Programm, das jetzt erhältlich ist, evade o Matic Module (oder kurz VOMM) heißt, die Erstellung und Modifizierung von Code automatisiert und dadurch laufend seine Signatur ändert, um nicht von Virenschutzprogrammen erkannt zu werden und so die Schwachstellen des Browsers auszunutzen. Über VOMM kann schädlicher Code buchstäblich über Millionen möglicher Signaturen verfügen, wodurch die Malware dem Virenschutzprogramm immer einen Schritt voraus ist. Der Zweck des Programms ist es also, einen Angriff vor einem signaturbasierten Virenschutzprogramm zu verbergen 5. Bösartige Angriffe nutzen jetzt auch die neuesten Technologien, die eigentlich zum Schutz entwickelt wurden. Zum Schutz finanzieller Transaktionen wurde z. B. ein verschlüsseltes HTTP (HTTPS) entwickelt, damit finanzielle Daten nicht offen im Internet liegen. Dieses Protokoll wird heute viel für Transaktionen im Finanz- und Gesundheitsbereich verwendet. Aber auch Angreifer können diese sichere Verbindung nutzen, um Malware zu übertragen und einen bösartigen Angriff auszuführen, der von älteren Sicherheitslösungen wie Virenschutzprogrammen unerkannt bleibt 6. Da die meisten älteren Sicherheitslösungen nicht auf verschlüsselten Datenverkehr angewendet werden können, wird dieser Teil des Datenverkehrs im Netzwerk als SSL-Sicherheitslücke bezeichnet. Bedrohungen von innen Neben den Bedrohungen von außen besteht auch die Gefahr, dass Daten eines Unternehmens nach außen gelangen, und Unternehmen müssen sich dieser Gefahr bewusst sein. Angreifer sind nicht immer unbestimmte Personen aus weit entfernten Ländern; die Wahrscheinlichkeit ist hoch, dass sie sich direkt in Ihrem Unternehmen befinden. Datendiebe, Industriespione und virtuelle Vandalen können innerhalb eines Unternehmens operieren. Aber Bedrohungen von innen sind nicht immer das Ergebnis eines absichtlichen Angriffs durch einen Insider: manchmal entstehen sie, wenn ein Mitarbeiter unbeabsichtigt eine Hintertür öffnet oder sie offen lässt, indem er eine Anwendung herunterlädt, die nicht von der IT-Abteilung genehmigt wurde. Wenn Daten nach außen gelangen, besteht gleich zweifacher Grund zur Sorge: 1) Es besteht die Gefahr des Verlusts geistigen Eigentums und 2) die Gefahr, gesetzliche Vorschriften zu verletzen. Viele Unternehmen meinen, dass die Filterung von E-Mails ausreichenden Schutz bietet. Obwohl dies zwar ein wichtiger Schritt zur Verhinderung von Datenverlust nach außen darstellt, ist ein Mehrprotokoll-Ansatz, bei dem Netzwerkadministratoren auch Web-Protokolle miteinbeziehen, besser geeignet: verschlüsselter E-Mail- Verkehr (HTTPS), Instant-Messaging (HTTP) und Dateiübertragungen (FTP) 7. Denn über all diese Protokolle können Unternehmensdaten nach außen übertragen werden. Ältere Sicherheitslösungen sind nur bedingt für den Schutz vor Web 2.0-Bedrohungen geeignet Als das Internet entstand und zunehmend Verbreitung fand, traten auch Sicherheitsbedrohungen zutage und es wurden spezifische Lösungen entwickelt, die diese Bedrohungen ansprechen sollten. Viren erschienen erstmals Ende der 80er-Jahre und die ersten Hersteller von Virenschutzprogrammen brachten ihre Produkte Anfang der 90er-Jahre auf den Markt. Das erste Virenschutzprogramm war 1991erhältlich, nachdem Peter Tippet, der eigentlich Arzt war, bei Viren, die den Computer angreifen, dieselbe Methode angewendet hatte wie bei Viren, die den Menschen angreifen: Identifizierung des Virus nach seinem Verhaltensmuster und anschließende Impfung gegen den Virus. Die ersten Viren wurden danach identifiziert, was sie tun würden, z. B. den Bootsektor angreifen, und dies wurde als ihre Signatur bezeichnet. Das erste Virenschutzprogramm bediente sich einer Liste mit Virus-Signaturen 8. Diese Programme waren als Client-Lösungen konzipiert, die den Desktop vor Vireninfektionen schützen sollten, welche in der Regel über tragbare Datenträger (wie 5,25 - und 3,5 -Disketten) verbreitet wurden. Zunächst funktionierte dies gut, da es damals noch nicht so viele Viren wie heute gab. Diese Virenschutzprogramme werden auch heute noch zum Schutz von Computern eingesetzt, selbst wenn diese mittlerweile häufig vernetzt sind. Gateway- Versionen dieser Virenschutzprogramme sind heute von diesen Herstellern als Software oder als Appliance 4 http://www.toptechnews.com/story.xhtml?story_id=101003hctok6 5 http://www.itsecurity.com/features/news-feature-metasploit-vomm-102906/ 6 http://www.windowsecurity.com/whitepaper/info/misc/tricks.html 7 http://itmanagement.earthweb.com/secu/article.pho/3464021 8 http://en.wikipedia.org/wiki/anti-virus Bericht In der heutigen Web 2.0-Umgebung steht proaktive Sicherheit ganz oben. Ist Ihr Unternehmen geschützt? 3
erhältlich. Ihr primärer Ansatz, einen Schutz zu liefern, ist weiterhin das gleiche reaktive, signaturbasierte Modell, das zuerst von Dr. Tippett angewendet worden war. Da neue Viren (und Mutationen alter Viren) inzwischen zu Tausenden auftreten, kann dieses reaktive Modell leider nicht länger mithalten es wird eine proaktive Lösung benötigt. Eine Bedrohung, die von signaturbasierten Virenschutzprogrammen unerkannt bleibt, ist Spyware. Der Begriff Spyware (Software, die Anwenderdaten ohne deren Einwilligung erfasst und gewöhnlich zu Marketingzwecken an den Ersteller der Spyware sendet) entstand 1995, ist aber erst seit dem Jahr 2000 wirklich in den Sprachgebrauch übernommen worden. Eine Version der Spyware, die als Adware bezeichnet wird, ruft Werbung gewöhnlich in einem Popup-Fenster auf und installiert sich selbst, um Informationen zur Nutzung des Webs und zu den Surfgewohnheiten des Anwenders auf dem infizierten Computer an den Werber zurückzusenden. Das erste Anti-Spywareprogramm kam Anfang 2001 auf den Markt, wodurch ein völlig neues Segment in der Sicherheitsbranche entstand: Programme zum Schutz vor Spyware. Spywareprogramme werden in der Regel auf einem Desktop installiert und funktionieren nach dem gleichen Prinzip wie Virenschutzprogramme: Nach der Erkennung von Spyware wird eine Signatur erstellt, die dann auf die installierte Software des Herstellers heruntergeladen wird. Anschließend wird das Spywareschutzprogramm ausgeführt, um die Spyware zu beseitigen. Die weite Verbreitung von Instant-Messaging (IM)-Applikationen (AOL, Yahoo, MSN usw.) hat für Unternehmen weitere Probleme geschaffen, die nicht durch ältere Sicherheitslösungen bewältigt werden können: IM-Applikationen machen Unternehmen anfälliger für Malware und die unerlaubte Verbreitung ihrer Daten über E-Mails und den Transfer von Dateianhängen. Da Dateien leicht über IM übertragen werden können, hat IM FTP in breiten Kreisen als bevorzugte Methode zum Austausch von Dateien unter Personen ersetzt. Nachteile hierbei sind das vergrößerte Risiko nach außen geratender Daten und die Anfälligkeit für Malware, die Dateien auf die Festplatte eines Anwenders ohne dessen Wissen bzw. Zustimmung überträgt. Viren, Trojaner und andere bösartige Anwendungen können jetzt also nicht nur per E-Mail, sondern auch über HTTP-basiertes Instant Messaging verbreitet werden. Um diesen neuen Bedrohungen entgegenzutreten, kam Ende 2004 eine Reihe neuer Hersteller mit speziellen Programmen auf den Markt 9. Aus den letzten 15 Jahren lässt sich klar ersehen, dass immer dann neue Hersteller mit neuen Produkte aufwarten, wenn neue Bedrohungen entstehen. Oftmals wurden diese Programme zunächst als Desktop- Anwendungen und später dank immer erschwinglicherer Netzwerkhardware zunächst als Gateway- Serversoftware und dann als spezielle Gateway-basierte Appliances angeboten. Das Resultat: Unternehmen verfügen in diesem Jahr (2007) über zahllose Einzellösungen unterschiedlichster Hersteller mit diversen Benutzeroberflächen. Diese Einzellösungen arbeiten nicht ohne Weiteres mit allen Anwendungen zusammen und die IT-Abteilung muss ihre Sicherheitsrichtlinien an mehreren Stellen implementieren. Aber trotz dieser komplexen Infrastruktur ist die Gefahr durch Malware immer noch nicht gebannt, da der signaturlose gezielte Angriff und die SSL-Sicherheitslücke von keinem dieser Programme entsprechend behoben werden. Web 2.0-Sicherheitsbedrohungen direkt mit umfassender Web Gateway Security begegnen Zur Bekämpfung der durch gezielte Malware, Spyware, Adware und Datenverlust nach außen bestehenden Bedrohungen ist ein neues Modell mit proaktiven, reputationsbasierten Sicherheitsdiensten für Internet- Datenverkehr innerhalb und außerhalb von Unternehmen erforderlich. Dieses neue Modell muss zur Reduzierung der verwendeten Programme führen, wodurch wiederum Support-Kosten, Abo-Kosten und Schulungskosten für Mitarbeiter gesenkt werden. Die Schwachpunkte anderer Programme müssen mit einem proaktiven Ansatz, der sowohl bekannte signaturbasierte als auch unbekannte Angriffe erkennen kann, bevor sie in das Netzwerk gelangen können, überwunden werden. Diese Web 2.0-Sicherheitsbedrohungen werden von einer anwendungsbasierten Plattform bekämpft, die in den folgenden Bereichen Schutz bietet: reputationsbasierte Web-Filterung der nächsten Generation, Gateway- Antivirus, proaktive Anti-Malware, Schutz vor Datenverlust und Scannen des SSL-Datenverkehrs. Die Lösung sieht so aus: Eine einheitliche Administrationsoberfläche mit einer übergreifenden Richtlinienverwaltung und unternehmensweiter Berichterstellung für alle Funktionen sowie ein Dashboard, anhand dessen der Sicherheitszustand des Netzwerks und des Systems jederzeit ersichtlich ist. Diese anwendungsbasierte Lösung wird als Web Gateway Security bezeichnet. 9 http://www.network.com/news/2005/060605-data-leaks.html Bericht In der heutigen Web 2.0-Umgebung steht proaktive Sicherheit ganz oben. Ist Ihr Unternehmen geschützt? 4
Hauptkomponenten von Web Gateway Security: Was ist erforderlich? Für eine vollständige, umfassende Web Gateway Security ist die Einhaltung folgender Schutzmaßnahmen erforderlich. www.securecomputing.com Reputationsbasierte Webfilterung In gleichem Maße, wie ältere, signaturbasierte Virenschutzlösungen nicht zum Schutz vor Malware ausreichen, sind ältere URL-Filterungsprogramme, die sich auf kategorisierte Datenbanken mit URL-Einträgen verlassen, die mehrmals pro Tag auf den neuesten Stand gebracht werden, ebenso wenig zum Schutz von Unternehmen vor Sicherheitsrisiken aus dem Internet geeignet. Als Rundumschutz ist ein Reputationssystem erforderlich, das URLs globale Reputationen zuweist und neben den kategorisierten Datenbanken läuft. Dieses Reputationssystem bietet einen Mechanismus zur Ermittlung des Risikos, das mit dem Empfang von Daten einer bestimmten Website verbunden ist. Diese Reputation kann in Verbindung mit Kategorien in der Sicherheitsrichtlinie eines Unternehmens genutzt werden, um die richtige Entscheidung basierend auf der Kategorie und der Reputationsinformation treffen zu können. Die reputationsbasierte URL-Filterungslösung muss global konzipiert und internationalisiert sein, um Websites in jeder Sprache verarbeiten zu können. Dies ist angesichts der global präsenten Sicherheitsrisiken aus dem Internet besonders wichtig 10. Neben der reputationsbasierten Filterung ist eine Echtzeit-Klassifizierung nicht kategorisierter Websites sowie die Erzwingung einer sicheren Suchfunktion der verbreiteten Suchmaschinen erforderlich. Und nicht zuletzt ist es wichtig, den Zugriff auf Websites basierend auf dem Inhalt der URLs selbst zu sperren. Dies wird als Expression-Filterung bezeichnet und ist erforderlich, um den Zugriff auf Sites zu verhindern, die als Anonymisierer und Proxys fungieren. Diese Sites stellen Sicherheitsrisiken für das Unternehmen dar, da sie die Filterung des Zugriffs auf Sites umgehen, die als Hosts für Malware, Spyware und andere Sicherheitsrisiken bekannt sind. Abb. 1: Reputationsbasierte Filterung verwendet globale Informationen, fortschrittliche Verhaltensanalysen und dynamische Reputationswerte, um Malware zu erkennen und sie proaktiv daran zu hindern, in das Unternehmen zu gelangen. Proaktiver, verhaltensbasierter Schutz vor Malware Unternehmen sollten sich niemals auf eine Lösung verlassen, die nur auf den Clients oder nur am Gateway greift. Der typische Bootsektorvirus auf Disketten ist ausgestorben, weil Disketten so gut wie gar nicht mehr eingesetzt werden. Das Risiko, dass sich auf einem USB-Speichergerät (oder auf CDs/DVDs) ein Virus befindet, besteht nach wie vor, und darum ist weiterhin der Virenschutz auf Client-Geräten erforderlich. Zusätzlich ist ein clientbasierter Schutz als zweite Ebene für den seltenen Fall empfohlen, dass ein bekannter Virus die Schutzschicht des Antivirus-Gateways durchbrechen sollte. Da das Gateway der primäre Eintrittspunkt für Malware ist, muss es auch entsprechend geschützt werden. Man ist sich in weiten Kreisen einig darüber, dass Unternehmen ein Virenschutzprogramm am Client UND am Gateway einsetzen sollten. Diese Programme sind allerdings reaktiv (signaturbasiert) und können keine Malware-Bedrohungen bewältigen, die über diverse Protokolle eingehen und durch den Einsatz von Web 2.0-Anwendungen entstehen. 10 http://www.trustedsource.org/zloc.php Bericht In der heutigen Web 2.0-Umgebung steht proaktive Sicherheit ganz oben. Ist Ihr Unternehmen geschützt? 5
Wenn am Gateway ein Malwareschutz eingerichtet wird, ist unbedingt auf eine möglichst umfassende Protokollabdeckung zu achten. Alle Anwendungsprotokolle, die in ein Netzwerk eindringen, müssen genau überprüft werden. Viele Unternehmen setzen heute auf eine Mischung aus Spam- und Virenschutzlösungen für E-Mails. Doch was ist mit dem Schutz für das Internet-Gateway? Er ist ebenso wichtig wie ein E-Mail- Gateway. Neben dem normalen HTTP-Datenverkehr sind verschlüsselter HTTPS-Datenverkehr, Instant Messaging, Peer-to-Peer-Applikationen sowie Web-Mail, über die immer mehr Daten übertragen werden, auch empfindlich und müssen geschützt und überwacht werden. Näheres zu unserer Webwasher Anti- Malware-Lösung erfahren Sie in unserem Bericht Gezielte Angriffe abwehren (http://www.securecomputing.com/ Webform.cfm?id=81&sourcecode=wgswp). Überprüfung des SSL-Datenverkehrs Eine Web Gateway Security-Lösung sollte die folgenden Funktionen bieten, um Daten zu schützen und zu verhindern, dass Daten über SSL-Tunnel nach außen gelangen: Überprüfung auf Viren, Malware und Spyware am Gateway: Verschlüsselter Inhalt konnte bisher nicht am Gateway überprüft werden, wodurch SSL zu einem gefährlichen Virenträger wurde. Durch die Entschlüsselung von HTTPS-Inhalt am Gateway und das Scannen nach Viren können Unternehmen den gleichen Malwareschutz verwenden, der vom Web-Gateway für HTTP- und FTP-Datenverkehr geboten wird, und trotzdem die Vorteile von HTTPS nutzen. Überprüfung abgehender Daten zur Verhinderung des Verlusts geistigen Eigentums und Einhaltung gesetzlicher Vorschriften: Durch die Entschlüsselung von HTTP-Dateiübertragungen und die Implementierung einer Filterungsrichtlinie können Unternehmen Dateien und Medientypen filtern, die zuvor unbehindert in ihr Netzwerk hinein- bzw. aus ihrem Netzwerk hinausgelangen konnten. Medien- und Inhaltsfilterung: Viele Unternehmen wollen Richtlinien hinsichtlich der gemeinsamen Nutzung von Mediendaten (MP3), des Downloads von ausführbaren Programmen, ActiveX-Elementen, JavaScript-Dateien oder anderen schädlichen Inhalten umsetzen ungeachtet des Netzwerkprotokolls, das diese Dateien verwenden. Da immer mehr Inhalt via SSL übertragen wird, werden Bandbreitenund Inhaltsfilter für HTTPS genauso wichtig, wie sie es bereits für HTTP sind. Zertifikatsverwaltung: Die Zentralisierung der Zertifizierungsrichtlinien am Gateway erspart den Mitarbeitern den Aufwand, den solche Entscheidungen mit sich bringen (und minimiert die Wahrscheinlichkeit kostspieliger Fehler) und ermöglicht es Administratoren, einheitliche Richtlinien umzusetzen. Flexible Umsetzung von Richtlinien: Zwar ist es empfehlenswert, dass jeglicher SSL-verschlüsselter Datenverkehr gefiltert wird, doch die meisten Unternehmen möchten flexible Richtlinien implementieren, die eine exakte Unterscheidung der entschlüsselten Websites und der berechtigten Benutzer ermöglichen. So kann z. B. die Führungsebene eines Unternehmens vollständig von SSL-Scans befreit werden, während SSL-Scans für normale Benutzer ausschließlich bei zuverlässigen Banken oder einer bestimmten Kategorie von Websites deaktiviert werden. Auch verschlüsselte Daten bleiben nicht verborgen! Abb. 2: Dank effektiver SSL-Scans können Unternehmen ihre bestehenden Sicherheits- und Internetnutzungsrichtlinien in das HTTPS-Protokoll integrieren und den Missbrauch von Zertifikaten verhindern. Berichterstellung in Unternehmen Das Netzwerk eines Unternehmens lässt sich nur wirksam schützen und verwalten, wenn der Netzwerkadministrator über Status, Trends und Ereignisse bezüglich sämtlicher Netzwerkaktivitäten informiert ist und Berichte erstellen kann, um sowohl interne als auch externe Anforderungen zu erfüllen. Für ein Web Security Gateway ist eine Berichterstellungsfunktion erforderlich, die die Nutzung von Cache, Streaming- Bericht In der heutigen Web 2.0-Umgebung steht proaktive Sicherheit ganz oben. Ist Ihr Unternehmen geschützt? 6
Medien und Internet innerhalb eines Unternehmens detailliert aufführt und sich auch für die Bedürfnisse von Großunternehmen (mit mehr als 20 GB an Protokolldateien pro Tag) anpassen lässt. Web Gateway-Berichte müssen das vom Kunden verwendete RDBMS unterstützen und sollten so gut wie keine Administration durch IT-Mitarbeiter erfordern, indem sie eine robuste, automatisierte Erstellung von Protokolldateien und Berichten sowie die automatische Verteilung ermöglichen. Darüber hinaus müssen Berichte leicht angepasst werden können und auch globale Datenschutzrichtlinien erfüllen. Und nicht zuletzt müssen sie auf einen Blick Informationen über die Netzwerksicherheit und die Leistung des Web-Gateways über ein Dashboard anzeigen, das Administratoren sofort auf eventuelle Probleme hinweist. Die Webwasher Web Gateway Security-Lösung: Technologie und Architektur Webwasher Web Gateway Security Appliances schützen Unternehmen vor Malware, Datenverlusten sowie Internetmissbrauch und gewährleisten gleichzeitig die Umsetzung von Richtlinien, die Einhaltung von Vorschriften und eine produktive Anwendungsumgebung. Webwasher analysiert Datenverkehr bidirektional. Bei Daten von außen analysiert und eliminiert es Bedrohungen durch unterschiedlichste Malware wie z. B. Zero-Day-Angriffe, Viren, Trojaner, Spam und Phishing. Webwasher setzt modernste heuristische und signaturbasierte Algorithmen ein, um Malware und Zero-Day-Angriffe zu stoppen, sowie patentierte Inhaltsanalysesoftware, um gesetzliche Vorschriften zu erfüllen und zu verhindern, dass Daten nach außen gelangen. Webwasher versteht die zugrundeliegenden Protokolle und typischen Reaktionen von Anwendungen und nutzt global verfügbare Informationen (Global Intelligence), um ein angemessenes Sicherheitsverfahren zu ermitteln. Webwasher Web Gateway Security ist eine integrierte Lösung, die ältere Einzelprodukte ersetzt. Sie weist eine einheitliche Oberfläche auf, in der alle Anwendungen zum Schutz von Inhalten in Unternehmen vereint sind: Webwasher URL-Filter, Malwareschutz, Virenschutz, SSL-Scanning, Spywareschutz und unternehmensweite Berichterstellung für den gesamten Datenverkehr über das Internet. Webwasher Web Gateway kann auch gemeinsam mit anderen Messaging Gateway-Lösungen von Secure Computing eingesetzt werden: IronMail für E-Mail-Schutz, IronNet zur Einhaltung gesetzlicher Vorschriften zum Datenschutz und IronIM zur Überwachung von Instant Messaging. Eine Integration zwischen Web und Messaging Gateways ist wichtig, da viele Angriffe heutzutage über mehrere Wege erfolgen. Der Angriff kann mit einer anscheinend harmlosen E-Mail und einer darin eingebetteten URL beginnen, die einen webbasierten Angriff auslöst, sobald der Empfänger darauf klickt. Anforderung an das Web Gateway Fortschrittliche Webfilterung Webwasher URL Filter Virenschutz am Gateway Webwasher Anti-Virus Schutz vor Malware Webwasher Anti-Malware SSL-Scanning Webwasher SSL Scanner Berichterstellung Webwasher Content Reporter Webwasher-Schutz Reputationsbasierte Filterung mit TrustedSource Verwendet sowohl URL-Kategorien als auch Internet-Reputation Echtzeit-Klassifizierung nicht kategorisierter Sites Sichere Suchfunktion Mechanismen zur Umsetzung der Filterung Bis zu 2 signaturbasierte Virenschutzmodule können gleichzeitig laufen PreScan-Funktion garantiert reaktives Gateway Ergänzung vorhandener Virenscanner und Firewalls am Gateway Proaktive Filter bieten sofortigen Schutz vor gemischten Bedrohungen, unbekannter Malware, Spyware, Trojanern und Zero-Day-Attacken Signaturbasiertes Malwareschutzmodul für bekannte Bedrohungen Breite Protokollpalette Bestehende Sicherheits- und Internetnutzungsrichtlinien in HTTPS- Datenverkehr integriert Zertifikatsverwaltung Scannen eingehender und abgehender Daten Flexible Umsetzung von Richtlinien Sichere Implementierung kein verschlüsselter Inhalt Unternehmensweite Berichterstellung für eingehenden und abgehenden Datenverkehr Hochskalierbar und konfigurierbar Berichte zu mehreren Proxys, Firewalls und Cache-Geräten von Drittanbietern Automatisierte Protokolle, Berichterstellung und -verteilung Dashboard für schnellen Netzwerküberblick Bericht In der heutigen Web 2.0-Umgebung steht proaktive Sicherheit ganz oben. Ist Ihr Unternehmen geschützt? 7
Als Teil der Vision von Secure Computing, eine umfassende Gateway-Sicherheit für Unternehmen bereitzustellen, bezieht Webwasher die von TrustedSource, dem branchenweit führenden Reputationssystem des Unternehmens, verfügbaren globalen Informationen ein. Wie eine Bonitätsauskunft stellt TrustedSource Echtzeit-Reputationswerte für URLs, Domänen und IPs basierend auf Webseiteninhalt, Bildern und Verhalten sowie Informationen aus der Vergangenheit wie z. B. dem Wissen, dass eine Site in letzter Zeit wiederholt attackiert wurde, bereit. Anhand dieser Echtzeitwerte ermöglicht es Webwasher Unternehmen, Sicherheitsbedrohungen wie z. B. Spyware, Phishing oder andere Malware zu erkennen und zu abzuwehren. Gewöhnliche URL-Filterprogramme sperren den Zugriff auf Websites, deren Aufruf mit Haftpflichtrisiken, Produktivitätseinbußen oder einer Beeinträchtigung des Datenvolumens verbunden ist. Sie sind jedoch kaum zum Schutz vor Sicherheitsrisiken geeignet, die aus infizierten legitimen Websites hervorgehen. Secure Computing hat mit der Integration der TrustedSource-Reputationstechnologie in Millionen von URLs in der preisgekrönten SmartFilter -Datenbank, die jetzt für den Webwasher URL-Filter verwendet wird, neue Maßstäbe im Bereich der URL-Filterung gesetzt. Statt sich nur auf eine statische Liste kategorisierter URLs zu verlassen, weist Webwasher einer URL ihre Internet-Reputation zu und trifft eine auf Echtzeitinformationen basierende Entscheidung (Sperren/Zulassen). Die Möglichkeit, Sicherheitsrichtlinien sowohl basierend auf der URL-Kategorie als auch auf der Internet-Reputation zu implementieren, verbessert die Filtergenauigkeit und den Schutz erheblich. Um auch weiterhin die Sicherheit für alle Kunden zu erhöhen, sammelt Secure Computing Informationen über Web-Datenverkehr und neue Malware, indem es Daten von den Tausenden von Webwasher Web Gateways erfasst, die auf der ganzen Welt eingesetzt werden. Diese Daten werden dann allen Webwasher Gateways in Echtzeit verfügbar gemacht. Je mehr Malware Webwasher erkennt und stoppt, desto umfassender wird der TrustedSource-Schutz für alle. TrustedSource-Schutz ist außerdem jetzt schon verfügbar. Secure Computing hat das Internet- Reputationssystem von TrustedSource in die Version 6.5 von Webwasher Web Gateway integriert. Damit gibt es jetzt Feedback für das TrustedSource-Netzwerk zu nicht kategorisierten URLs und neuer oder mutierter Malware sowie Reputationswerte für alle URLs, IP-Adressen und Websites, die von Benutzern aufgerufen werden, die mit Webwasher arbeiten. Abb. 3: Webwasher arbeitet mit globalen, in Echtzeit erhältlichen Informationen von TrustedSource, um das Web Gateway umfassend zu schützen. Weitere Informationen über TrustedSource finden Sie unter www.trustedsource.org. Bericht In der heutigen Web 2.0-Umgebung steht proaktive Sicherheit ganz oben. Ist Ihr Unternehmen geschützt? 8
Eine preisgekrönte Web Gateway-Lösung www.securecomputing.com Webwasher Web Gateway Security wurde vielfach ausgezeichnet, u. a. als Best Content Security Solution 2006 (SC Magazine11). In einem von der unabhängigen Testorganisation AVTEST gegen Ende 2006 durchgeführten Test wurden Webwasher und 31 andere Virenschutz- und Malwareschutzprogramme von Mitbewerbern getestet. Die Ergebnisse dieser Tests wurden letzten Oktober in der Zeitschrift eweek 12 veröffentlicht. Das Labor testete alle Programme mit fast 300.000 Trojanern und maß die Bekämpfungseffektivität jedes Programms bei jedem Angriff einer Malware. Webwasher schnitt bei den Tests am besten ab: Das Programm erkannte 99,97 % der Malware. Außerdem erhielt Webwasher im Januar 2007 die Zertifizierung des ICSA-Labors für den Schutz vor Malware und Viren. Zusammenfassung Um die Sicherheit des Internets ist es heute anders bestellt als noch vor zehn und selbst vor zwei oder drei Jahren. Webprotokolle wie z. B. HTTP und HTTPS werden heute von Web 2.0-Anwendungen auf eine Weise genutzt, die man sich bei der Entwicklung dieser Protokolle niemals hätte träumen lassen. Diese neuen Web 2.0-Anwendungen stellen Unternehmen vor neue und sich rasant ändernde Sicherheitsrisiken. Die gewöhnlichen reaktiven, signaturbasierten Ansätze für Filterung und Malware sind für diese neue Herausforderung nicht ausgelegt. Dazu ist reputationsbasierte Sicherheit mit Malware-Erkennung und URL- Filterung erforderlich. Webwasher Web Gateway Security erfüllt die bidirektionalen Sicherheitsforderungen des Web 2.0-Internets. Webwasher bietet sofortigen Schutz gegen Malware, die in gemischtem Inhalt oder in verschlüsseltem SSL- Datenverkehr versteckt ist. Webwasher verhindert außerdem, dass vertrauliche Daten des Unternehmens über Webprotokolle nach außen gelangen. Hierzu scannt Webwasher alle Daten, die nach außen gesendet werden, auf besondere Weise sogar Inhalt, der via SSL übertragen wird. Webwasher ist also ein wichtiges Tool für Unternehmen, die ihr geistiges Eigentum schützen wollen und gesetzliche Vorschriften erfüllen müssen sowie Berichterstellungsfunktionen für genaue Analysen benötigen. Webwasher Web Gateway Security ist reputationsbasiert, um die Anforderungen der Web 2.0- Umgebung zu erfüllen. Reputationsbasierte Webfilterung mit TrustedSource ist im Vergleich zu älteren URL-Kategorisierungsprogrammen viel sicherer. Webwasher besitzt auch eine einzigartige Echtzeit- Feedbackfunktion, mit der es TrustedSource über nicht kategorisierte Sites und Malware informiert, die noch keine Signatur hat. Das Echtzeit-Feedbacksystem nutzt die installierte Basis der Webwasher Web Gateways zur Erfassung dieser Daten. Hierdurch erhalten alle Webwasher-Kunden Vorteile durch das Netzwerk und das Netzwerk wird immer besser, je mehr Webwasher Gateways im Einsatz sind. Sicherheitsbedrohungen sind heutzutage sehr komplex virtuelle Kriminelle nutzen E-Mails, Websites und Malware, um hinterhältige Angriffe zu starten. Daher bietet Webwasher Web Gateway Security auch die Möglichkeit der Kombination mit Messaging Security durch IronMail Appliances mit gemeinsamen Sicherheitsrichtlinien sowie Funktionen zur Einhaltung gesetzlicher Vorschriften und zur Erstellung von Berichten, wodurch sich der Wirkungsgrad der Enterprise Gateway Security-Lösungen von Secure Computing noch wesentlich steigern lässt. 11 http://www.scmagazine.com/uk/awards/previous/26104/year/2006/ 12 http://www.eweek.com/article2/0,1895,2023127,00asp or http://www.securecomputing.com/pdf/eweekarticleonantimalware.pdf Bericht In der heutigen Web 2.0-Umgebung steht proaktive Sicherheit ganz oben. Ist Ihr Unternehmen geschützt? 9