Hochperformante und proaktive Content Security

Präsentation zum Thema: "Hochperformante und proaktive Content Security"—  Präsentation transkript:

1 Hochperformante und proaktive Content Security
25. Februar 2005 Peter Schill Aladdin Knowledge Systems (Deutschland)

2 Agenda Aladdin – Eckdaten eSafe 4 Erste Ebene – Proaktive Sicherheit
Zweite Ebene – Anti Spam / URL-Filter Dritte Ebene – Application Filtering eConsole Coming soon: eSafe 5

3 Inhaltliche Änderungen und Druckfehler vorbehalten.

4 Aladdin - Firmenübersicht
Gegründet: 1985 (in IL als Aladdin Ltd.) (in DE als FAST Security AG) Merger: mit Aladdin Mitarbeiter: 369 (DE 64) Umsatz (2004): 69,1 Mio. US $ NASDAQ: ALDN seit Oktober 1993 Standort DE: Germering bei München

5 Aladdin around the Globe
Kunden in 100 Ländern Neun Niederlassungen weltweit Distributoren in 50 Ländern auf fünf Kontinenten

6 Starke Authentisierung
Produktportfolio Content Security Software Schutz & Lizenzierungstechnologie Starke Authentisierung

7 Oberfinanzdirektion Koblenz
Referenzliste (Auszug) eSafe Oberfinanzdirektion Koblenz BEZIRK SCHWABEN

8 Mehrschichtige Content Security
Vorstellung eSafe 4 Mehrschichtige Content Security

9 Sicherheit – das muß man haben
Secure Content Management (SCM) Netzwerk Sicherheit anti virus Anti spam HTTP Content Inspection FTP Content Inspection URL Filtering Worm protection IM, P2P, Spyware, apps. Firewall VPN IDS/IPS Before we begin: When we look at the perimeter security, it is important to understand there is a great difference between the network security and secure content management. Network security deals with three main functions: Filter who is allowed access into and outside-of the network. This is done by the firewall and has to be very fast. Allow the secure connection of different networks and individuals over the insecure Internet – this is performed by the VPN and also has to be very fast while still performing complicated encryption Identify and block abnormal activity and intrusion attempts without interrupting the network. This is done by IDS (Intrusion Detection Systems) and IPS (Intrusion Prevention Systems). There are completely different needs when dealing with Content Security Management. Here we look deep into the content that was already allowed to enter the network. The inspection at this level is much more exahostive by nature and more resource consuming. SCM covers: anti-virus Anti-spam Web traffic (HTTP and FTP) content inspection URL (web site) filtering Worm protection Instant messengers, Peer to peer (p2p), spyware, ad-ware, and more Realizing the complexities involved, we believe that the best practice is to separate the network security to be handled by dedicated firewalls, VPNs, and IDS which can even be combined in some situations and use a specialized product for SCM. Management & Reporting

10 Kunden verwenden ggf. mehrere Produkte am Gateway (AV, AntiSpam, URL-Filtering).
Mit eSAfe hat der Kunde eine hochperformante Lösung. Vorteil: Geringere Kosten, Lizenzmanagement einfacher, Support übersichtlich.

11 eSafe – die integrierte SCM Lösung
eSafe bietet eine integrierte Content Security Gesamtlösung security Anti-virus Anti-spam Sicherheits Gesamtlösung eSafe Mail HTTP security FTP security URL filtering AppliFilter™ eSafe Web Looking at the way eSafe is implemented in the network, we would typically have two (2) systems – one protecting the before it enters the organization, and the other protecting web traffic and application threats. It is important to understand that an “all in one” solution is NOT the same as an “integrated solution”. The first one includes a firewall as well as intrusion detection, VPN, anti-virus and more and is only suitable to small customers. An integrated solution focuses specifically on the SCM requirements while the network security requirements, which are firewall, VPN, and intrusion detection would be handled by a separate product. This is far more efficient and effective and is actually the only way to do it in larger customers. Management & Reporting

12 Mehrschichtige Content Security
Anti-Virus / Anti-Vandal – Schutz gegen Viren, Vandalen, Würmer, Trojaner und andere Schädlinge Exploits/Worms – Schutz vor Mißbrauch bekannter Sicherheitslücken durch Hacker und vor “Malicious Code” Anti Spam – Blockt mehr als 95% des Spams durch den Einsatz von 17 unterschiedlichen Technologien, bei weniger als 0.02% False Positives URL/Web filtering – Filterung des Webzugriffs basierend auf 58 Kategorien AppliFilter™ – Blockt unerlaubten Application Traffic wie z.B. P2P, IM, Spyware, etc.

13 Erste Ebene : Proaktive Sicherheit
4 Zertifizierte Antivirus- Engine Blocken von Exploits Blocken von Web Exploits Blocken von MS Office Exploits Blocken gefährlicher ausführbarer Dateien Schutz vor DoS, Spoofing, Zip exploits und mehr…

14 Proaktive Lösung !

15 Proaktive Schutzmechanismen
Heuristische, intelligente und analytische Methoden um Malicious Code zu erkennen und zu blocken. GhostMachine™ - Entdeckt unbekannte Viren, Trojaner, Würmer in ausführbaren Dateinen durch “teilweises Ausführen” MacroTerminator™- heuristische Erkennung und Blockierung von MS Office-Makroviren (auch in Embedded Objects) SmartScripts™ - auch in s ! proaktive Blockierung aller bösartigen Scripts (Active-X, Java etc.) Schutz vor “Malicious Code” XploitStopper™ - proaktive Erkennung und Blockierung bösartiger Codes die bekannte Sicherheitslöcher in Anwendungen ausspionieren bzw. ausnutzen Filetype Anti-Spoofing: Dateien werden auf MIME-Typ, Header und Dateistruktur überprüft

16 Anti-Virus am Beispiel eines eSafe-Kunden
Viren und Würmer mit s transportiert: Hier hat eSafe 65% der angriffe über die heuristische Scanmethode erkannt und geblockt. WICHTIG: Auch Viren in Password-geschützten ZIP-Files wurden erkannt.

17 Nur eSafe bietet vollständigen Schutz
Herausforderung HTTP Viele Unternehmen werden durch ihre AV Lösung nur zu 85% geschützt, weil der Web (HTTP) Traffic aus nachfolgenden Gründen nicht überprüft wird: Irr-Glaube, dass Viren nicht über Webtraffic verbreitet werden Langsame, ineffiziente HTTP Überprüfung Probleme bei der Implementierung der FTP Überprüfung (Proxyprobleme, etc) 15% Ungeschützt Nur eSafe bietet vollständigen Schutz

18 eSafe Installations Modes

19 http – Klassifizierung des Inhaltes
Technologie zum Patent angemeldet 80% vertrauenswürdiger Inhalt HTTP Inhalt HTTP Content Recognition Filter HTTP Content Mixer 15% HTML Überprüfung 5% binäre Dateien Überprüfung

20 Jedes Paket wird überprüft und freigegeben
HTML Überprüfung ~15% eSafe Gateway Content Inspector eSafe PCA TCP/IP stack Jedes Paket wird überprüft und freigegeben NIC NIC Internet

21 Binäre Dateien Überprüfung ~5%
90% der Pakete werden freigegeben eSafe Gateway Content Inspector eSafe PCA Nach der Überprüfung werden die restlichen 10 % freigegeben TCP/IP stack Bei Erhalt der kompletten Datei wird diese überprüft NIC NIC Internet

22 Zweite Ebene : Anti-Spam / URL-Filter
4 17 Anti-Spam Methoden Größte Spam-Signaturen-Datenbank Größte Spam URL- Datenbank Blockt mehr als 95% aller Spam-Mail bei geringer False-Positiv Rate Intuitives Management Automatische Updates

23 Spam – unerwünschte Emails
Improve your love life You’re a winner !! 50 Best Porn sites Enhance this. Enlarge that. Let’s face it. . . Spam isn’t going away. It’s only getting worse. . .You can’t wish it away, pray it away, or kiss it goodbye. . You have to have a plan in place to . . Lose inches in an hour Viagra shipped to your door Low Mortgage Instant credit

24 Spam: Anatomie Multilayer Kombination aus mehreren Technologien
1. Diese Funktion gleicht IP-Adressen mit verschiedenen schwarzen Listen ab, um sicher zu gehen, dass der versendende Server nicht als Open-Mail-Relay vermerkt ist, über den Spammer ihre Massen- s versenden können. 2. spez. Exaktere Listen 3. Mithilfe dieses Features kann festgestellt werden, ob der -Server des Absenders seriös bzw. rechtmäßig ist und über einen gültigen Host-Namen verfügt. 4. Beim -Spoofing werden s von anderen Domains aus versendet, sind jedoch mit internen Absendern, z.B. Unternehmensadressen getarnt. 5. Hierbei handelt es sich um die Überprüfung und den Abgleich des SMTP-Headers der eingehenden anhand von festgelegten Standards, um sicherzustellen, dass es sich nicht um eine von einem Spammer gefälschte Mail handelt. 6. Die Anti-Bombing-Funktion reguliert den -Fluss, um einer Überlastung vorzubeugen, die zu einer gravierenden Verlangsamung von -Servern bis hin zu Systemausfällen führen kann. 7. Mit Hilfe von Directory Harvest Attacks (DHA, auch Verzeichnis-Attacken) gelangen Spammer an gültige -Adressen der betroffenen Unternehmen. Während einer solchen Verzeichnis-Attacke versucht der Spammer, Mails an die verschiedensten Adressen zu senden, wie beispielsweise etc. 8. Viele Spam-Mails sich durch einen ähnlichen Text in der Betreffzeile gekennzeichnet. b. University diploma Bei der Analyse der Betreffzeile sollte man jedoch Vorsicht walten lassen, da eine zu breit angelegte Einrichtung der Blockierungsregeln dazu führt, dass zu viele legitime s als Spam klassifiziert werden. 9. Das Spam-Datenbank-Feature extrahiert aus den empfangenen s Hash-Signaturen und vergleicht sie mit einer Datenbank von bekannten Spam-Mails. Diese Technik, sofern richtig implementiert, ist äußerst wirkungsvoll, da Spam auf diese Weise in Echtzeit abgeblockt werden kann. Spam-Mails können polymorpher Natur sein, was bedeutet, dass sie ab und zu geringfügig abgeändert werden, und zwar mit jedem versandten Paket oder sogar mit jeder versandten . Ein gut funktionierendes Hash-Signatur-System ist in der Lage, Variationen in Spam-Mustern zu erkennen. 10. Bei lexikalischen Textanalysen wird der Inhalt der untersucht und nach Text-Strings gefiltert, die s als Spam entlarven können, wie beispielsweise bestimmte Verkaufsangebote, Dienstleistungen, Aufforderungen zum Besuch bestimmter Webseiten etc. Die Textanalyse basiert auf spezifischen lexikalischen Regeln und funktioniert nach dem Boole'schen Verfahren mit Operatoren wie OR, AND, NOT etc. Die lexikalische Textanalyse ist wesentlich detaillierter als die Analyse der Betreffzeile und reduziert das Spam-Aufkommen bei geringeren False-Positive-Werten. 11. Die statistische bzw. Bayes'sche Analyse basiert auf Statistiken, die auf der Grundlage der Analyse einer Vielzahl von Spam-Mails erstellt wurden. Das System kann dahingehend „trainiert“ werden, dass Spam-Inhalte mit hoher Trefferquote und einer geringen Rate von als Spam eingestuften, tatsächlich jedoch legitimen Mails (False-Positives) ermittelt werden. 12. Heuristische Analysen werden zur Identifizierung von s verwendet, die aufgrund gewisser allgemeiner Eigenschaften wie Spam aussehen. Zu diesen Charakteristika zählen beispielsweise der Gebrauch von unterschiedlichen fremdsprachigen Zeichensätzen, Image-Links, bei denen es sich um Server-Abfragen handelt (mit oder ohne eindeutige Empfänger-ID), verschiedene versteckte und/oder nicht druckbare Zeichen, unterschiedliche Verschlüsselungsmethoden usw. Üblicherweise versuchen Spammer, die Identifizierung ihrer Mails als Spam zu erschweren, indem sie automatisch große Mengen an beliebigen Zeichenfolgen (Random-Text) oder willkürlich zusammengestellten HTML-Tags in den Textkörper der einfügen, die für den Empfänger nicht sichtbar sind, aber in der Lage sind, Programme zur Extrahierung von Hash-Signaturen zu umgehen. Ein Beispiel für eine derartige HTML-Tag-Folge in einer Spam- könnte wie folgt aussehen: **<!B>D<!D>ig<!X>ital<!D> Cab<!E>l<!X>e<!D>FI<!X>LTE<!D>RS a<!X>re<!Y> Fi<!D>na<!E>lly Ava<!E>ilab<!D>le** Werden die sogenannten Comment-Tags entfernt, wird die enthaltene Aussage deutlich: **Digital Cable FILTERS are Finally Available** 13. Ein großer Anteil der versendeten Spam-Mails enthält pornographische Inhalte, wodurch die betreffenden Mails nicht nur extrem zeit- und ressourcenaufwändig sind, sondern auch sehr lästig und unangenehm sein können. Der Besitz derartigen Materials kann sogar rechtliche Konsequenzen nach sich ziehen. Eine Anti-Spam-Technik setzt automatische Web-Crawler ein, die auf den Server zugreifen, auf dem sich die Bilder befinden, und analysiert sie mithilfe von Algorithmen nach bestimmten Mustern, um pornographische Inhalte ausfindig zu machen. Unter der Voraussetzung ausreichender Anwendungsintelligenz hinter der Technik, kann diese „nackte Tatsachen“ klar von medizinischen oder anderen legitimierten Bildern unterscheiden. Werden die Bilder als pornographisch erkannt, wird die Webseite indiziert und in eine URL-Datenbank aufgenommen. 14. Der Einsatz von Web-Beacons stellt für technisch versierte Spammer eine der ertragreichsten Methoden dar, um gültige -Adressen ausfindig zu machen und diese dann mit einer Flut von Spam zu überschwemmen. Beim Eingang einer neuen Mail, die ein Web- Beacon enthält, wird diese üblicherweise im Vorschau-Fenster des Eingangsverzeichnisses angezeigt. Wenn die neu eingegangene den folgenden versteckten HTML-Befehl enthält, sendet der -Client eine Anfrage an den Server „ und verwendet darin als Parameter die -Adresse des Benutzers: 15. Häufig enthalten Spam-Mails ihre Aussagen in graphischer Form, und nicht als Text. Diese Tatsache beruht auf der Unfähigkeit zahlreicher Spam-Blocker, in Grafiken enthaltene Texte als solche zu identifizieren, wodurch sie die Spam-Mail ungehindert passieren lassen. Mit der OCR (Optical Character Recognition)-Technologie kann Text sogar in Grafiken erkannt werden. 16. Spam-Mails sind vielfach trickreich manipuliert, um die Inhaltsanalyse des Textes durch Spam-Blocker schwieriger zu gestalten. Mit Textmanipulation ist das Ersetzen einzelner Zeichen innerhalb des Textes, vor allem in den üblichen verfänglichen Begriffen, durch ähnliche Zeichen gemeint, aber auch z.B. das Einfügen von Leerzeichen zwischen den einzelnen Buchstaben eines Wortes, um dieses unkenntlich zu machen. Hier einige Beispiele: • P0RN anstelle von PORN (mit einer Null anstelle des großgeschriebenen O). • \/\/arez anstelle von Warez (das erste W wurde aus den Schrägstrichen \/ \/ zusammengesetzt) • V.I.A.G.R.A anstelle von VIAGRA • 4U anstelle von „for you“

25 Wie blockiert man Spam? eSafe Advanced Anti Spam Module (AASM)
Heuristic analysis Text manipulation detection Web Beacon detection Mixed languages, invalid HTML tags, encoding V.I.A.G.R.A L0ve s pecia l str8 <img src=" Did you know? Web-beacon methods are used in almost all spam messages!

26 Anti-Spam am Beispiel eines eSafe-Kunden
Kunde von Aladdin bekommt in 18 Stunden Mails. Davon hat eSafe 60% über RBL-Listen abgeblockt und überhaupt nicht angenommen (Server Kapazität geschont).

27 Wie bekämpft man Spam? Spam Tagging
Erlaubt dem Anwender schnell zu erkennen, ob es sich um Spam handelt. Diese kann per Regel in einen Ordner abgelegt werden.

28 Email-managed Quarantäne
Verfügbar in eSafe 5

29 Nur eSafe 4 kann auch malicious code blocken!
eSafe URL-Filtering 25 Millionen indizierte Seiten 2.6 Mrd. analysierte Seiten 58 Kategorien Spezielle Spam-Kategorien Alle Seiten werden regelmäßig erneut überprüft No Yes Image OCR* Image Analysis* Manual Automatic Analysis Process n.a. 4.000 5.000 New sites (daily) 58 80 40 Number of Categories 1.6B 1.1B 1B 2.6B Number of Web pages 2M 4.6M 5M 25M Number of Sites WebWasher WebSense SurfControl eSafe Weltgrößte Datenbank Nur eSafe 4 kann auch malicious code blocken!

30 Applikationen Die unterschätzte Gefahr

31 Dritte Ebene : Application Filtering
4 Blockt nicht erlaubten Traffic: P2P: KaZaa, Gnutella, eDonkey/eMule, Overnet, Bit Torrent … Instant Messengers: ICQ, MSN, Yahoo, AOL… Adware/Spyware: Gator, Cydoor, HotBar, eZula, Aureate… Remote Control: GoToMyPC, PC Anywhere… Verhindert Application-Layer Tunneling Konfigurierbar und automatisch upgedatet eSafe 4 is simply better than the competition. eSafe is an integrated & modular product, covering all the content security needs in the organization. eSafe is better than the competition in the 3 most important aspects: Security Performance Implementation & maintenance (TCO) - Competitors require several products in order to provide similar functionality. - Some feature are not available in any competing product. eSafe blocks known & unknown threats and viruses. Of course - it also includes a certified anti-virus. Actually, eSafe was one of the first antivirus products in the world. Unlike other products, eSafe inspects all content in HTTP, FTP, SMTP and POP3 and not just executable files. eSafe is also the only product the fully inspects all HTML pages for known & unknown threats without crippling the network. As an integrated and modular product, eSafe covers all content security needs which also include: The most advanced anti-spam solution with 17 anti-spam methods Web site (URL) filtering with the world’s largest, auto-updating indexed database, covering over 20 Million web sites and blllions of web pages New unique protection against unauthorized traffic such as Peer to Peer (P2P) applications like KaZaa, Instant Messengers, Adware and Spyware communication, remote control applications, tunneling and more. eSafe can do all this advanced content security and still handle traffic amounts that competitors simply can’t: Up to 32 Megabits/second with very fast response times thanks to the unique NitroInspection™ technology which allows the fastest response times possible for non-interrupted web surfing experience. This information is taken from an independent 3rd party tests that concluded that eSafe is much faster than the competition. Built-in fail-over and load-balancing for content security in any size network The cost of a content security solution is not only the initial purchase price – a product has to be installed and integrated into the network and later on the whole system has to be maintained including hardware, OS updates, security patches, software upgrades and updates, etc. and all that is multiplied by the number of content security “boxes” installed. - The costs add up to increase the TCO With eSafe The installation is a breeze with no network changes The product is self-maintained so you don’t have to worry about installing an OS, hardening the system, installing patches and security fixes, downloading and installing updates & upgrades – everything is taken care of automatically. There is even is a system for a per-customer update! Bottom line: improved TCO

32 Konfiguration AppliFilter

33 Filtern von Remote Control und Tunneling

34 Alle Informationen in einem Fenster
eConsole Version 4 Alle Informationen in einem Fenster

35 Alle Informationen in einem Fenster
eConsole Version 4 Alle Informationen in einem Fenster Viren und Spam

36 eConsole Version 4 Quarantäne für Viren Viren und Spam

37 eConsole Version 4 Quarantäne für Spam
Erlaubt es Administratoren, Mails die als Spam identifiziert wurden zu überprüfen, archivieren oder weiterzuleiten. Viren und Spam

38 Alle Informationen in einem Fenster
eConsole Version 4 Alle Informationen in einem Fenster Viren und Spam

39

40 Produkt Alpha: Ende Februar
Produkt Beta: März MA Release: April

41 Was wird noch besser ? Erweiterter Sicherheit mit neuer Scanning Engine  Schutz aller eSafe Kunden vor den neuesten Gefahren

42 Wir haben verstanden ! Neues Spam Management
Möglichkeit Spam zentral zu sammeln und dann später durch den Benutzer abholen zu lassen

43 Wie oft soll ich denn noch meinen ebay Account aktivieren ?
Anti-Phising  Schutz aller Benutzer vor s die zur Abgabe von persönlichen Daten auffordern, um diese dann zu kriminellen Zwecken zu missbrauchen

44 Vor was schützen wir noch ?
Spyware  Schutz aller Rechner vor Spionage und unbeabsichtigter Übertragung von persönlichen und geschützten Daten Vier Anti-Spyware Technologien: Blockieren von Downloads Blocken anhand der Spyware Signatur Blocken anhand Spyware ActiveX ID Blocken der Spyware Kommunikation

45 Was ist noch wichtig ? Reporting
 Ausgabe von einfachen und übersichtlichen Reports mit Hilfe von Vorlagen eSafe Reporting Module General statistics: Actions by protocol Actions by eSafe module Traffic by protocol Traffic by module Viruses: Top viruses Top virus destinations/recipients Top virus sources/senders Virus detection methods AppliFilter Top families blocked Top users blocked Top events blocked & Spam: Top spam recipients Top spam senders Top sending domains Top sending IPs Spam detection methods Top senders Top recipients HTTP & FTP: Top URL categories blocked Top URL categories visited Top sites blocked Top sites visited Top users blocked Top HTTP users Top FTP users

46 Und noch viel mehr… Multi-Prozessor Unterstützung
Serial-ATA Festplatten Unterstützung ICAP-Anbindung Alle Updates über HTTP möglich Updates benötigen keinen Restart des Service (keine Unterbrechungen des Datenverkehr) Stündliches Update des URL-Filter und Anti-Spam Datenbanken New eSafe Cluster in Router Mode Transparentes POP3 Scanning Neuer Linux-Kernel Möglichkeit, mehrere eConsolen zu öffnen Komplette Übersicht in „Whats new in eSafe 5“

47 Round up:

48 eSafe FAQ´s Auf der deutschen Aladdin Homepage findet man im Support-Bereich alle Info´s zur Vorgehensweise im Fall eines eSafe Problems… … und eben auch die Safe FAQ zum download

49 Umfrage mittelständische Unternehmen

50 eSafe Produktportfolio
eSafe Gateway Proaktive Anti-Virus und Content Filter Lösung am Internet Gateway für HTTP, FTP, SMTP und POP3. eSafe Web Proaktiver Schutz für HTTP und FTP Verkehr. eSafe Mail Proaktiver Schutz für SMTP Verkehr oder MS Exchange Server. eSafe Appliance Vorkonfigurierte plug-and-play Lösung für eSafe Gateway oder eSafe Web/Mail.

51 “Virtual Appliance” Plattform
Einfache Handhabung: Sofortige Installation auf jedem PC Gehärtetes, sicheres OS (Red Hat Enterprise) Integrierte, webbasierende GUI Vorteile: Einfache Installation und Integration in bestehende Umgebung

52 eSafe Partner & Appliance Solutions
Zuverlässige Hardware Vorkonfigurierte plug-and-play box High-end IBM Blade-Fusion and Crossbeam Lösungen Check Point OPSEC zertifiziert Cisco AVVID zertifiziert

53 eSafe 4 : Komplette Lösung
Maximale Sicherheit: Blockt bekannte und unbekannte Viren & Angriffe aus dem Netz Scannt den kompletten HTTP, FTP und SMTP-Traffic Scannt alle HTML Seiten Leistungsstarker Exploit Schutz Umfassender Spam Schutz Effektive Webseiten Filterung Maximale Performance: Bis 42Megabit pro Sekunde in NitroInspection™ Über s/Stunde Schnelle Implementierung & niedrige TCO: Appliance und Blade-Optionen inkl. Virtual Appliance™ Updates: Signaturen, Konfiguration, sicheres OS, Hotfixes

54 Vielen Dank ! Mehr Info´s: www.aladdin.de