SC Corporate Overview Network Security Challenges & Solutions

Präsentation zum Thema: "SC Corporate Overview Network Security Challenges & Solutions"—  Präsentation transkript:

1 SC Corporate Overview Network Security Challenges & Solutions
Klaus Kaul January 31, 2007

2 Secure Computing Highlights
Singular Focus To deliver comprehensive & integrated enterprise gateway security solutions Network Gateway, Application Gateway, Inbound & Outbound protection One of the largest independent security companies Market Leadership #1 in SCM Appliances #1 in messaging security appliance #2 in URL seats 60% of Fortune 500; % of DJ Global 50; % of top 25 banks Technology Leadership TrustedSource, real-time Internet reputation system for proactive security Most comprehensive, integrated application gateway security solution 80 patents pending or granted Scale & Financial Strength Annual run rate over $250M Profitable ~ 900 employees Solutions deployed in countries Proven, enterprise-class security solution you can depend upon Security solutions with accurate & reliable protection Minimal administration, lowest TCO Lasting power – protects your investments; Ability to invest in new technologies; Service & support large orgs. worldwide

3 Secure Computing ® Customers in Switzerland
Enterpriselösungen in zahlreichen Evaluationen durchgesetzt, Stabilität und Skalierbarkeit im Highend bewiesen erfüllen höchste Ansprüche in Security Anforderungen aber auch an einfache Betriebbarkeit starke Referenzen ● Bank Vontobel ● VP Bank ● Bank von Ernst ● ABN Amro ● Bank CIAL ● Bank Baumann ● Märki Baumann ● Commerzbank Schweiz ● Dresdner Bank ● Allianz Schweiz ● SGS ● Converium ● SWICA ● Arbonia ● SPAR Schweiz ● Jet Aviation ● ATEL ● UniSpital Zürich ● Inselspital Bern ● KSL

4 Four Key Market Drivers
800 security vendors 90 percent < $15M revenue Viability at risk Customers & Channel want to protect their investments Viability of Security Vendors Move to Integrated Appliances Lots of Point Appliances Integrated Appliances Proactive & Reliable Threat Detection AV, IDS Anti-Spam Signatures Anomalous behavior at the box Local Behavior Global Intelligence Layered Security Approach Firewalls IDS VPN Application Gw Messaging Web Other Apps Network GW

5 Enterprise Gateway Security Integrated, Best-of-Breed Appliances
Ensure proper Identity & Access Network Gateway POLICY MANAGER AV Connex Control Firewall IPS Authorization Authentication Secure your Network Edge POLICY MANAGER Encryption Anti- Virus Malware URL Filtering Compliance Secure your Messaging Communication Secure your Web Communication Application Gateway Intrusions Spam IronMail/IronIM Sidewinder Data & Users Internet Webwasher Safeword Central Management

6 Agenda Webwasher Alleinstellungsmerkmale Webwasher Produkte
Neu in Webwasher 6.0 Webwasher® URL Filter Webwasher® Anti-Malware Webwasher® Anti-Spam Webwasher® Anti-Virus Webwasher® SSL Scanner Webwasher® Instant Message Filter Webwasher® Content Reporter Webwasher® Appliances

7 Webwasher Alleinstellungsmerkmale

8 Fokussiert auf Gateway Sicherheit
Die meisten heutigen Web Gateways bieten Caching und einen mittelmäßigen URL Filter. Sicherheit ist oft eine ungeliebte “Checkbox” weil Kunden „halt danach fragen“. Anti-Virus Rep-based URL Filtering Reporting Compliance/ Info Leaks SSL Scanner Anti- Malware & Spyware SSL Inspection Anti-Virus Users Data Leakage IM Gateway Public Web Servers Caching Proxy Firewall Anti-Spyware Content Filtering Intranet Web Servers With webwasher, multiple point solutions are replaced with one gateway (appliance) solution that provides url filtering, gateway antivirus, gateway anti-spyware protectio, outbound content control and the ability to apply those filters to encrypted SSL traffic as well. Reporting is provided as well. Webwasher Lösungen erfüllen die höchsten Sicherheitskriterien und Bedürfnisse und integrieren relevante Technologien wie URL Filter, Anti-Virus, Anti-Spyware, Reputationsbasierte Filter, SSL Security und “Data Leakage Protection” in einem Gerät. Webwasher Produkte arbeiten außerdem Hand in Hand mit allen gängigen Caching Lösungen.

9 Trusted Source Reputationsdaten
Webwasher ist angebunden and die TrustedSource Reputationsdatenbank, somit können Traffic und Mail von “known-bad” IP Adressen blockiert werden.

10 Webwasher® Anti-Malware: Sicherheitslayers
Media Type Filter Dateitypen-Verifizierung via “magic bytes” Analyse Anti-Malware Engine Signaturbasierte Engine gegen Viren, Spyware, Würmer… Authenticode Filter Verifizierung der Echtheit von digital signiertem Code & Blocken von unsigniertem Code Behavioral Malware Detector Alle Aktiven Dateien werden auf potentiell gefährliche Funtions-aufrufe analysiert und je nach Gefährlichkeitsgrad geblockt Behavioral Exploit Detector Potentiell gefährliche Aufrufe in Scripten werden neutralisiert und Code nach Ausnutzung von bekannten Schwachstellen durchsucht connection control level (optional) Web: URL Filtering Messaging: Connection Control Media Type Filter Anti-Malware Engine Webwasher anti-Malware and the optional URL Filter and Anti-Spam products by Secure Computing represent the best level of security you can deploy at your gateway. The media type filter makes sure no spoofed content can enter your network. It’s “magic byte analysis” functions look for application specific digital fingerprints in the files and reliably determine the file-type accordingly, regardless of the extension or the MIME type reported by the Webserver or Mailserver. Our Anti-Malware engine detects malware including spyware, Trojans, BHOs etc.. The Authenticode filter (optionally) makes sure only valid signed active content goes into your network. At the end we have two levels of behavioral Malware detection and malicious script mitigation. Authenticode Filter Behavioral Malware Detection Behavioral Exploit Detection

11 Proactive Security: successfully blocking Zotob
Picture above shows effectiveness against the 6 to date known variants of malicious code exploiting the weakness addressed in MS bulletin , aka known as “zotob worm”. The table shows the effectiveness of the AV engines without dedicated updates. Note that Webwasher Proactive Security blocked these worms without the help of a signature based AV engine or any types of rule updates. Source: av-test.org Source: AV-Test GmbH, August 2005

12 Vorteile Proactive Security
Schließt die Lücke zwischen Ausbruch eines Virus und der Verfügbarkeit des Signatur-Updates. Filtert Angriffe, bei denen konventionelle Mechanismen versagen. Eliminiert Mobile Code, durch den Spyware, Adware und bösartige Browser Helper Objekte installiert werden können. Auch wirksam gegen „gerichtete Angriffe“ wie z.B. Industriespionage Keine nachteiligen Auswirkungen auf die Surfgeschwindigkeit durch minimale Latenzzeiten.

13 Alleinstellungsmerkmal : Anti-Virus Multi-Scan
Webwasher ist mit bis zu VIER Anti-Malware Engines ausgestattet, die sich parallel schalten lassen : Kombinierter Ansatz erhöht die Wahrscheinlichkeit, dass eine der Engines vom Anbieter schneller aktualisiert wird, und verkürzt somit die Zeit zwischen dem ersten Angriff und der Verfügbarkeit eines Anti-Virus Updates. Es werden Viren erkannt und geblockt, die ein einzelnes Anti-Virus-Programm eventuell übersehen würde. Sollte das Anti-Virus Update eines Anbieters aufgrund von Stromausfällen, Naturkata-strophen oder anderen unvorhergesehenen Ereignissen nicht verfügbar sein, ist das Netzwerk dank der zusätzlichen Engines dennoch geschützt.

14 Alleinstellungsmerkmal : SSL Scanner 2. Generation
HTTPS Proxy 3 Client 1 2 7 4 6 5 Web Server Einziger SSL Scanner am Markt, bei dem zu KEINEM ZEITPUNKT entschlüsselte Daten im Netz abgreifbar sind. Voll integrierte black box lösung Zentrale Verwaltung von erlaubten Server-Zertifikaten. Sichere Endpunkt-zu-Endpunkt Unterstützung von Client-Zertifikaten . Client/Proxy handshake Proxy/Web server handshake Certificate check Server sends encrypted content Content decrypted & scanned Filtered content sent to proxy Re-encrypted content to client 2nd Generation Scanning Engine

15 Flexible Einsetzmethoden
In-Line Proxy Public Web Servers FW Users & Intranet Provides integrated web gateway functionality Webwasher Co-existence with Caching Appliances icap Works with existing proxy appliances such as Netcache or Blue Coat Webwasher Web Proxy Out-of-Band Webwasher WebInspector icap Switch Webwasher 6.0 “Sniffer Mode” out-of-band deployment New!

16 Alleinstellungsmerkmal : Vollständige Lösung
Level SSL Scanning IM/P2P Filter Web AV Anti-Spam Mail AV URL Filter VPN Application Layer FW Packet Layer Firewall Reporting Central Security Management McAfee Cisco Symantec Check Point Trend Micro Websense SurfControl From 3rd party or loose integration Secure Computing

17 Alleinstellungsmerkmale Zusammenfassung
Integration zu TrustedSource Reputationsdatenbank Anti-Malware: Führend bei Erkennung von Spyware, Trojanern, targeted attacks etc. Proactive Security: Filtert Angriffe, bei denen konventionelle Mechanismen versagen. Anti-Virus Multi-Scan: Kombination von Anti-Viren Engines für höchste Anforderungen. Alle relevanten Protokolle und Filter in einem Produkt. Einstieg mit einem Modul eröffnet aufwärtskompatiblen Upgrade.

18 Alleinstellungsmerkmale Zusammenfassung
Flexibles Deployment Zentrale Administration Einfache Web GUI URL Real-Time Classifier High-End-sicher: Skalierbar und integrierbar Klarer Gateway-Fokus statt isolierter Single-Point-Solutions Datenschutz konform mittels verschlüsselter Log-Dateien. Erhältlich auf Appliance mit hochsicherem, gehärtetem Linux Betriebssystem

19 Webwasher Produkte

20 Neu ! 6.0 Product Overview Neue Version! URL-Filter Anti Malware
Webwasher URL Filter verhindert unproduktives Surfen, filtert gefährliche Inhalte, minimiert rechtliche Risiken und reduziert bandbreitenintensive Inhalte. Malware & Phishing URLs powered by TustedSource® Anti Malware Erkennt und eliminiert bereits am Gateway noch unbekannte Viren, Day-Zero Attacks und Spyware. Bidirektionale Filter verhindern Identitätsdiebstahl und Verlust von vertraulichen Informationen.. Neu ! Anti Virus Ermöglicht die Kombination von bis zu drei AV Engines. Beinhaltet die Proaktiven Filter von Content Security und eliminiert somit bereits am Gateway noch unbekannte Viren, Day-Zero Attacks und Spyware. Anti-Spam Intelligente Kombination mehrerer sich ergänzender Erkennungs-mechanismen, liefert höchste Trefferquote gegen Spam und Phishing. Reduziert Bandbreitenverbrauch durch TrustedSource® Connection Control Technologie SSL- Scanner Ermöglicht Unternehmen die Anwendung aller vorhandenen Sicherheits- und Internetnutzungsrichtlinien auf das verschlüsselte HTTPS Protokoll. Schutz vor Phishing und Pharming durch umfangreiche Zertifikats-kontrolle. Webwasher 6.0 has new features in a variety of areas which I will describe in a moment For those of you not familiar with webwasher lets review the modules. Webwasher is licensed on a subscription basis by module. The modues are shown here. Our enterprise class reporting solution Content reporter reports on all WW functionality. IM-Filter Unterbindet oder reportet die unerlaubte Nutzung des Peer-to-Peer File Sharing (P2P) und Public Instant Messaging (IM) in Unternehmens-netzen. Content Reporter Hochskalierbare Reportinglösung für , Internetzugang und Cache-Effektivität und vielem mehr. Neue Version!

21 Webwasher® URL-Filter

22 Webwasher URL Filter - overview
Umfassendes, professionelles Web Filtering mit der weltweit führenden URL-Datenbank Erhöht Produktivität der Mitarbeiter durch Reduzierung nicht arbeitsrelevanter Ablenkungen Schützt vor gefährlichen und illegalen Inhalten Robuste, leistungsstarke Produkte skalierbar für hunderttausende von Nutzern Erstklassiges Reporting mit Webwasher Content Reporter™ (im Produkt inbegriffen*) Kostengünstig und effizient - geringe TCO, schneller ROI * Bis 1000 User

23 Webwasher URL-Filter – Funktionsumfang
Führende URL Datenbank – > 10 Millionen Sites Kategorien zum Schutz vor Spyware, Phishing und Malicious Websites ohne Aufpreis Powered by TrustedSource® One-Click Lockdown Integration Benutzerdefinierte Kategorien Real-Time Classifier, Schlüsselwort-Filter Zeit- und Volumenkonten, Coaching Werbefilter, Privacy Filter Media-Type Filter Erhältlich auf Appliance mit hochsicherem, gehärtetem Linux

24 Webwasher URL Filter – Klassifizierungszentren
Japan EUROPE USA Wir haben Web Research centers in den USA, Europe und Japan um den Internetverkehr auf dem ganzen Erdball abzudecken 50 unterstützte Sprachen Kombinierte Datenbanken von Smartfilter und Webwasher, sowie die Phishing und Malware URLs / IPs von TrustedSource

25 Webwasher URL Filter – Trusted Source
>6,000 Webwasher End-Customers have more than 12 Million seats deployed, out of which > 5 Million have Proactive Security filters Webwasher 6.0 introduces a Smart feedback loop (optionally fully automated) for unknown URLs, Spam and potentially unwanted programs, these are then send back to the TrustedSource database and alayzed in one of our research centers. This effectively gives us the worlds largest database for Malware and Phishing and URLs that is actually relevant and not some arbitrary result of result of web crawlers and automated categorization. (Which we do too, but we see the reusults don’t achieve the quality level as with real customer feedback)

26 Webwasher URL Filter – Einige Highlights
Zeit- und Volumenkonten Erlauben Sie den Besuch bestimmter Web-Seiten nur zu bestimmten Tageszeiten (z.B. private Internet-Nutzung nur nach Feierabend) Legen Sie Zeitlimits für die private Internet-Nutzung fest (z.B. 15 Minuten „Online-Shopping“ pro Tag) Schränken Sie die Größe von Downloads ein. Coaching Lassen Sie Ihre Mitarbeiter selbst entscheiden, ob sie die angesurften, nicht arbeitsrelevanten Web-Seiten besuchen wollen. Die Mitarbeiter werden vor der Verletzung der Internet-Richtlinie gewarnt.

27 Webwasher URL Filter – Einige Highlights
Internationale Domains (z.B. Unterstützung internationaler Domainnamen, die z. B. Sonderzeichen wie Akzente und Umlaute enthalten (Deutsch, Französisch, Spanisch usw.). Unerlässlich für international operierende Unternehmen. Webwasher® Content Reporter™ Erstklassiges Reporting über die Web- und -Nutzung in Ihrem Unternehmen. Detaillierte, anpassbare Berichte. Unerreichte Performance. Geringer Verwaltungsaufwand.

28 Safe-Search Enforcer Erzwingt den Jugendschutz-Mechanismus von Suchmaschinen, um vor sexuellen/pornografischen Inhalten zu schützen. Without Safe-Search With Safe-Search Thw Webwasher SafeSearch feature cannot be bypassed be the end-user, because at the gateway webwasher manipulates the submitted search string to all known seaarch engines only to deliver filtered results.

29 Webwasher® Anti-Spam

30 Webwasher Anti-Spam Connection Control powered by TrustedSource®
Zuverlässige Spam-Erkennung nahe 100% Sehr niedrige False-Positive-Raten Hoher Durchsatz – bewältigt mühelos hohe Mail-aufkommen Phishing Filter Einfache Mail-Queue-Verwaltung Profilbasierte Spam-Richtlinien Integriert zu Webwasher Anti-Malware, URL Filter und Anti-Virus

31 Webwasher Anti Spam – Funktionsumfang
Connection Control White/Black-Lists -Filter Phishing Filter One-Click Lockdown Mehrere Methoden zur Spam-Erkennung TrustedSource Reputationslevel Mailshell® SpamCatcher™ Header- & Body-Regeln Habeas RBL-Listen Überprüfung von URLs mittels führender URL Datenbank Mail Queue Verwaltung Header Filter, Body Filter Media Type Filter Erhältlich auf Appliance mit hochsicherem CG Linux

32 Webwasher Anti Spam – Einige Highlights
Mehrere Methoden zur Spam-Erkennung Die MethodMix™-Technologie kombiniert mehr als ein halbes Dutzend sich ergänzender Erkennungsmechanismen und liefert mit über 95% eine hohe Trefferquote. Die False-Positive-Rate liegt unter 0,5 %. Überprüfung von URLs Überprüft die Domäne des Absenders. Vergleicht alle eingebetteten Verknüpfungen mit der weltweit führenden URL Filter-Datenbank von Webwasher, wodurch die Trefferquote weiter erhöht wird. Eine die, zum Beispiel die Links zu pornografischen Seiten enthält, ist höchstwahrscheinlich eine Spam-Mail. Eine die, zum Beispiel Links zu Seiten in der Kategorie Phishing enthält ist höchstwahrscheinlich eine Phishing-Mail.

33 Webwasher Anti Spam – Einige Highlights
Mail Queue-Verwaltung Spam-Mails in einer Quarantäne-Queue halten. Die Queue wird mit einem POP3-Client (z.B. Outlook Express) verwaltet. Es können mehrere Queues definiert werden. Header-Filter Mail-Headers anhand von definierten Kriterien beliebig veränderbar. Beispiel: Postmaster darüber informieren, wenn eine von einem bestimmten Absender (z.B. Headhunter) ankommt.

34 Webwasher® Anti-Malware

35 Webwasher Anti-Malware
Anti-Virus UND Anti-Spyware “on steroids” Signaturbasierte und verhaltensbasierte Erkennung Proactive Security Filter Data Leakage Filter Schützt vor gezielten Angriffen und Spyware Hochperformant Ein Produkt für und Web traffic Ideale Ergänzung zu existierenden signaturbasierten Scannern am Gateway Ideale Ergänzung zu existierenden Desktop Anti-Virus Lösungen Geringe TCO, schneller ROI

36 Webwasher Anti-Malware: Sicherheitslayers
Media Type Filter Dateitypen-Verifizierung via “magic bytes” Analyse Anti-Malware Engine Signaturbasierte Engine gegen Viren, Spyware, Würmer… Authenticode Filter Verifizierung der Echtheit von digital signiertem Code & Blocken von unsigniertem Code Behavioral Malware Detector Alle Aktiven Dateien werden auf potentiell gefährliche Funtions-aufrufe analysiert und je nach Gefährlichkeitsgrad geblockt Behavioral Exploit Detector Potentiell gefährliche Aufrufe in Scripten werden neutralisiert und Code nach Ausnutzung von bekannten Schwachstellen durchsucht connection control level (optional) Web: URL Filtering Messaging: Connection Control Media Type Filter Anti-Malware Engine Webwasher anti-Malware and the optional URL Filter and Anti-Spam products by Secure Computing represent the best level of security you can deploy at your gateway. The media type filter makes sure no spoofed content can enter your network. It’s “magic byte analysis” functions look for application specific digital fingerprints in the files and reliably determine the file-type accordingly, regardless of the extension or the MIME type reported by the Webserver or Mailserver. Our Anti-Malware engine detects malware including spyware, Trojans, BHOs etc.. The Authenticode filter (optionally) makes sure only valid signed active content goes into your network. At the end we have two levels of behavioral Malware detection and malicious script mitigation. Authenticode Filter Behavioral Malware Detection Behavioral Exploit Detection

37 Webwasher Anti-Malware: ProActive Security Filters
ActiveX Controls & Browser Helper Objects Windows Executables & Dynamic Link Libraries JavaScript (in HTML, Stand-alone, in PDF). Visual Basic Script Visual Basic for Apps macros in Office documents Java Applets & Applications Heuristic Analysis: Behavioral Malware and Exploit detection Security Policy maps classification into action All relevant types of active code (covering Unix and Windows) are covered by proactive security. Even script code is treated in a way that it can still execute, but not deploy harmful actions, (optionally). Be sure to check out the Proactive Security step-by-step guide available on PartnersFirst and on the website. script code mitigation Removed or blocked Allowed Blocked Allowed with warning Allowed, Blocked Allowed Blocked Allowed Blocked

38 Bester im AV-TEST.org Anti-Malware Test
Test von 32 Anti-Virus und Anti-Spyware Produkten Durchgeführt durch AV-Test.org im Auftrag von eWeek und PC-Welt Fast Trojaner und Spyware Andere unterhalb von 94%? Trend Micro (90.03), Microsoft (76.18), Sophos (65.55), Aladdin eSafe 59.34%, ISS (51.76) Whitepaper on Partnersfirst and on Website ! “ (Webwasher)…erreicht mit einer Erkennungsrate von 99,97 Prozent ein überzeugendes Gesamtergebnis. .” Erkennung von Trojanischen Pferden mit Überraschungen “The No. 1 product, Webwasher by Secure Computing for example,detected percent or all but 87 out of the 289,682 samples.” Oct. 2006

39 Webwasher Anti-Malware features
Document Inspector Öffnet MS Office und PDF Dateien zur weiteren Analyse durch Proactive Security und die Anti-Viren Engines. Schützt das Netzwerk vor Makroviren und Skripten, die in Dateien versteckt sind. Öffnet komprimierte Archive beliebiger Schachtelungstiefe. Mail queue management Anti-Malware auch für Erkannte und suspekte Attackments und bodies automat. In seperater Mail Queue Inspect document Open archive Block Macros

40 Webwasher Anti-Malware features
Hochperformant AV PreScan™ Magic Byte Type detection Eine Datei wird nur an die AV Engine(s) geleitet wenn es für den Typen auch Signaturen gibt. Beispiel Großes Biotech Unternehmen 12,000 users (simuliert)

41 Anti-Malware vs. Anti-Virus
Kriterium WW Anti-Malware WW Anti-Virus Anti-Malware Engines (Spyware/Malware Detektionsrate) Anti-Malware Engine: 99,97% detection* *Sophos AV: 65,55 % CA eTrust: 59,34% McAfee AV: 93,99% Document Inspector  AV PreScan™ Filter (performance) Proactive behavior based filters Erkennung von Malware in XML Dokumenten (Office 2007 etc..) (je nach sample)** Detect & Block clients infected with Spyware  Forms “watermarking” to prevent unauthorized requests Automatisches Whitelist “of known good sites” . *: Laut eWeek Artikel the Limits of Scanning. Für die OEM Engines: Dies sind Werte für die originalen Herstellerprodukte, nicht für die in Webwasher AV implementierten Produkte und beziehen sich nur auf die Detektionsrate der Engine ohne Proactive Security filter etc. Webwashwer Anti-Virus mit einer der drei OEM AV engines und Proactive und dem Document Inspector wird höhere Erkennungsraten haben. **: Keine durchgängige Extrahierung von Office XML Dokumenten. Einige Hersteller erstellen jedoch Signaturen für besonders gefährliche oder gebräuchliche Viren (e.g. “Eicar”) im office XML Format. Dies ist jedoch ein recht unzuverlässiger Schutz. Forms “watermarking” to prevent unauthorized requests Zombie PCs in Botnets werden immer häufiger über „normal aussehendem“ web traffic gesteuert anstatt über IRC oder proprietäre P2P protokolle, welche relativ leicht am Firewall geblockt werden können. Wir haben herausgefunden, dass ca. 50% aller installierten Spyware inzwischen über HTTP mit dem Kontrollrechner kommuniziert, und dazu die gleichen Methoden benutzt, als ob man eine Web Formular ausfüllen und abschicken würde. Die bekannten programme dieser Art sind ´“CoolWebSearch“ und „Gator“. Webwasher kann am Gateway angeforderte Web Formulare “markieren” (unsichtbar für den Endbenutzer), und lässt auch nur diese zuvor markierten Formulare wieder Informationen in das Internet senden (HTTP POST comand). Die Markierung wird dabei rückstandsfrei entfernt. Automatische “Whitelist of known good sites” Nur in Anti-Malware können Kunden ein Whitelisting von uns bekannten Seiten einstellen, die eigentlich von ProActive security geblockt werden. Beispiel ist hier Google Mail. Dabei wird NICHT das ganze Proactive security abgeschaltet, sondern nur EINZELNE Regeln aus dem unfangreichen Regelwerk von Proactive security (>100), von denen wir wissen, dass sie bei der betreffenden Seite fälschlicherweise anschlagen würden. WENN DER KUNDE SCHON WEISS; DASS WIR AVIRA IN ANTI-MALWARE HABEN: Webwasher Anti-Malware ist mehr als Proactive Security die Avira Engine: Wir haben unsere eigene Anti-X engine, in die wir täglich Samples mit aufnehmen, die von AVIRA nicht abgedeckt werden. Sobald diese auch in AVIRA enthalten sind, fliegen sie aus Anti-X wieder raus. Dies ist ein automatisierter Prozess und dauert nur wenige Minuten.

42 Webwasher® Anti-Virus

43 Webwasher Anti-Virus Umfangreiche Virenerkennung am Gateway durch Absicherung mit bis zu drei kommerziellen Anti-Viren Engines gleichzeitig Extrem geringe Latenzzeiten Schutz vor Day-Zero Attacks, Spyware, Würmern und anderer Malware durch integrierte Proactive Security Filter Gleichzeitiger Schutz für Web & Perfekte Ergänzung bestehender Antivirus-Lösungen auf Clients - für den doppelten Schutz Profilbasierte Anti-Viren-Policy Geringe TCO

44 Webwasher Anti-Virus – Funktionsumfang
Anti-Virus Multi-Scan Virenscanner (Sophos, McAfee oder CA eTrust) One-Click Lockdown Proactive Security Filter Archive-Handling (.zip, .gzip, .arj, .tar, ...) Document Inspector: Word, Excel, PPT, PDF… Makro-Filter &Filter für Embedded Objects: Document Inspector ActiveX Filter, JavaScript Filter Media-Type Filter Filter Mail-Queue-Verwaltung Header Filter, Body Filter Erhältlich auf Appliance mit hochsicherem, gehärtetem Linux

45 Webwasher Anti Virus – Einige Highlights
Viren-Erkennung am Gateway Wahl zwischen führenden Virenscannern McAfee, CA eTrust oder Sophos. Anti-Virus Multi-Scan Kombination von bis zu drei Anti-Viren Engines gleichzeitig. Beliebige Kombination von: Sophos McAfee CA eTrust Ideale Ergänzung zu Proactive Security für höchste Sicherheitsansprüche. Unterstützt “Defense-In-Depth” Initiativen.

46 Webwasher Anti Virus – Einige Highlights
Document Inspector Öffnet MS Office und PDF Dateien zur weiteren Analyse durch Proactive Security und die Anti-Viren Engines. Schützt das Netzwerk vor Makroviren und Skripten, die in Dateien versteckt sind. Öffnet komprimierte Archive beliebiger Schachtelungstiefe. Open archive Inspect document Block Macros Öffnet komprimierte Archive beliebiger Schachtelungstiefe: Einstellbar bis zu welcher tiefe gescannt werden soll. Wenn mehr Schachtekungen eistellbar ob geblockt oder durchgelassen werden soll.

47 Webwasher® SSL-Scanner
Stoppt Malware und Information Leakage in SSL

48 Webwasher SSL Scanner Temporäre Entschlüsselung von SSL-verschlüsseltem Web traffic. Ermöglicht Unternehmen die Anwendung bereits vorhandener Sicherheits- und Internet-Nutzungsrichtlinien auf alle wichtigen Webprotokolle: HTTP, FTP und HTTPS. „Verdoppelt“ den Wert schon vorhandener Filter bei minimalen Kosten. Einzigartige Kombination von SSL-Filterung und zentraler Zertifikatsverwaltung. Sichere Anwendung, da keine entschlüsselten Inhalte über das Netz übertragen werden. Entspricht Datenschutzbestimmungen. Hochgradig skalierbar. Webwasher SSL Scanner enables enterprises to apply their existing security and Internet usage policies to ALL key Web protocols: -- HTTP, -- FTP, and -- HTTPS. Effectively, it closes the HTTPS security loophole. At the heart of Webwasher SSL Scanner is the module’s decryption policy, which allows normal content and security filters to be applied to encrypted content. Decryption at the gateway Decryption is possible at the gateway as a result of certificate-based coordination between the employee’s client browser and the corporate Web gateway/proxy. Data privacy not compromised While decrypted, data is always secure because it resides entirely within the main memory of a single gateway server. Data is then re-encrypted at the gateway for fully secure passage through the network to the employee’s browser. Certificate handling Users often give little thought to accepting certificates when they are presented with the standard “Yes/No” prompt. Yet, when employees unknowingly accept invalid certificates, they can be establishing ‘trusted’ connections with malicious third parties. Connections that can then be misused. Certificate check at the gateway Certificate policies in Webwasher SSL Scanner allow administrators to relieve employees of this critical decision and centralize policies for accepting certificates at the gateway. Certificate policy is facilitated by two automated processes: Trusted certificate authorities Allows administrators to define a company-wide policy regarding which authorities are to be trusted. Certificate verification A series of automated tests including date checking and queries of certificate revocation lists are designed to establish the validity of each certificate. Webwasher routinely checks third-party lists of revoked certificates.

49 Scanning SSL encrypted traffic
HTTPS Proxy 3 Client 1 2 7 4 6 5 Web Server Webwasher’s ability to decrypt HTTPS content is dependent on the interaction between three entities involved in the communication; the client browser, the gateway proxy, and the website. This dialog resembles a “man-in-the-middle” scenario, but is unique because the interception of the encrypted content occurs entirely within the secured corporate network. Client/Proxy handshake Proxy/Web server handshake Certificate check Server sends encrypted content Content decrypted & scanned Filtered content sent to proxy Re-encrypted content to client Scanning Engine

50 Webwasher SSL Scanner: Funktionen
Voll integriert in Webwasher Support für Client-Zertifkate Konfigurierbar: Blocken, Tunneln oder hinterlegte Zertifikate benutzen. Unterstützung von SSL Hardware Accelerators Unterstützung für Hardware Security Module Ablegen von Zertifikaten, Keys etc. Geringer Administrationsaufwand „Grace-Period“ für abgelaufene Zertifikate Erlaubt die Nutzung abgelaufener Zertifikate während Übergangszeit Zertifikats-Checker Erlaubt die Analyse von Zertifikaten und „Was ist wenn ...“ Szenarien

51 Webwasher SSL Scanner: Funktionen
Durchschleifen verschlüsselter Webseiten ohne Scannen auf Basis von: Individuellen URLs (URL Whitelist) Ganzen Kategorien (Category Whitelist) User oder Gruppenbasiert Logging & Learning Mode für Zertifikate Support für Cluster Support für third party Virenscanner und CSM Lösungen Proxy chaining/sandwiching ICAP ICAPS „Stabilste SSL-Scanning Lösung am Markt“

52 Webwasher® Instant Message Filter

53 Webwasher Instant Message Filter
Erfasst über Signatur-Erkennung die wichtigsten Public IM Protokolle und die gängigen P2P Anwendungen. Blockt unerlaubte Nutzung von P2P- und IM-Diensten. Erfordert keine Desktop-Komponenten. Keine Latenzzeit. Kein kritischer Ausfallpunkt. Lässt sich in weniger als einer Stunde installieren. M and P2P traffic under control Webwasher Instant Message Filter offers a professional solution to these problems. Webwasher Instant Message Filter is a perimeter security software solution that detects, reports, and selectively blocks the unauthorized use of high-risk and evasive Peer-to-Peer file sharing (P2P) and Public Instant Messaging (IM) from enterprise networks. Webwasher Instant Message Filter combines deep packet inspection with comprehensive protocol signature recognition to provide accurate detection and blocking of all major P2P and public IM applications, regardless of ports used or evasive measures like tunneling or masquerading. Administrators can define which of the P2P and IM applications, if any, are allowed on the network. Webwasher Instant Message Filter scans network traffic for the characteristics that match the corresponding protocol signatures. Because it uses a passive “pass-by” architecture, unlike in-line devices, it will not degrade network performance or act as a single point of failure. Flexible, straightforward policy enforcement Flexible policy settings allow IT managers to specify enforcement action based on an individual IM or P2P protocol. Webwasher Instant Message Filter also provides for an exception list, which reverses the default policy for a given IP address or range of IP addresses. This policy capability allows Webwasher Instant Message Filter to be used in several different modes: Allow and report Allow all users to access IM and P2P, but log activity for later analysis and possible action. Selective enforcement Selectively block certain departments or abusive users. Selective allow Block all users, but selectively allow a few individuals or departments that have a specific business need. Statistics at your fingertips Webwasher Instant Message Filter provides full reporting and logging of IM and P2P traffic. So you can react fast in case of policy violations. Detailed reporting is available by Ø       Protocol, Ø       IP address, Ø       User, Ø       Date. Reports describe the enforcement action taken. Report formats include Ø      Crystal, Ø      HTML, Ø      PDF, Ø      CSV, Ø      TSV, and Text. Supported services P2P Technology Services Webwasher Instant Message Filter supports the following P2P services: FastTrack: Ø       KaZaALite Ø       KaZaA Ø       Grokster Ø       IMesh Gnutella: Ø       Gnucleus Ø       XoloX Ø       Shareaza Ø       LimeWire Ø       BearShare Ø       Morpheus Ø       NeoNapster WinMX Peer-to-Peer Networking Protocol: Ø       WinMX OpenNapster WinMX Public Instant Messaging Webwasher Instant Message Filter supports these Instant Messenger services: AOL: Ø       AIM Ø       AIM Express Ø       Trillian Ø       GAIM MSN: Ø       MSN Messenger Ø       Windows Messenger YAHOO: Ø       Yahoo Messenger Ø       Yahoo Web Messenger ICQ: Ø      ICQPro Ø      ICQLite

54 Webwasher Instant Message Filter: P2P und IM Verbreitung
70% aller Unternehmen benutzen IM (Gartner) Rasantes Wachstum prognostiziert: 18,4 Millionen Firmennutzer von IM im Jahr 2002 auf 229,2 Millionen 2005 (IDC) 23 Millionen Firmennutzer von IM im Jahr 2003 um 700% steigend auf 182 Millionen 2007 (Ferris) P2P-Software befindet sich auf jedem 25. Mitarbeiterrechner (AssetMatrix)

55 Webwasher Instant Message Filter: Warum IM Filtern ?
Sicherheitslöcher z.B. Microsoft MSN Messenger „Buddy Icon“ Buffer Overflow erlaubt es jeglichen beliebigen Code auszuführen. Würmer: Schutz von vertraulichen Informationen und Anhänge hinterlassen Spuren. Instant Message kann deutlich besser verschleiert werden. Schutz sensibler Daten. Bandbreite und Mitarbeiterresourcen Instant Messaging macht süchtig wie Telefonieren oder „Chatten“. Erlauben Sie Ihren Mitarbeitern unlimitierte, private Telefonate? “Upon infection, the worm attempts to spread itself through the host's MSN Messenger contact list. In addition, the worm alters the Windows's host file, adding more than 900 URLs, reportedly Asian pornography and gaming sites.”

56 Webwasher® Instant Message Filter: Warum P2P Filtern ?
Adware / Spyware „Freie“ Versionen sind werbefinanziert Bandbreitenverbrauch durch Rückkanäle. Ausspähen der Privatsphäre, Surfgewohnheiten. Schutz von vertraulichen Informationen I.d.R wird ein Ordner oder mehr der Festplatte freigegeben Jeder im P2P Netzwerk hat Zugriff darauf. Oftmals werden durch Benutzerfehler die ganze Festplatte oder mehrere Verzeichnisse mit Firmendaten freigegeben. Bandbreite und Mitarbeiterressourcen Herunterladen einer illegalen Spielfilmkopie: 1.4 Gigabyte und mehr. Erlauben Sie Ihren Mitarbeitern Fernsehen am Arbeitsplatz ?

57 Webwasher Instant Message Filter: Warum P2P Filtern (2) ?
Rechtliche Risiken Lagern und Bereitstellen von illegalen Inhalten ist strafbar Pornografische & Jugendgefährdende Inhalte. Urheberrechtlich geschützte Inhalte (MP3, Kinofilme). Nicht nur der Mitarbeiter macht sich strafbar, sondern auch das Unternehmen, wenn es keine passenden Gegenmaßnahmen trifft. Fallbeispiel: MPAA erwirkt Schließung der LokiTorrent.com site. LokiTorrent.com diente zum Aufspüren und Herunterladen von Videofilmen unter Umgehung der Lizenzbedingungen. Betreiber muss alle Daten an MPAA übergeben. MPAA geht rechtlich gegen Endnutzer und Provider vor. “Die Logfiles will die MPAA nach eigenen Angaben verwenden, um gegen die LokiTorrent-Nutzer vorzugehen. “ Heyse Online, 11. Februar 2005 MPAA = Motion Picture Association of America

58 Webwasher Instant Message Filter: Funktionsumfang
Blockt unerlaubte Nutzung von P2P- und IM-Diensten. Erstellt Log-Dateien und Berichte über P2P- und IM-Nutzung. Berichtformate: Crystal, CSV, HTML, PDF, TSV, Text Erkennt folgende Peer-to-Peer Anwendungen BitTorrent: BitTorrent, Shaeaza, Personal Torrent Collector, BitTornado, Bee Tee Plus Plus, Azureus, Effusion eDonkey: Mldonkey, eDonkey 6.1, eDonkey 2000, Overnet, Shareaza, eMule FastTrack: KaZaALite, KaZaA, Grokster, Imesh Gnutella: Gnucleus, XoloX, Shareaza, LimeWire, BearShare, Morpheus, NeoNapster, Phex, Swapper WinMX Peer-to-Peer Networking Protocol: WinMX OpenNapster: WinMX IRC: IRC Erkennt folgende Instant Messenger Anwendungen AOL: AIM, AIM Express, Trillian, GAIM, Apple iChat, SameTime Connect MSN: MSN Messenger, Windows Messenger, Trillian, GAIM Yahoo: Yahoo Messenger, Yahoo Web Messenger, Trillian,GAIM ICQ: ICQPro, ICQLite, ICQ2GO Skype Internet Telefonie

59 Webwasher IM Filter - Funktionsweise
Manager Reporter Interne Benutzer Webwasher IM Filter Terminierungs- signal wird an nicht erlaubte Applikation geschickt Asynchroner Scan allen Traffics M and P2P traffic under control Webwasher Instant Message Filter offers a professional solution to these problems. Webwasher Instant Message Filter is a perimeter security software solution that detects, reports, and selectively blocks the unauthorized use of high-risk and evasive Peer-to-Peer file sharing (P2P) and Public Instant Messaging (IM) from enterprise networks. Webwasher Instant Message Filter combines deep packet inspection with comprehensive protocol signature recognition to provide accurate detection and blocking of all major P2P and public IM applications, regardless of ports used or evasive measures like tunneling or masquerading. Administrators can define which of the P2P and IM applications, if any, are allowed on the network. Webwasher Instant Message Filter scans network traffic for the characteristics that match the corresponding protocol signatures. Because it uses a passive “pass-by” architecture, unlike in-line devices, it will not degrade network performance or act as a single point of failure. Flexible, straightforward policy enforcement Flexible policy settings allow IT managers to specify enforcement action based on an individual IM or P2P protocol. Webwasher Instant Message Filter also provides for an exception list, which reverses the default policy for a given IP address or range of IP addresses. This policy capability allows Webwasher Instant Message Filter to be used in several different modes: Allow and report Allow all users to access IM and P2P, but log activity for later analysis and possible action. Selective enforcement Selectively block certain departments or abusive users. Selective allow Block all users, but selectively allow a few individuals or departments that have a specific business need. Statistics at your fingertips Webwasher Instant Message Filter provides full reporting and logging of IM and P2P traffic. So you can react fast in case of policy violations. Detailed reporting is available by Ø       Protocol, Ø       IP address, Ø       User, Ø       Date. Reports describe the enforcement action taken. Report formats include Ø      Crystal, Ø      HTML, Ø      PDF, Ø      CSV, Ø      TSV, and Text. Supported services P2P Technology Services Webwasher Instant Message Filter supports the following P2P services: FastTrack: Ø       KaZaALite Ø       KaZaA Ø       Grokster Ø       IMesh Gnutella: Ø       Gnucleus Ø       XoloX Ø       Shareaza Ø       LimeWire Ø       BearShare Ø       Morpheus Ø       NeoNapster WinMX Peer-to-Peer Networking Protocol: Ø       WinMX OpenNapster WinMX Public Instant Messaging Webwasher Instant Message Filter supports these Instant Messenger services: AOL: Ø       AIM Ø       AIM Express Ø       Trillian Ø       GAIM MSN: Ø       MSN Messenger Ø       Windows Messenger YAHOO: Ø       Yahoo Messenger Ø       Yahoo Web Messenger ICQ: Ø      ICQPro Ø      ICQLite Router or Switch Internet All network traffic

60 Webwasher Instant Message Filter: Zusammenfassung
Verbesserter Schutz Über IM- und P2P-Protokolle gelangen verschiedenste Bedrohungen in ein Unternehmen (Viren, Würmer, Spyware). Risiken von Angriffen minimieren. Kontrollierte Verwendung von IM ermöglichen Rechtliche Risiken minimieren. Bessere Kommunikation. Erhöhte Produktivität. Gesicherte Bandbreite.

61 Webwasher® Content Reporter

62 Webwasher Content Reporter
Erstklassiges Reporting über Web Streaming media Firewall Cache utilization & performance Detaillierte, anpassbare Berichte. Herausragende Performance. Geringer Verwaltungsaufwand. Automatisches Sammeln von Log-Dateien. Automatische Erstellung von Berichten. Automatische Verteilung von Berichten über oder FTP. Verschiedene Berichtformate. Entspricht Datenschutzbestimmungen.

63 Webwasher Content Reporter – Berichte (1)
Internet-Nutzung Welche Webseiten oder welche Inhalte schauen sich Ihre Angestellten an? Wer verstößt gegen existierende Internet-Richtlinien? -Aktivität Wofür nutzen Ihre Angestellten üblicherweise ? Welche Nutzer versenden und empfangen die meisten und die umfangreichsten s? An wen gehen die meisten Spam-Mails ? Woher kommen die meisten Spam-Mails Werden Spam-Mails aus dem Unternehmen verschickt ?

64 Webwasher Content Reporter – Berichte (2)
Berichte auf Viren Wie viele und welche Viren wurden im eingehenden und ausgehenden Verkehr gefunden ? Wie viele und welche Viren wurden im eingehenden und ausgehenden Web und FTP Verkehr gefunden ? Von wem oder welcher Schwachstelle gehen Infektionen aus ? Performance-Analyse Was leisten die Cache Server und Content Filtering Gateways im Hinblick auf Bandbreite, Datenvolumen und Fehlerhäufigkeit?

65 Webwasher Content Reporter: – Berichte (3)
Streaming Media Von wem und wofür wird Streaming Media in Ihrem Unternehmen genutzt? Welche Clips werden am meisten abgerufen ? Kosten und Nutzen Wie wirkt sich die Cache-Nutzung auf Bandbreiten-Einsparungen aus? Bandbreitenverbrauch pro Abteilung oder pro Benutzer Firewall Bandbreitenverbrauch pro Protokoll oder Applikation Bandbreitenverbrauch über Quell- und Zieladressen …

66 Webwasher Content Reporter: Funktionen (1)
Visuell ansprechende Berichte “Drill-Down” Berichte Einfache Anpassung Automatische und vordefinierte Events Browser-basierte Benutzeroberfläche Proactives Policy Management Erlaubt die Überwachung von potentiellen Problemzonen.

67 Webwasher Content Reporter: Funktionen (2)
Automatische Berichterstellung Automatische Verteilung ( , Online Logon) Automatische Erfassung und Analyse von Logfiles Oracle, MS-SQL Server oder MaxDB Datenbank Automatisches Datenbank- Wachstumsmanagement Automatische Datenbank-Sicherung durch Content Reporter (nur MaxDB) Oracle on unix platforms

68 Webwasher Content Reporter – Firewall
Einfache Anwendung Analyse von CyberGuard TSP Log-Dateien Vordefinierte Berichte Application protocol per volume Application protocol per week day Source by volume Destination by volume … Einfache Erstellung neuer Berichte

69 Content Reporter – Drill Down Reports(1)
Einfach zu konfigurieren Durch Kombination von 2 beliebigen Abfragen. Vorteile Erlaubt “Data-Mining”. Alle Informationen an einem Platz. Schneller Zugang zu den relevanten Informationen. Einfach und intuitiv benutzbar. Schnelle Benutzeroberfläche.

70 Content Reporter – Drill Down Reports(2)

71 Webwasher Content Reporter: Auffinden von Spyware und Adware

72 Webwasher Web Gateway Security Appliances
Overview

73 Webwasher: Scalable Appliances
Branch Office Corporate HQ Performance Up to 4K users 4K - 8K users 8K – 16K users WW 1900 WW 1100 WW 500 Webwasher Appliances are designed for scalability for large enterprises There is currently a range of three appliances to suit your need from Branch offices to corporate HQ WW1000 LOD is 12/31/2006. (See Lifecylce pages on corporate website for further info) Webwasher Appliances sind sicher und skalierbar. Sie sind schnell installiert und brauchen auch nur ein Minimum an Pflege und Wartung.

74 Übersicht Appliances Komplett installiert mit Betriebssystem und Webwasher Lizenzschlüssel muss eingegeben werden Verfügbar auf Appliance: URL Filter Anti-Malware Anti-Virus Anti-Spam SSL Scanner CG Linux Betriebsystem ICAP Clients (application proxies) für HTTP, HTTPS, FTP und SMTP

75 Neue Webwasher Appliances
WW1900 WW1100 WW500 CPU 2 x Dual-core Dual-core Single Cache 2x2MB 1MB Memory 2GB 1GB Hard Disk 2 x 146GB SAS. RAID 1 2 x 80GB SATA. RAID 1 80GB SATA NIC ports 4 x 10/100/1000 2 x 10/100/1000 First Customer Ship October 16 November 27 Redundancy Disk/Power Disk - Marketed # of Users 16,000 8,000 4,000

76 Appliance: Lieferumfang
Appliance Preise beinhalten: Die Appliance (ohne Webwasher Softwarelizenzen) Garantie („Next Business Day“ für 3 Jahre) Webwasher fertig vorinstalliert unter CG Linux Zusätzliche Garantieoptionen Erweiterung der „Next Business Day“ Garantie für weitere zwei Jahre Upgrade der „Next Business Day“ Garantie auf 4 Stunden* über 3 Jahre oder zusätzliche 2 Jahre Webwasher Funktionalitäten werden separat lizenziert Auf Subskriptionsbasis Standardmäßig ein, zwei oder drei Jahre Preisstaffelungen basierend auf der Anzahl der Benutzer *Wo verfügbar

77 Neu in Webwasher Web Gateway 6.0
Released November 2006

78 Neu ! 6.0 Product Overview Neue Version! URL-Filter Anti Malware
Webwasher URL Filter verhindert unproduktives Surfen, filtert gefährliche Inhalte, minimiert rechtliche Risiken und reduziert bandbreitenintensive Inhalte. Malware & Phishing URLs powered by TustedSource® Anti Malware Erkennt und eliminiert bereits am Gateway noch unbekannte Viren, Day-Zero Attacks und Spyware. Bidirektionale Filter verhindern Identitätsdiebstahl und Verlust von vertraulichen Informationen.. Neu ! Anti Virus Ermöglicht die Kombination von bis zu drei AV Engines. Beinhaltet die Proaktiven Filter von Content Security und eliminiert somit bereits am Gateway noch unbekannte Viren, Day-Zero Attacks und Spyware. Anti-Spam Intelligente Kombination mehrerer sich ergänzender Erkennungs-mechanismen, liefert höchste Trefferquote gegen Spam und Phishing. Reduziert Bandbreitenverbrauch durch TrustedSource® Connection Control Technologie SSL- Scanner Ermöglicht Unternehmen die Anwendung aller vorhandenen Sicherheits- und Internetnutzungsrichtlinien auf das verschlüsselte HTTPS Protokoll. Schutz vor Phishing und Pharming durch umfangreiche Zertifikats-kontrolle. IM-Filter Unterbindet oder reportet die unerlaubte Nutzung des Peer-to-Peer File Sharing (P2P) und Public Instant Messaging (IM) in Unternehmens-netzen. Content Reporter Hochskalierbare Reportinglösung für , Internetzugang und Cache-Effektivität und vielem mehr. Neue Version!

79 Übersicht: Neu in Webwasher 6.0
Anti-Malware für Web und Kombination verhaltensbasierter und signaturbasierter Erkennung Integration zur TrustedSource Reputationsdatenbank Feedback Loop zu TrustedSource von Webwasher aus High Performance Proxy mit erweiterten Authentifizierungsoptionen „Transparente“ Authentifizierung Optional Integrierte Benutzerdatenbank Failover for Parent Proxies Unterschiedliche Authentifizierungmethoden je Proxy Verbesserungen im Clustering Replication - Quotas and time usage, Distributed updates Virtual Queues Integration zu IronNET zwecks „Compliance“ und Verhinderung von Datenverlust Drei neue Appliances Integration zur TrustedSource Reputationsdatenbank: Webwasher bekommt sowohl die List von bekannt schlechten IPs/Urls (Phishing / malware) als auch samples/signaturen von Malware zum Blocken

80 TrustedSource Integration
WW Anti-Spam integration Connection Control Weitere Methode zur Erkennung von Spam URL Filter Integration Spam und Phishing Seiten/IPs sites werden von Trusted Source an Webwasher URL Filter und SmartFilter übermittelt Feedback System Manuell (default) Automatisiert Connection control determines whether the connection is even allowed to occur. This is new for webwasher and a benefit that comes from TrustedSource.. TrustedSource technology was also built into the Connection Control module of the Webwasher Anti-Spam module, proactively blocking connection requests from known spammers before the even enters the network. In addition a customer can also create their own blacklists or white lists. Input for Spam level determination: after the is delivered. can screen for spam in the input queue. Webwasher URL filter and SmartFilter receives feeds of Spam and Phishng sites from TrustedSource. Benefits all SCUR filtering customers starting in November.

81 Webwasher Anti-Malware
New! Webwasher Anti-Malware Probleme: Konventionelle signaturbasierte Lösungen haben einen Zeitrahmen, in dem Benutzer ungeschützt sind und auf Signatur-Update warten. „Targeted Malware“ (z.B. Industriespionage, Sabotage) wird meist nicht oder zu spät von Signaturupdates abgedeckt „…limitierte Verbreitung rechtfertigt kein Signatur-Update.“ Die Aufnahme einer Signatur ist oftmals eine „Business Entscheidung“. Lösung: Mehrschichtiger Ansatz Signaturbasiert Verhaltensbasiert Reputationsbasiert Vorteile: Weitgehende Eliminierung des Zeitraums der „Update-Lücke“ Für die Abwehr eines Virus/Angriffes ist nicht mehr relevant, ob bekannt ist oder nicht

82 Webwasher Anti-Malware: Sicherheitslayers
Media Type Filter Dateitypen-Verifizierung via “magic bytes” Analyse Anti-Malware Engine Signaturbasierte Engine gegen Viren, Spyware, Würmer… Authenticode Filter Verifizierung der Echtheit von digital signiertem Code & Blocken von unsigniertem Code Behavioral Malware Detector Alle Aktiven Dateien werden auf potentiell gefährliche Funtions-aufrufe analysiert und je nach Gefährlichkeitsgrad geblockt Behavioral Exploit Detector Potentiell gefährliche Aufrufe in Scripten werden neutralisiert und Code nach Ausnutzung von bekannten Schwachstellen durchsucht connection control level (optional) Web: URL Filtering Messaging: Connection Control Media Type Filter Anti-Malware Engine Webwasher anti-Malware and the optional URL Filter and Anti-Spam products by Secure Computing represent the best level of security you can deploy at your gateway. The media type filter makes sure no spoofed content can enter your network. It’s “magic byte analysis” functions look for application specific digital fingerprints in the files and reliably determine the file-type accordingly, regardless of the extension or the MIME type reported by the Webserver or Mailserver. Our Anti-Malware engine detects malware including spyware, Trojans, BHOs etc.. The Authenticode filter (optionally) makes sure only valid signed active content goes into your network. At the end we have two levels of behavioral Malware detection and malicious script mitigation. Authenticode Filter Behavioral Malware Detection Behavioral Exploit Detection

83 Erweiterungen in Proactive Security Filtern
Erweiterte Methoden zur Spywareerkennung Infizierte Clients können vom Internet „geblockt“ werden Und z.B. Umleitung auf eine „Säuberungsseite“ Nur in Anti-Malware White List Subskriptionsservice Verhindert „falsches Anschlagen“ von Proactive Security bei bekannt „guten“ Seiten Signaturbasierte und andere Filter nicht betroffen „Wasserzeichen“ für angeforderte Web Formulare Spyware, Keylogger etc. kommunizieren zunehmend über HTTP Vom User angeforderte Web Formulare können normal „submitted“ werden Nicht autorisierte Web Formulare (Spyware, Keylogger) werden geblockt Protection of client computers with potentially unwanted programs (PUPs) installed : This new feature allows to heuristically determine whether a client computer may have Potentially Unwanted Programs (PUPs) installed, e.g. Ad- or Spyware, and to block all web access from the infected client computer to protect its users from espionage. The feature’s main option, “Identify client computers that may have Potentially Unwanted Programs installed”, is enabled by default. Proactive Scanning now contains a built-in, updateable whitelist that allows Secure Computing to centrally exclude specific heuristic rules for a certain URL, as well as to exclude Script Code Mitigation for a certain URL. It is intended to address undesired maps.google.com and blocking of some well-known web applications, like Usage of the built-in whitelist is, by default, enabled in Relaxed- and Medium Policy, and disabled in Strict Policy. Both types of whitelisting entries can be disabled underneath 'General Options > Built-in Whitelist'. Watermarking of forms to prevent unauthorized http GET requests. This detection method, disabled by default, can detect "unsolicited" uploading of (potentially private) data via HTTP POST requests – a kind of "Phone Home" activity. To distinguish these from valid HTTP POST requests done by the "real" web browser, this method watermarks forms in HTML pages by adding a hidden input field with an encrypted, magic value derived from the form while being processed in ICAP RESPMOD, and the parameters of the HTTP POST request are checked for that watermark when it comes back in ICAP REQMOD.

84 Flexible Einsetzmethoden
In-Line Proxy Public Web Servers FW Users & Intranet Provides integrated web gateway functionality Webwasher Co-existence with Caching Appliances icap Works with existing proxy appliances such as Netcache or Blue Coat Webwasher Web Proxy Out-of-Band Webwasher WebInspector icap Switch Webwasher 6.0 “Sniffer Mode” out-of-band deployment New!

85 Webwasher WebInspector: Opportunity
New! Webwasher WebInspector: Opportunity Neue Einsatzmöglichkeit für URL Filter Wenn “pass-through” Proxy Architektur nicht erwünscht ist Für schnelles Deployment Für Installation auf Abteilungsebene Kostenfrei Nur für Windows Benötigt lizenzierten Webwasher URL-Filter als Back-End Kann mit Webwasher auf dem gleichen Server laufen (empfohlen) Kann mit einer Webwasher Appliance über ICAP kommunizieren

86 Neuerungen in Content Reporter 4.7
Reporting : Parametrisierte Reports Filter werden zur Laufzeit gesetzt Reporting auf Mail Address Domains Custom mappings Z.B. Unterteilung nach „Good“ und „Bad“ anstatt 64 Kategorien „Count Distinct“ Funktionalität Handhabung/Wartung: Zeitfilter auf Reports jetzt minutengenau Erweitertes Benutzerkonzept (“Delegated Reporting”) Datenbankwartung (Rollup/Delete) jetzt stündlich Leichtere Bereitstellung: Unterstützung für frei definierbare Headers in Logfiles Übergehen von Einträgen im Logfile nach Regular Expression NTLM Case Sensitivity LDAP Referrals

87 Optional Slides

88 Webwasher 6.0: Anti-Malware
The official release of our new Anti-Malware product (SAM, short for Secure Anti-Malware) Currently in accreditation and certification at various testing bodies like AV-Test.org and ICSA Proactive Security enhancements Several new methods to enhance Spyware detection Detect and block clients infected with Spyware (only in Anti-Malware) White list subscription service (allows to set ProActive at a strict level and still be able to access sites that might otherwise be blocked) Watermarking of forms to prevent unauthorized http GET requests. (only in Anti-Malware)

89 Webwasher 6.0: Mail Gateway enhancements
gateway enhancements Centralized queue management Single view on all mail queues Feedback queue and system Suspicious attachments and web objects are put into a special queue that may be released to the SecureLabs in Paderborn by the admin. Resend digest Self-tuning gateway performance (auto-adjust number of threads depending on current load) “address mapping” Who is allowed to send / receive mail Map an external name to an internal name and vice versa Easy way to set up distribution lists Next let’s have a look at the enhancements to the mail gateway. One of the drawbacks of Anti-Spam deployments in the past had been that in a cluster deployment Admins had to administer the queues on each appliance separately. With Webwasher 6.0 we introduced the concept of “virtual queues” where the admin has access to all of the queues from the cluster server. This is a feature competitive vendors charge extra. With 6.0 we also introduce a special queue that gets populated automatically with suspicious files that Proactive security identified as some form of Malware. The administrator can then decide to release these samples to the SecureLabs for investigation. Aside from the possibility of resending a digest (webwasher didn’t have this before), the gateway can be set to a self tuned mode, where it increases the number of threads up to a certain amount the system can handle. If this still isn’t enough the Anti-Spam module reduces the number of filters appliad to mails, effectively trading in detection rate with performance. Especially for large companies or for companies with a complicated (takeover etc.) infrastructure we introduced

90 Webwasher 6.0: Anti-Spam improvements
New Mailshell Methods “live scoring” with Mailshell’s SpamLabs Configuration of preferred language(s) New parameters to tweak performance Removed Bayes Filter -> In Mailshell New “fingerprinting” method Incl. feedback mechanism Autom. “white listing” White list sender/recipient pairs as seen in outgoing s White list s released from the spam quarantine Admin and end-user access to edit the white lists Integration TrustedSource & ConnectionControl Don’t accept connections from mail servers depending on level reputation If accepted: Additional Input for MethodMix spam score Test showed: Expect 30-40% less traffic entering the mail gateway Mailshell: Live scoring: This means that we query mailshell’s SpamLabs in real-time (only fingerprints are transmitted) Preferred lanaguage: Allows to set “home” country and list of preferred language(s), which results in higher spam score for messages in other languages (to address Russian, Korean, Chiniese spam…) Performance tweaking: allows to set parameters that allow to increase throughput at the cost of scoring accuracy if desired. One more note: We have removed our own bayesian filter method, because it proved to be less reliable and screwed up the scoring. Mailshell has a bayesian method included that we now use which is more efficient and accurate.

91 Webwasher 6.0: GUI A major update of the web interface which makes the visual difference between the 5.x and 6.x versions Remove toggle buttons Relocation of tabs Session based GUI login Audit log (back-ported to 5.3, and available in latest maintenance release already) Ease of navigation (click history, links to internal requests) Usage of more JavaScript and Ajax Consistency (list editors, and other elements) Ability to disable viewing Web vs. related settings “Change Warner” Import/export feature for error templates Session based GUI login: no longer using basic auth. to GUI, allows to time-out session and log login/logout activity Ease of navigation: click history just example, several other minor enhancements. Links to internal requests, e.g. download/view of logfiles exposed in GUI and several other requests that were previously hidden. Change Warner: when user leaves current configuration page, a dialog pops up to prompt whether admin wants to save, discard or cancel

92 Webwasher 6.0

93 Webwasher 6.0: Anti-Malware
The official release of our new Anti-Malware product (SAM, short for Secure Anti-Malware) Currently in accreditation and certification at various testing bodies like AV-Test.org and ICSA Proactive Security enhancements Several new methods to enhance Spyware detection Detect and block clients infected with Spyware (only in Anti-Malware) White list subscription service (allows to set ProActive at a strict level and still be able to access sites that might otherwise be blocked) Watermarking of forms to prevent unauthorized http GET requests. (only in Anti-Malware)

94 Webwasher 6.0: Mail Gateway enhancements
gateway enhancements Centralized queue management Single view on all mail queues Feedback queue and system Suspicious attachments and web objects are put into a special queue that may be released to the SecureLabs in Paderborn by the admin. Resend digest Self-tuning gateway performance (auto-adjust number of threads depending on current load) “address mapping” Who is allowed to send / receive mail Map an external name to an internal name and vice versa Easy way to set up distribution lists Next let’s have a look at the enhancements to the mail gateway. One of the drawbacks of Anti-Spam deployments in the past had been that in a cluster deployment Admins had to administer the queues on each appliance separately. With Webwasher 6.0 we introduced the concept of “virtual queues” where the admin has access to all of the queues from the cluster server. This is a feature competitive vendors charge extra. With 6.0 we also introduce a special queue that gets populated automatically with suspicious files that Proactive security identified as some form of Malware. The administrator can then decide to release these samples to the SecureLabs for investigation. Aside from the possibility of resending a digest (webwasher didn’t have this before), the gateway can be set to a self tuned mode, where it increases the number of threads up to a certain amount the system can handle. If this still isn’t enough the Anti-Spam module reduces the number of filters appliad to mails, effectively trading in detection rate with performance. Especially for large companies or for companies with a complicated (takeover etc.) infrastructure we introduced

95 Webwasher 6.0: Anti-Spam improvements
New Mailshell Methods “live scoring” with Mailshell’s SpamLabs Configuration of preferred language(s) New parameters to tweak performance Removed Bayes Filter -> In Mailshell New “fingerprinting” method Incl. feedback mechanism Autom. “white listing” White list sender/recipient pairs as seen in outgoing s White list s released from the spam quarantine Admin and end-user access to edit the white lists Integration TrustedSource & ConnectionControl Don’t accept connections from mail servers depending on level reputation If accepted: Additional Input for MethodMix spam score Test showed: Expect 30-40% less traffic entering the mail gateway Mailshell: Live scoring: This means that we query mailshell’s SpamLabs in real-time (only fingerprints are transmitted) Preferred lanaguage: Allows to set “home” country and list of preferred language(s), which results in higher spam score for messages in other languages (to address Russian, Korean, Chiniese spam…) Performance tweaking: allows to set parameters that allow to increase throughput at the cost of scoring accuracy if desired. One more note: We have removed our own bayesian filter method, because it proved to be less reliable and screwed up the scoring. Mailshell has a bayesian method included that we now use which is more efficient and accurate.

96 Webwasher 6.0: GUI A major update of the web interface which makes the visual difference between the 5.x and 6.x versions Remove toggle buttons Relocation of tabs Session based GUI login Audit log (back-ported to 5.3, and available in latest maintenance release already) Ease of navigation (click history, links to internal requests) Usage of more JavaScript and Ajax Consistency (list editors, and other elements) Ability to disable viewing Web vs. related settings “Change Warner” Import/export feature for error templates Session based GUI login: no longer using basic auth. to GUI, allows to time-out session and log login/logout activity Ease of navigation: click history just example, several other minor enhancements. Links to internal requests, e.g. download/view of logfiles exposed in GUI and several other requests that were previously hidden. Change Warner: when user leaves current configuration page, a dialog pops up to prompt whether admin wants to save, discard or cancel

97 Webwasher 6.0

98 Webwasher 6.0 An integrated User Database, enabling NTLM authentication everywhere “Transparent” authentication Other features Detection of “unknown” scripts Dedicated ports for internal requests, to separate end user requests from admin requests Failover for all parent proxies Distributed updates IFP protocol support filter enhancements New option to delete attachments in customized action Enhanced phishing filter Cluster enhanced to allow distribution of live data like quota information Allow different authentication process for individual proxies Webwasher appliance(s): NTP client configuration via GUI Detection of unknown scripts: mimic IE handling of determining whether a script is JavaScript or VBscript that does NOT have script name parameter Failover for parent proxies: Very flexible and powerful parent proxy implementation, getting us on par with proxy vendors Distributed updates: Allow db downloads (URL, AV etc) on the master and then distribute to cluster members

99 Webwasher® differentiators: Smart combination of filters
Unlike signature based anti-virus vendors, the Proactive Security solution in Secure Computing’s Webwasher products does not depend on reactive and time-delayed updates. Proactive Security is based in its core upon the proactive filters for exploit methods and the heuristic code analysis. Additionally the media type filter reliably checks the “magic-byte” of incoming content and selectively blocks unwanted or content not deemed safe. As all executable files can be digitally signed, with the build in signature verification you can easily determine if an applet that e.g. says it comes from Microsoft is really created by Microsoft. At the same time Webwasher also contains the typical reactive security as found in its up to three anti-virus engines and the custom header, body and checksum filter.

100 Webwasher® differentiators: Proactive Security
Unlike signature based anti-virus vendors, the Proactive Security solution in Secure Computing’s Webwasher products does not depend on reactive and time-delayed updates. Proactive Security is based in its core upon the proactive filters for exploit methods and the heuristic code analysis. Additionally the media type filter reliably checks the “magic-byte” of incoming content and selectively blocks unwanted or content not deemed safe. As all executable files can be digitally signed, with the build in signature verification you can easily determine if an applet that e.g. says it comes from Microsoft is really created by Microsoft. At the same time Webwasher also contains the typical reactive security as found in its up to three anti-virus engines and the custom header, body and checksum filter.