Hochperformante und proaktive Content Security 25. Februar 2005 Peter Schill Aladdin Knowledge Systems (Deutschland)

Agenda Aladdin – Eckdaten eSafe 4 Erste Ebene – Proaktive Sicherheit Zweite Ebene – Anti Spam / URL-Filter Dritte Ebene – Application Filtering eConsole Coming soon: eSafe 5

Inhaltliche Änderungen und Druckfehler vorbehalten.

Aladdin - Firmenübersicht Gegründet: 1985 (in IL als Aladdin Ltd.) (in DE als FAST Security AG) Merger: 1996 mit Aladdin Mitarbeiter: 369 (DE 64) Umsatz (2004): 69,1 Mio. US $ NASDAQ: ALDN seit Oktober 1993 Standort DE: Germering bei München

Aladdin around the Globe Kunden in 100 Ländern Neun Niederlassungen weltweit Distributoren in 50 Ländern auf fünf Kontinenten

Starke Authentisierung Produktportfolio Content Security Software Schutz & Lizenzierungstechnologie Starke Authentisierung

Oberfinanzdirektion Koblenz Referenzliste (Auszug) eSafe Oberfinanzdirektion Koblenz BEZIRK SCHWABEN

Mehrschichtige Content Security Vorstellung eSafe 4 Mehrschichtige Content Security

Sicherheit – das muß man haben Secure Content Management (SCM) Netzwerk Sicherheit Email anti virus Anti spam HTTP Content Inspection FTP Content Inspection URL Filtering Worm protection IM, P2P, Spyware, apps. Firewall VPN IDS/IPS Before we begin: When we look at the perimeter security, it is important to understand there is a great difference between the network security and secure content management. Network security deals with three main functions: Filter who is allowed access into and outside-of the network. This is done by the firewall and has to be very fast. Allow the secure connection of different networks and individuals over the insecure Internet – this is performed by the VPN and also has to be very fast while still performing complicated encryption Identify and block abnormal activity and intrusion attempts without interrupting the network. This is done by IDS (Intrusion Detection Systems) and IPS (Intrusion Prevention Systems). There are completely different needs when dealing with Content Security Management. Here we look deep into the content that was already allowed to enter the network. The inspection at this level is much more exahostive by nature and more resource consuming. SCM covers: Email anti-virus Anti-spam Web traffic (HTTP and FTP) content inspection URL (web site) filtering Worm protection Instant messengers, Peer to peer (p2p), spyware, ad-ware, and more Realizing the complexities involved, we believe that the best practice is to separate the network security to be handled by dedicated firewalls, VPNs, and IDS which can even be combined in some situations and use a specialized product for SCM. Management & Reporting

Kunden verwenden ggf. mehrere Produkte am Gateway (AV, AntiSpam, URL-Filtering). Mit eSAfe hat der Kunde eine hochperformante Lösung. Vorteil: Geringere Kosten, Lizenzmanagement einfacher, Support übersichtlich.

eSafe – die integrierte SCM Lösung eSafe bietet eine integrierte Content Security Gesamtlösung Email security Anti-virus Anti-spam Sicherheits Gesamtlösung eSafe Mail HTTP security FTP security URL filtering AppliFilter™ eSafe Web Looking at the way eSafe is implemented in the network, we would typically have two (2) systems – one protecting the email before it enters the organization, and the other protecting web traffic and application threats. It is important to understand that an “all in one” solution is NOT the same as an “integrated solution”. The first one includes a firewall as well as intrusion detection, VPN, anti-virus and more and is only suitable to small customers. An integrated solution focuses specifically on the SCM requirements while the network security requirements, which are firewall, VPN, and intrusion detection would be handled by a separate product. This is far more efficient and effective and is actually the only way to do it in larger customers. Management & Reporting

Mehrschichtige Content Security Anti-Virus / Anti-Vandal – Schutz gegen Viren, Vandalen, Würmer, Trojaner und andere Schädlinge Exploits/Worms – Schutz vor Mißbrauch bekannter Sicherheitslücken durch Hacker und vor “Malicious Code” Anti Spam – Blockt mehr als 95% des Spams durch den Einsatz von 17 unterschiedlichen Technologien, bei weniger als 0.02% False Positives URL/Web filtering – Filterung des Webzugriffs basierend auf 58 Kategorien AppliFilter™ – Blockt unerlaubten Application Traffic wie z.B. P2P, IM, Spyware, etc.

Erste Ebene : Proaktive Sicherheit 4 Zertifizierte Antivirus- Engine Blocken von Email Exploits Blocken von Web Exploits Blocken von MS Office Exploits Blocken gefährlicher ausführbarer Dateien Schutz vor DoS, Spoofing, Zip exploits und mehr…

Proaktive Lösung !

Proaktive Schutzmechanismen Heuristische, intelligente und analytische Methoden um Malicious Code zu erkennen und zu blocken. GhostMachine™ - Entdeckt unbekannte Viren, Trojaner, Würmer in ausführbaren Dateinen durch “teilweises Ausführen” MacroTerminator™- heuristische Erkennung und Blockierung von MS Office-Makroviren (auch in Embedded Objects) SmartScripts™ - auch in Emails ! proaktive Blockierung aller bösartigen Scripts (Active-X, Java etc.) Schutz vor “Malicious Code” XploitStopper™ - proaktive Erkennung und Blockierung bösartiger Codes die bekannte Sicherheitslöcher in Anwendungen ausspionieren bzw. ausnutzen Filetype Anti-Spoofing: Dateien werden auf MIME-Typ, Header und Dateistruktur überprüft

Anti-Virus am Beispiel eines eSafe-Kunden Viren und Würmer mit Emails transportiert: Hier hat eSafe 65% der angriffe über die heuristische Scanmethode erkannt und geblockt. WICHTIG: Auch Viren in Password-geschützten ZIP-Files wurden erkannt.

Nur eSafe bietet vollständigen Schutz Herausforderung HTTP Viele Unternehmen werden durch ihre AV Lösung nur zu 85% geschützt, weil der Web (HTTP) Traffic aus nachfolgenden Gründen nicht überprüft wird: Irr-Glaube, dass Viren nicht über Webtraffic verbreitet werden Langsame, ineffiziente HTTP Überprüfung Probleme bei der Implementierung der FTP Überprüfung (Proxyprobleme, etc) 15% Ungeschützt Nur eSafe bietet vollständigen Schutz

eSafe Installations Modes

http – Klassifizierung des Inhaltes Technologie zum Patent angemeldet 80% vertrauenswürdiger Inhalt HTTP Inhalt HTTP Content Recognition Filter HTTP Content Mixer 15% HTML Überprüfung 5% binäre Dateien Überprüfung

Jedes Paket wird überprüft und freigegeben HTML Überprüfung ~15% eSafe Gateway Content Inspector eSafe PCA TCP/IP stack Jedes Paket wird überprüft und freigegeben NIC NIC Internet

Binäre Dateien Überprüfung ~5% 90% der Pakete werden freigegeben eSafe Gateway Content Inspector eSafe PCA Nach der Überprüfung werden die restlichen 10 % freigegeben TCP/IP stack Bei Erhalt der kompletten Datei wird diese überprüft NIC NIC Internet

Zweite Ebene : Anti-Spam / URL-Filter 4 17 Anti-Spam Methoden Größte Spam-Signaturen-Datenbank Größte Spam URL- Datenbank Blockt mehr als 95% aller Spam-Mail bei geringer False-Positiv Rate Intuitives Management Automatische Updates

Spam – unerwünschte Emails Improve your love life You’re a winner !! 50 Best Porn sites Enhance this. Enlarge that. Let’s face it. . . Spam isn’t going away. It’s only getting worse. . .You can’t wish it away, pray it away, or kiss it goodbye. . You have to have a plan in place to . . Lose inches in an hour Viagra shipped to your door Low Mortgage Instant credit

Spam: Anatomie Multilayer Kombination aus mehreren Technologien 1. Diese Funktion gleicht IP-Adressen mit verschiedenen schwarzen Listen ab, um sicher zu gehen, dass der versendende Server nicht als Open-Mail-Relay vermerkt ist, über den Spammer ihre Massen-E-Mails versenden können. 2. spez. Exaktere Listen 3. Mithilfe dieses Features kann festgestellt werden, ob der E-Mail-Server des Absenders seriös bzw. rechtmäßig ist und über einen gültigen Host-Namen verfügt. 4. Beim E-Mail-Spoofing werden E-Mails von anderen Domains aus versendet, sind jedoch mit internen Absendern, z.B. Unternehmensadressen getarnt. 5. Hierbei handelt es sich um die Überprüfung und den Abgleich des SMTP-Headers der eingehenden E-Mail anhand von festgelegten Standards, um sicherzustellen, dass es sich nicht um eine von einem Spammer gefälschte Mail handelt. 6. Die Anti-Bombing-Funktion reguliert den E-Mail-Fluss, um einer Überlastung vorzubeugen, die zu einer gravierenden Verlangsamung von E-Mail-Servern bis hin zu Systemausfällen führen kann. 7. Mit Hilfe von Directory Harvest Attacks (DHA, auch Verzeichnis-Attacken) gelangen Spammer an gültige E-Mail-Adressen der betroffenen Unternehmen. Während einer solchen Verzeichnis-Attacke versucht der Spammer, Mails an die verschiedensten Adressen zu senden, wie beispielsweise johna@yourcompany.com, johnb@yourcompany.com, etc. 8. Viele Spam-Mails sich durch einen ähnlichen Text in der Betreffzeile gekennzeichnet. b. University diploma Bei der Analyse der Betreffzeile sollte man jedoch Vorsicht walten lassen, da eine zu breit angelegte Einrichtung der Blockierungsregeln dazu führt, dass zu viele legitime E-Mails als Spam klassifiziert werden. 9. Das Spam-Datenbank-Feature extrahiert aus den empfangenen E-Mails Hash-Signaturen und vergleicht sie mit einer Datenbank von bekannten Spam-Mails. Diese Technik, sofern richtig implementiert, ist äußerst wirkungsvoll, da Spam auf diese Weise in Echtzeit abgeblockt werden kann. Spam-Mails können polymorpher Natur sein, was bedeutet, dass sie ab und zu geringfügig abgeändert werden, und zwar mit jedem versandten Paket oder sogar mit jeder versandten E-Mail. Ein gut funktionierendes Hash-Signatur-System ist in der Lage, Variationen in Spam-Mustern zu erkennen. 10. Bei lexikalischen Textanalysen wird der Inhalt der E-Mail untersucht und nach Text-Strings gefiltert, die E-Mails als Spam entlarven können, wie beispielsweise bestimmte Verkaufsangebote, Dienstleistungen, Aufforderungen zum Besuch bestimmter Webseiten etc. Die Textanalyse basiert auf spezifischen lexikalischen Regeln und funktioniert nach dem Boole'schen Verfahren mit Operatoren wie OR, AND, NOT etc. Die lexikalische Textanalyse ist wesentlich detaillierter als die Analyse der Betreffzeile und reduziert das Spam-Aufkommen bei geringeren False-Positive-Werten. 11. Die statistische bzw. Bayes'sche Analyse basiert auf Statistiken, die auf der Grundlage der Analyse einer Vielzahl von Spam-Mails erstellt wurden. Das System kann dahingehend „trainiert“ werden, dass Spam-Inhalte mit hoher Trefferquote und einer geringen Rate von als Spam eingestuften, tatsächlich jedoch legitimen Mails (False-Positives) ermittelt werden. 12. Heuristische Analysen werden zur Identifizierung von E-Mails verwendet, die aufgrund gewisser allgemeiner Eigenschaften wie Spam aussehen. Zu diesen Charakteristika zählen beispielsweise der Gebrauch von unterschiedlichen fremdsprachigen Zeichensätzen, Image-Links, bei denen es sich um Server-Abfragen handelt (mit oder ohne eindeutige Empfänger-ID), verschiedene versteckte und/oder nicht druckbare Zeichen, unterschiedliche Verschlüsselungsmethoden usw. Üblicherweise versuchen Spammer, die Identifizierung ihrer Mails als Spam zu erschweren, indem sie automatisch große Mengen an beliebigen Zeichenfolgen (Random-Text) oder willkürlich zusammengestellten HTML-Tags in den Textkörper der E-Mail einfügen, die für den Empfänger nicht sichtbar sind, aber in der Lage sind, Programme zur Extrahierung von Hash-Signaturen zu umgehen. Ein Beispiel für eine derartige HTML-Tag-Folge in einer Spam-E-Mail könnte wie folgt aussehen: **<!B>D<!D>ig<!X>ital<!D> Cab<!E>l<!X>e<!D>FI<!X>LTE<!D>RS a<!X>re<!Y> Fi<!D>na<!E>lly Ava<!E>ilab<!D>le** Werden die sogenannten Comment-Tags entfernt, wird die enthaltene Aussage deutlich: **Digital Cable FILTERS are Finally Available** 13. Ein großer Anteil der versendeten Spam-Mails enthält pornographische Inhalte, wodurch die betreffenden Mails nicht nur extrem zeit- und ressourcenaufwändig sind, sondern auch sehr lästig und unangenehm sein können. Der Besitz derartigen Materials kann sogar rechtliche Konsequenzen nach sich ziehen. Eine Anti-Spam-Technik setzt automatische Web-Crawler ein, die auf den Server zugreifen, auf dem sich die Bilder befinden, und analysiert sie mithilfe von Algorithmen nach bestimmten Mustern, um pornographische Inhalte ausfindig zu machen. Unter der Voraussetzung ausreichender Anwendungsintelligenz hinter der Technik, kann diese „nackte Tatsachen“ klar von medizinischen oder anderen legitimierten Bildern unterscheiden. Werden die Bilder als pornographisch erkannt, wird die Webseite indiziert und in eine URL-Datenbank aufgenommen. 14. Der Einsatz von Web-Beacons stellt für technisch versierte Spammer eine der ertragreichsten Methoden dar, um gültige E-Mail-Adressen ausfindig zu machen und diese dann mit einer Flut von Spam zu überschwemmen. Beim Eingang einer neuen Mail, die ein Web- Beacon enthält, wird diese üblicherweise im Vorschau-Fenster des Eingangsverzeichnisses angezeigt. Wenn die neu eingegangene E-Mail den folgenden versteckten HTML-Befehl enthält, sendet der E-Mail-Client eine Anfrage an den Server „www.website.com” und verwendet darin als Parameter die E-Mail-Adresse des Benutzers: 15. Häufig enthalten Spam-Mails ihre Aussagen in graphischer Form, und nicht als Text. Diese Tatsache beruht auf der Unfähigkeit zahlreicher Spam-Blocker, in Grafiken enthaltene Texte als solche zu identifizieren, wodurch sie die Spam-Mail ungehindert passieren lassen. Mit der OCR (Optical Character Recognition)-Technologie kann Text sogar in Grafiken erkannt werden. 16. Spam-Mails sind vielfach trickreich manipuliert, um die Inhaltsanalyse des Textes durch Spam-Blocker schwieriger zu gestalten. Mit Textmanipulation ist das Ersetzen einzelner Zeichen innerhalb des Textes, vor allem in den üblichen verfänglichen Begriffen, durch ähnliche Zeichen gemeint, aber auch z.B. das Einfügen von Leerzeichen zwischen den einzelnen Buchstaben eines Wortes, um dieses unkenntlich zu machen. Hier einige Beispiele: • P0RN anstelle von PORN (mit einer Null anstelle des großgeschriebenen O). • \/\/arez anstelle von Warez (das erste W wurde aus den Schrägstrichen \/ \/ zusammengesetzt) • V.I.A.G.R.A anstelle von VIAGRA • 4U anstelle von „for you“

Wie blockiert man Spam? eSafe Advanced Anti Spam Module (AASM) Heuristic analysis Text manipulation detection Web Beacon detection Mixed languages, invalid HTML tags, encoding V.I.A.G.R.A L0ve s pecia l str8 <img src="http://users.ev24.net/2016/viag.gif?734116"< Did you know? Web-beacon methods are used in almost all spam messages!

Anti-Spam am Beispiel eines eSafe-Kunden Kunde von Aladdin bekommt in 18 Stunden 52.363 Mails. Davon hat eSafe 60% über RBL-Listen abgeblockt und überhaupt nicht angenommen (Server Kapazität geschont).

Wie bekämpft man Spam? Spam Tagging Erlaubt dem Anwender schnell zu erkennen, ob es sich um Spam handelt. Diese kann per Regel in einen Ordner abgelegt werden.

Email-managed Quarantäne Verfügbar in eSafe 5

Nur eSafe 4 kann auch malicious code blocken! eSafe URL-Filtering 25 Millionen indizierte Seiten 2.6 Mrd. analysierte Seiten 58 Kategorien Spezielle Spam-Kategorien Alle Seiten werden regelmäßig erneut überprüft No Yes Image OCR* Image Analysis* Manual Automatic Analysis Process n.a. 4.000 5.000 100.000 New sites (daily) 58 80 40 Number of Categories 1.6B 1.1B 1B 2.6B Number of Web pages 2M 4.6M 5M 25M Number of Sites WebWasher WebSense SurfControl eSafe Weltgrößte Datenbank Nur eSafe 4 kann auch malicious code blocken!

Applikationen Die unterschätzte Gefahr

Dritte Ebene : Application Filtering 4 Blockt nicht erlaubten Traffic: P2P: KaZaa, Gnutella, eDonkey/eMule, Overnet, Bit Torrent … Instant Messengers: ICQ, MSN, Yahoo, AOL… Adware/Spyware: Gator, Cydoor, HotBar, eZula, Aureate… Remote Control: GoToMyPC, PC Anywhere… Verhindert Application-Layer Tunneling Konfigurierbar und automatisch upgedatet eSafe 4 is simply better than the competition. eSafe is an integrated & modular product, covering all the content security needs in the organization. eSafe is better than the competition in the 3 most important aspects: Security Performance Implementation & maintenance (TCO) - Competitors require several products in order to provide similar functionality. - Some feature are not available in any competing product. eSafe blocks known & unknown threats and viruses. Of course - it also includes a certified anti-virus. Actually, eSafe was one of the first antivirus products in the world. Unlike other products, eSafe inspects all content in HTTP, FTP, SMTP and POP3 and not just executable files. eSafe is also the only product the fully inspects all HTML pages for known & unknown threats without crippling the network. As an integrated and modular product, eSafe covers all content security needs which also include: The most advanced anti-spam solution with 17 anti-spam methods Web site (URL) filtering with the world’s largest, auto-updating indexed database, covering over 20 Million web sites and blllions of web pages New unique protection against unauthorized traffic such as Peer to Peer (P2P) applications like KaZaa, Instant Messengers, Adware and Spyware communication, remote control applications, tunneling and more. eSafe can do all this advanced content security and still handle traffic amounts that competitors simply can’t: Up to 32 Megabits/second with very fast response times thanks to the unique NitroInspection™ technology which allows the fastest response times possible for non-interrupted web surfing experience. This information is taken from an independent 3rd party tests that concluded that eSafe is much faster than the competition. Built-in fail-over and load-balancing for content security in any size network The cost of a content security solution is not only the initial purchase price – a product has to be installed and integrated into the network and later on the whole system has to be maintained including hardware, OS updates, security patches, software upgrades and updates, etc. and all that is multiplied by the number of content security “boxes” installed. - The costs add up to increase the TCO With eSafe The installation is a breeze with no network changes The product is self-maintained so you don’t have to worry about installing an OS, hardening the system, installing patches and security fixes, downloading and installing updates & upgrades – everything is taken care of automatically. There is even is a system for a per-customer update! Bottom line: improved TCO

Konfiguration AppliFilter

Filtern von Remote Control und Tunneling

Alle Informationen in einem Fenster eConsole Version 4 Alle Informationen in einem Fenster

Alle Informationen in einem Fenster eConsole Version 4 Alle Informationen in einem Fenster Viren und Spam

eConsole Version 4 Quarantäne für Viren Viren und Spam

eConsole Version 4 Quarantäne für Spam Erlaubt es Administratoren, Mails die als Spam identifiziert wurden zu überprüfen, archivieren oder weiterzuleiten. Viren und Spam

Alle Informationen in einem Fenster eConsole Version 4 Alle Informationen in einem Fenster Viren und Spam

Produkt Alpha: Ende Februar Produkt Beta: März MA Release: April

Was wird noch besser ? Erweiterter Sicherheit mit neuer Scanning Engine  Schutz aller eSafe Kunden vor den neuesten Gefahren

Wir haben verstanden ! Neues Spam Management Möglichkeit Spam zentral zu sammeln und dann später durch den Benutzer abholen zu lassen

Wie oft soll ich denn noch meinen ebay Account aktivieren ? Anti-Phising  Schutz aller Benutzer vor Emails die zur Abgabe von persönlichen Daten auffordern, um diese dann zu kriminellen Zwecken zu missbrauchen

Vor was schützen wir noch ? Spyware  Schutz aller Rechner vor Spionage und unbeabsichtigter Übertragung von persönlichen und geschützten Daten Vier Anti-Spyware Technologien: Blockieren von Downloads Blocken anhand der Spyware Signatur Blocken anhand Spyware ActiveX ID Blocken der Spyware Kommunikation

Was ist noch wichtig ? Reporting  Ausgabe von einfachen und übersichtlichen Reports mit Hilfe von Vorlagen eSafe Reporting Module General statistics: Actions by protocol Actions by eSafe module Traffic by protocol Traffic by module Viruses: Top viruses Top virus destinations/recipients Top virus sources/senders Virus detection methods AppliFilter Top families blocked Top users blocked Top events blocked Email & Spam: Top spam recipients Top spam senders Top sending domains Top sending IPs Spam detection methods Top email senders Top email recipients HTTP & FTP: Top URL categories blocked Top URL categories visited Top sites blocked Top sites visited Top users blocked Top HTTP users Top FTP users

Und noch viel mehr… Multi-Prozessor Unterstützung Serial-ATA Festplatten Unterstützung ICAP-Anbindung Alle Updates über HTTP möglich Updates benötigen keinen Restart des Service (keine Unterbrechungen des Datenverkehr) Stündliches Update des URL-Filter und Anti-Spam Datenbanken New eSafe Cluster in Router Mode Transparentes POP3 Scanning Neuer Linux-Kernel 2.4.21-20 Möglichkeit, mehrere eConsolen zu öffnen Komplette Übersicht in „Whats new in eSafe 5“

Round up:

eSafe FAQ´s Auf der deutschen Aladdin Homepage findet man im Support-Bereich alle Info´s zur Vorgehensweise im Fall eines eSafe Problems… … und eben auch die Safe FAQ zum download

Umfrage mittelständische Unternehmen

eSafe Produktportfolio eSafe Gateway Proaktive Anti-Virus und Content Filter Lösung am Internet Gateway für HTTP, FTP, SMTP und POP3. eSafe Web Proaktiver Schutz für HTTP und FTP Verkehr. eSafe Mail Proaktiver Schutz für SMTP Verkehr oder MS Exchange Server. eSafe Appliance Vorkonfigurierte plug-and-play Lösung für eSafe Gateway oder eSafe Web/Mail.

“Virtual Appliance” Plattform Einfache Handhabung: Sofortige Installation auf jedem PC Gehärtetes, sicheres OS (Red Hat Enterprise) Integrierte, webbasierende GUI Vorteile: Einfache Installation und Integration in bestehende Umgebung

eSafe Partner & Appliance Solutions Zuverlässige Hardware Vorkonfigurierte plug-and-play box High-end IBM Blade-Fusion and Crossbeam Lösungen Check Point OPSEC zertifiziert Cisco AVVID zertifiziert

eSafe 4 : Komplette Lösung Maximale Sicherheit: Blockt bekannte und unbekannte Viren & Angriffe aus dem Netz Scannt den kompletten HTTP, FTP und SMTP-Traffic Scannt alle HTML Seiten Leistungsstarker Exploit Schutz Umfassender Spam Schutz Effektive Webseiten Filterung Maximale Performance: Bis 42Megabit pro Sekunde in NitroInspection™ Über 80.000 Emails/Stunde Schnelle Implementierung & niedrige TCO: Appliance und Blade-Optionen inkl. Virtual Appliance™ Updates: Signaturen, Konfiguration, sicheres OS, Hotfixes

Vielen Dank ! Mehr Info´s: www.aladdin.de