Norman Protection

Die Herausforderung 2004 wurden mit der Anti-Spam-Komponente des -Sicherheitsdienstes von MessageLabs über 12,6 Milliarden s geprüft. Davon wurden über 9,2 Milliarden oder 73,2 % (1 von 1,4) als Spam identifiziert. Tendenz steigend wurden mit der Antivirenkomponente des -Sicherheitsdienstes von MessageLabs 147 Milliarden -Nachrichten geprüft. Davon enthielten 901 Millionen oder 1 von 16 (6,1 %) einen Virus. ( , ) 70 % aller Spam-Nachrichten werden von vireninfizierten Computern versendet

Die Herausforderung

Warum Protection dringend erforderlich ist Ohne Protection ist Ihr Unternehmen Bedrohungen wie den folgenden ausgesetzt: –Virusinfektionen –Datenverlust –Denial-of-Service-Angriffe (DoS) –Server-Hijacking –Phishing (Identitätsdiebstahl) –Adressensammeln (Harvesting) durch Robots/Skripts –Hackerangriffe auf das Netzwerk –Verlust vertraulicher Informationen –Haftungsrisiken für Mitarbeiter/ Partner Und die Folgen: –Zusätzliche Kosten für Hardware und Bandbreite –Netzwerkinfektionen –Produktivitätsrückgang –Frustrierte Mitarbeiter –Unterbrechungen kritischer Dienste –Nicht akzeptable Sicherheitsverletzungen –Ruf des Unternehmens nimmt Schaden

Wer benötigt Norman Protection? Unternehmenskunden mit eigenem -Server, z. B. Microsoft Exchange oder Lotus Notes Sender Policy Framework verhindert Spoofing-Angriffe auf Ihr Unternehmen und trägt daher zum Schutz der Glaubwürdigkeit und des Rufes Ihres Unternehmens bei Felsenfester Perimeterschutz für Ihr Netzwerk vor bandbreitenintensiven DoS-Angriffen und unnötigen -Verarbeitungaufgaben Benutzerfreundliche Lösungen machen langwierige Schulungen und die Durcharbeitung von Benutzerhandbüchern mit Satellitenbüros überflüssig Perfekte Lösung für ISPs und Hosting-Anbieter –Individuelle Domäneneinstellungen –Delegation auf Benutzerebene –Geclusterte Konfigurationen zur Unterstützung von hoch verfügbaren Einrichtungen und Lastverteilung –Ursprünglich zur Erfüllung strenger Anforderungen von ISPs entwickelt

Spam und Phising Das ist es, so funktioniert es und so bekommen wir es

Wie entsteht Spam? Offener und vertrauenswürdiger Ansatz bei der Verwendung von Protokollen Offen und frei verfügbare Protokolle Keine Identifizierung der Ausgeber erforderlich Offene Weiterleitung über -Server Einfache Empfängeridentifizierung

Definition von SPAMMING Spamming: der Versand unverlangter (i. d. R. kommerzieller) Massen- s. –Weitere Internettechnologien, die Spam ausgesetzt sind: Messaging, Newsgroups und Suchmaschinen. –In Form von Textnachrichten gelangt Spam auch auf das Mobiltelefon. –SPAM = Unverlangte, kommerzielle

SPAM kurz und bündig In den ersten 6 Monaten des Jahres 2004 –machte SPAM ca. 40 % des normalen eingehenden Datenverkehrs auf E- Mail-Servern aus –Die Anzahl der Nachrichten mit vireninfizierten Anhängen beläuft sich auf ca. 15 % des normalen eingehenden Datenverkehrs auf -Servern. Das bedeutet, dass es sich bei über 55 % des eingehenden -Datenverkehrs um Abfall handelt. Norman Whitepapers: Why spammers spam ? Die meisten Spammer wollen Geld machen. Bei der heutigen durchschnittlichen Klickrate von 1/ (= 0,0025 %) ist Spamming ein profitables Geschäft ohne große Investitionen.

Phishing Betrügerische, bösartige Basiert auf Social Engineering Phisher (Absender) versucht, dem Empfänger private Informationen zu entlocken Manipuliert große vertrauenswürdige Unternehmen, um Benutzer auszutricksen: Ebay, PayPal, Bank of America.

So funktioniert Phishing Phisher erstellen und verbreiten unverlangte, betrügerische s 1 1 Empfänger werden in der angewiesen, auf einen Link und/oder eine Grafik zu klicken 2 2 Phisher nutzen diese Informationen für weitere Betrügereien 4 4 Phisher fragen vertrauliche/ persönliche Informationen ab 3 3

So gehen Spammer vor Sammeln von -Adressen (Harvesting) –Senden von Spiders zum Durchsuchen von Websites nach -Links –Ausführen von Wörterbuchangriffen auf -Server zum Aufspüren gültiger - Adressen –Mithilfe des Reverse Social Engineering, z. B. durch Ausprobieren häufig bei - Adressen verwendeten Namensschemata: Vorname.Nachname Überprüfen von -Adressen –Senden von SPAM-Nachrichten mit integrierten URLs (z. B. unsubscribe) an gesammelte Adressen Durch Klicken darauf wird bestätigt, dass diese Adresse auch genutzt wird (was ihren Wert für Spammer erhöht) –Senden von leeren s (oft kombiniert mit Wörterbuchangriffen) mit einer gültigen Rücksendeadresse Kommt die zurück, ist die -Adresse ungültig Starten von Spamming –Moderne Spammer fügen der Spam-Nachricht einen eindeutigen Bezeichner hinzu, um verfolgen zu können, an welche -Adresse sie gesendet wurde

Tricks von Spammern Ändern von Kopfzeilen –Ändern von Routingdaten, um die tatsächliche Quelle der zu verbergen –Unrechtmäßiges Aneignen der Absenderadresse, oft durch Verwenden einer überprüften -Adresse aus derselben Domäne wie der des Empfängers HTML-Cloaking –Moderne -Clients zeigen s in der Regel im HTML-Format an –Mit HTML-Code lassen sich in den s enthaltene Wörter und Muster verbergen Weiße Schrift –Abwandlung von HTML-Cloaking, wo bestimmte Sätze in weißer Schrift auf weißem Hintergrund geschrieben werden In Grafik eingebetteter Text –Die besteht aus einem Bild (mit Wörtern) und einem URL Zufällige Serialisierung –Verwenden eines Randomizers beim Erstellen einer , damit sich jede Spam- Nachricht geringfügig von anderen unterscheidet

Gängige -Sicherheitstechnologien Netzwerkebene –Diese Technologien kommen beim Empfang von s zum Einsatz –Entscheidungskriterien umfassen die Suche nach der IP-Adresse des Absenders in einer entfernten RBL (Real-Time Black List) Schlüsselwörter –Kopfzeile und Text der werden nach bestimmten Schlüsselwörtern durchsucht Prüfsumme –Wurde eine Nachricht als Spam identifiziert, wird eine eindeutige Prüfsumme der ermittelt und an andere -Server übermittelt

Gängige -Sicherheitstechnologien Skriptgesteuerte Regeln –Durch ausgeklügelte Regeln, die oft mit boolescher Logik arbeiten, werden Spam-Nachrichten mit ähnlichen Schlüsselwörtern oder Mustern identifiziert Statistische Gewichtung (Heuristik) –Bestimmten Parametern wird eine Punktzahl zugewiesen –Die Entscheidung fällt auf Basis der Punktzahl, die eine erreicht –Dieser prädiktive und statistische Ansatz hängt von der Qualität der in der Bibliothek enthaltenen Muster und Wörter ab, nach denen die Punkte vergeben werden –Diese Methode wird bei Bayes-Filtern verwendet Herausforderung/Antwort –Authentifizierungssystem, bei dem ein nicht autorisierter Absender den Empfänger authentifizieren muss

Denial-of-Service- und Wörterbuchangriffe Denial-of-Service –Flut an gleichzeitig gesendeten Nachrichten Kommerzielle Massen- s (Spam) Würmer –Ein Server wird an die Grenze seiner Verarbeitungskapazität gebracht, was andere gültige Kommunikationen verhindert. Damit ist der Server für andere Benutzer nicht mehr betriebsbereit. Wörterbuchangriffe –Flut an Nachrichten, die in alphabetischer Reihenfolge an -Adressen gesendet werden Verwenden gängiger Namen, um gültige -Adressen zu ermitteln, die nicht abgelehnt werden Verwenden einer gefälschten -Adresse, um die Identität des Ausgebers zu verschleiern

Was ist Norman Protection? Mehrschichtiger Schutz Integrierte Lösung –Modul, das Anhänge blockiert –Norman Antivirus –Spam-Schutzmodul Verwaltung & Berichterstellung –Selbst-verwaltend Genauigkeit Rund um die Uhr verfügbare Aktualisierungen Quarantäneverwaltung Delegation auf Benutzerebene –Integrierte Protokollierung Schutz aller Mailserver

Norman – Was Sie bekommen Perimeterschutz –Blockiert Harvesting-Versuche –Stoppt verbotene Anlagen –Schützt gegen DoS-Angriffe –Verhindert -Betrügereien und Phishing –Norman Antivirus mit SandBox

Norman – Was Sie bekommen -Filterung –Richtlinienmanagement –Schutz vertraulicher Informationen –Spam-Filterung –Optimale Anpassung durch Skriptmodul

Norman Protection – Technische Einzelheiten Mehrschichtige Lösung –Bis zu 14 verschiedene Sicherheitsstufen –Nutzt Sieve- und SCA-Module –98,2 % Erkennungsrate bei Standardkonfiguration –99,99 % Treffergenauigkeit bei Standardkonfiguration –Mehrstufige Delegation

Schutz auf Netzwerkebene Blockiert offensichtliche Spam- Nachrichten, ohne die zu empfangen –Überprüft den Absender (SPF) –Überprüft die Versandmethode –Überprüft das Umschlagprofil Sehr niedrige CPU-Auslastung Schützt gegen DoS-Angriffe, Open Relay- und Harvesting- (Validierungs-)Angriffe 9 spezialisierte Schichten: Protokollfilter SMTP-Sicherheit SPF-Mechanismus Umgekehrte DNS-Abfrage Blockieren von Port-Scans RBLs Begrenzte Anzahl von Verbindungen Mail-Weiterleitung Blockieren von Verbindungen

Anlagen- und Virenschutzfilter Blockiert s mit Anlagen bestimmter Dateitypen –Effizient auch bei verborgenen Erweiterungen –Vorkonfigurierte Dateiliste (kann angepasst werden) –Auf Netzwerk-, Domänen- und Benutzerebene konfigurierbar Unterstützt/erzwingt Unternehmensrichtlinien Löscht offensichtlich unerwünschte Dateien ohne Aufruf der Virenprüfung

Norman Antivirus Rund um die Uhr aktualisierter Virenschutz von –Norman –Profitieren Sie von der führenden proaktiven Virenschutzlösung Norman SandBox Hält Viren von den Postein-gängen Ihrer Benutzer fern Wirkt als zusätzliche Vorsichts- maßnahme in virengeschützten Umgebungen Warum das allein nicht reicht: Virenschutzprogramme blockieren keine Spam- Nachrichten

Whitelist/Blacklist Kann s von bestimmten Absendern blockieren oder zulassen: –Auf Grundlage der Absenderadresse –Mehrstufige Konfiguration –Ultra-Secure Mailbox-Funktion Garantiert, dass s von vertrauenswürdigen Absendern nicht geprüft und blockiert werden Benutzer können nicht als Spam klassifizierte s löschen Warum das allein nicht reicht: Listenverwaltung kann zeitraubend sein

-Inhaltsanalyse Säubert den Nachrichtentext und fügt Detailinformationen für weitere Analyse hinzu Neutralisiert alle Arten versteckter Malware Analysiert die -Struktur auf der Suche nach bekannten Spam- Charakteristiken Warum das allein nicht reicht: Diese Methode erkennt nur Spam mit fehlerhafter HTML- oder MIME-Kodierung

Benutzerdefinierte Sieve-Skripts Administratoren können eigene Skripts schreiben, um das Verhalten des SCA-Moduls zu ändern Ermöglicht die Berücksichti-gung firmeninterner Richtlinien Kann s blockieren, die nicht von Normans Spam-Definition erfasst werden Warum das allein nicht reicht: Die Skripterstellung ist zeitaufwändig und kann mit dem heutigen Spam-Aufkommen nicht Schritt halten

Das SCA-Modul Verwendet gestapelte Schichten von prädiktiven und statistischen Technologien, um auch noch die ausgeklügeltsten Spam-Variationen zu identifizieren –Sequentielle Inhaltsanalyse – -Strukturanalyse –Inhaltsstichproben Unvergleichliche Genauigkeit Aktualisierung in Echtzeit Warum das allein nicht reicht: Obwohl SCA die intelligenteste Technolo-gie darstellt, sind auch die vorgelagerten Schichten wesentlich

Andere Funktionen Mehrstufige Delegation (Netzwerk, Domäne, Benutzer) Webbasierte - und Benutzerkonsole Ein- und ausgehende Quarantäne mit individuell konfigurierbaren Berichten Mehrstufige Whitelist/Blacklist mit Ultra-Secure Mailbox-Funktion SMTP und POP3 kann für vertrauenswürdige Quelle zugelassen werden

Domänenstatistik

Webbasierte Verwaltungskonsole

Mehrstufige Whitelist/Blacklist

Benutzerdefinierte Sieve-Skripts

Wie sieht das aus? Individuelle Quarantäne- berichte Domänen- statistiken Individuelle Statistiken Individuelle Benutzerein- stellungen Individuelle Spam- Filterein-stellungen

Norman Protection – Überlegungen zu Bereitstellung und Hardware

Norman Protection – Bereitstellung

Norman Protection – Komponenten Abhängig von Datenverkehr und Auslastung kann Norman Protection auf einem einzelnen Server oder in einer verteilten Umgebung installiert werden. Das Setup von Norman Protection besteht aus den folgenden drei Komponenten: –Norman Protection: Empfängt, verarbeitet und kategorisiert Nachrichten –Quarantänedatenbank: Indiziert den Inhalt der Quarantänedatenbank für eine einfache und effiziente Suche –Webkomponenten: Tools für Endbenutzer zur Verwaltung von in die Quarantänedatenbank verschobenen Elementen und zur Anpassung von Benutzereinstellungen ( Web Quarantine, Web Admin, Web Monitor)

Überlegungen zu Hardware Funktionen der Serverhardware: –Optimierte Verfügbarkeit durch Redundanz –Hohe Speicherkapazität –ECC-Speicher –Festplattenlaufwerke in RAID –Optimiert für I/O-Leistung –Multi-CPU-Option –Gehäuse mit erweitertem Rackplatz Plan für Sicherung und Wiederherstellung im Notfall Jeder Windows-Dienst erhält 4 Threads pro CPU

Richtlinien für Hardware Minisystem: Postfächer –Norman Protection Windows 2000 Server oder Windows 2003 Server 900 MHz CPU, 512 MB RAM Festplatten mit 7200 RPM Bildschirmauflösung 1024 x 768 –Quarantänedatenbank Microsoft Access Auf demselben Computer wie Norman Protection

Kleines System: Postfächer – Weniger als 4 Nachrichten/Sek. –Norman Protection Windows 2000 Server oder Windows 2003 Server 1,4 GHz CPU 512 MB RAM Festplatten mit 7200 RPM Bildschirmauflösung 1024 x 768 –Quarantänedatenbank Microsoft Access Auf demselben Computer wie Norman Protection Richtlinien für Hardware

Mittleres System: Postfächer – 4 Nachrichten/Sek. –Norman Protection Windows 2000 Server oder Windows 2003 Server 2,66 GHz CPU 1 GB RAM Festplatten mit 7200 RPM Bildschirmauflösung 1024 x 768 –Quarantänedatenbank Microsoft SQL Server 2000 Auf demselben Computer wie Norman Protection Richtlinien für Hardware

Mittelgroßes System: Postfächer – 8 Nachrichten/Sek. –Norman Protection Windows 2000 Server oder Windows 2003 Server Dual 2,66 GHz CPU 1 GB RAM Festplatten mit RPM Bildschirmauflösung 1024 x 768 –Quarantänedatenbank Microsoft SQL Server ,4 GHz 1 GB RAM

Richtlinien für Hardware Großes System: Postfächer – 40 Nachrichten/Sek. –Norman Protection Windows 2000 Server oder Windows 2003 Server Dual 3,4 GHz CPU 2 GB RAM SCSI-Festplatten Bildschirmauflösung 1024 x 768 –Quarantänedatenbank Microsoft SQL Server ,4 GHz 1 GB RAM –Webmail-Server –Windows 2000 Server oder Windows 2003 Server –1,4 GHz CPU –1 GB RAM

Norman Protection – Um es kurz zu machen Technologie der vierten Generation Problemlose Einrichtung und Wartung Automatische Aktualisierungen Unabhängige Einrichtung Unvergleichliche Genauigkeit Von ISPs geschätzte Stabilität Mehrstufige, delegationsorientierte Architektur Produktivitätssteigernde Verwaltungstools Skriptmodul für vollständige Kontrolle