STRONGER

HIGHER

FASTER

Hochperformante und proaktive Content

Security

25. Februar 2005

Peter Schill Aladdin Knowledge Systems (Deutschland)

Agenda

• Aladdin – Eckdaten

• eSafe 4

• Erste Ebene – Proaktive Sicherheit

• Zweite Ebene – Anti Spam / URL-Filter

• Dritte Ebene – Application Filtering

• eConsole

• Coming soon: eSafe 5

Inhaltliche Änderungen und Druckfehler vorbehalten.

Aladdin - Firmenübersicht

• Gegründet: 1985(in IL als Aladdin Ltd.)(in DE als FAST Security AG)

• Merger: 1996 mit Aladdin

• Mitarbeiter: 369 (DE 64)

• Umsatz (2004): 69,1 Mio. US $

• NASDAQ: ALDN seit Oktober 1993

• Standort DE: Germering bei München

Aladdin around the Globe

Kunden in 100 Ländern

Neun Niederlassungen weltweit

Distributoren in 50 Ländern auf fünf Kontinenten

Produktportfolio

Software Schutz & Lizenzierungstechnologie

Starke Authentisierung

Content Security

Referenzliste (Auszug) eSafe

Oberfinanzdirektion Koblenz

BEZIRK

SCHWABEN

Vorstellung eSafe 4Mehrschichtige Content Security

Sicherheit – das muß man haben

Email anti virus

Anti spam

HTTP Content Inspection

FTP Content Inspection

URL Filtering

Worm protection

IM, P2P, Spyware, apps.

Management& Reporting

Firewall

VPN

IDS/IPS

Secure Content Management (SCM)

Netzwerk Sicherheit

STRONGER

HIGHER

FASTER

eSafe – die integrierte SCM Lösung

eSafeMail

eSafeWeb

Email securityAnti-virusAnti-spam

Management& Reporting

SicherheitsSicherheitsGesamtlösungGesamtlösung

HTTP securityFTP securityURL filteringAppliFilter™

eSafe bietet eine integrierteContent Security Gesamtlösung

• Anti-Virus / Anti-Vandal – Schutz gegen Viren, Vandalen, Würmer, Trojaner und andere Schädlinge

• Exploits/Worms – Schutz vor Mißbrauch bekannter Sicherheitslücken durch Hacker und vor “Malicious Code”

• Anti Spam – Blockt mehr als 95% des Spams durch den Einsatz von 17 unterschiedlichen Technologien, bei weniger als 0.02% False Positives

• URL/Web filtering – Filterung des Webzugriffs basierend auf 58 Kategorien

• AppliFilter™ – Blockt unerlaubten Application Traffic wie z.B. P2P, IM, Spyware, etc.

Mehrschichtige Content Security

Erste Ebene : Proaktive Sicherheit

• Zertifizierte Antivirus- Engine

• Blocken von Email Exploits• Blocken von Web Exploits• Blocken von MS Office

Exploits• Blocken gefährlicher

ausführbarer Dateien• Schutz vor DoS, Spoofing,

Zip exploits und mehr…

4

Proaktive Lösung !

GhostMachine™ - Entdeckt unbekannte Viren, Trojaner, Würmer in ausführbaren Dateinen durch “teilweises Ausführen”

MacroTerminator™- heuristische Erkennung und Blockierung von MS Office-Makroviren (auch in Embedded Objects)

SmartScripts™ - auch in Emails !proaktive Blockierung aller bösartigen Scripts (Active-X, Java etc.) Schutz vor “Malicious Code”

XploitStopper™ - proaktive Erkennung und Blockierung bösartiger Codes die bekannte Sicherheitslöcher in Anwendungen ausspionieren bzw. ausnutzen

Filetype Anti-Spoofing: Dateien werden auf MIME-Typ, Header und Dateistruktur überprüft

Proaktive Schutzmechanismen

Heuristische, intelligente und analytische Methoden Heuristische, intelligente und analytische Methoden um Malicious Code zu erkennen und zu blockenum Malicious Code zu erkennen und zu blocken..

Anti-Virus am Beispiel eines eSafe-Kunden

Herausforderung HTTP

• Irr-Glaube, dass Viren nicht über Webtraffic verbreitet werden

• Langsame, ineffiziente HTTP Überprüfung

• Probleme bei der Implementierung der FTP Überprüfung (Proxyprobleme, etc)

Viele Unternehmen werden durch ihre AV Lösung nur zu 85% geschützt, weil der Web (HTTP) Traffic aus nachfolgenden Gründen nicht überprüft wird:

15% Ungeschützt15% Ungeschützt

Nur eSafe bietet vollständigen Schutz

eSafe Installations Modes

http – Klassifizierung des Inhaltes

HTTPHTTPContentContent

RecognitionRecognitionFilterFilter

HTTPHTTPContentContent

MixerMixer15% HTML15% HTML

ÜberprüfungÜberprüfung

5% 5% binäre Dateien binäre Dateien

ÜberprüfungÜberprüfung

80% vertrauenswürdiger Inhalt

HTTPInhalt

Technologie zum Patent angemeldet

HTML Überprüfung ~15%

eSafe Gateway

NIC NIC

TCP/IP stack

eSafe PCAContent

InspectorContent

Inspector

Jedes Paket wird überprüft

und freigegeben

InternetInternet

eSafe Gateway

Binäre Dateien Überprüfung ~5%

NIC NIC

TCP/IP stack

eSafe PCAContent

InspectorContent

Inspector

90% der Pakete werden

freigegeben

InternetInternet

Nach der Überprüfung werden die

restlichen 10 % freigegeben

Bei Erhalt der kompletten

Datei wird diese überprüft

Zweite Ebene : Anti-Spam / URL-Filter

• 17 Anti-Spam Methoden

• Größte Spam-Signaturen-Datenbank

• Größte Spam URL- Datenbank

• Blockt mehr als 95% aller Spam-Mail bei geringer False-Positiv Rate

• Intuitives Management

• Automatische Updates

4

You’re a winner !!

Enhance this.

Enlarge that.

Low Mortgage

Instant credit

50 Best Porn sites

Improve your love life

Viagra shipped to

your door

Lose inches in an hour

Spam – unerwünschte Emails

Spam: Anatomie Multilayer

Wie blockiert man Spam? eSafe Advanced Anti Spam Module (AASM)

Heuristic analysis

Text manipulation detection

Web Beacon detection

Did you know?Web-beacon methods are used in almost all spam messages!

V.I.A.G.R.A L0ve s pecia l str8

Mixed languages, invalid HTML tags, encoding

<img src="http://users.ev24.net/2016/viag.gif?734116"<

Anti-Spam am Beispiel eines eSafe-Kunden

Spam TaggingErlaubt dem Anwender schnell zu erkennen, ob es sich um Spam handelt. Diese kann per Regel in einen Ordner abgelegt werden.

Wie bekämpft man Spam?

Email-managed QuarantäneVerfügbar in eSafe 5

eSafe URL-Filtering

• 25 Millionen indizierte Seiten• 2.6 Mrd. analysierte Seiten• 58 Kategorien• Spezielle Spam-Kategorien• Alle Seiten werden regelmäßig

erneut überprüft

NoNoNoYesImage OCR*

NoNoNoYesImage Analysis*

ManualManualManualAutomaticAnalysis Process

n.a.4.0005.000100.000New sites (daily)

58804058Number of Categories

1.6B1.1B1B2.6BNumber of Web pages

2M4.6M5M25MNumber of Sites

WebWasherWebSenseSurfControleSafeWeltg

rößte

Datenbank

Nur eSafe 4 kann auch malicious code blocken!

Applikationen Die unterschätzte Gefahr

Dritte Ebene : Application Filtering

Blockt nicht erlaubten Traffic:

• P2P: KaZaa, Gnutella, eDonkey/eMule, Overnet, Bit Torrent …

• Instant Messengers: ICQ, MSN, Yahoo, AOL…

• Adware/Spyware: Gator, Cydoor, HotBar, eZula, Aureate…

• Remote Control: GoToMyPC, PC Anywhere…

• Verhindert Application-Layer Tunneling

• Konfigurierbar und automatisch upgedatet

4

Konfiguration AppliFilter

Filtern von Remote Control und Tunneling

eConsole Version 4Alle Informationen in einem Fenster

eConsole Version 4Alle Informationen in einem Fenster

eConsole Version 4Quarantäne für Viren

eConsole Version 4Quarantäne für Spam

Erlaubt es Administratoren, Mails die als Spam identifiziert wurden zu überprüfen, archivieren oder weiterzuleiten.

eConsole Version 4Alle Informationen in einem Fenster

• Produkt Alpha: Ende Februar

• Produkt Beta: März

• MA Release: April

Erweiterter Sicherheit mit neuer Scanning Engine Schutz aller eSafe Kunden vor den neuesten

Gefahren

Was wird noch besser ?

Neues Spam Management Möglichkeit Spam zentral zu sammeln und dann später

durch den Benutzer abholen zu lassen

Wir haben verstanden !

Anti-Phising Schutz aller Benutzer vor Emails die zur Abgabe von

persönlichen Daten auffordern, um diese dann zu kriminellen Zwecken zu missbrauchen

Wie oft soll ich denn noch meinen

ebay Account aktivieren ?

Spyware Schutz aller Rechner vor Spionage und unbeabsichtigter

Übertragung von persönlichen und geschützten Daten

Vor was schützen wir noch ?

Vier Anti-SpywareTechnologien:

1. Blockieren von Downloads

2. Blocken anhand der Spyware Signatur

3. Blocken anhand Spyware ActiveX ID

4. Blocken der Spyware Kommunikation

Reporting Ausgabe von einfachen und übersichtlichen

Reports mit Hilfe von Vorlagen

Was ist noch wichtig ?

eSafe Reporting ModuleGeneral statistics:• Actions by protocol• Actions by eSafe module • Traffic by protocol• Traffic by moduleViruses:• Top viruses• Top virus destinations/recipients • Top virus sources/senders• Virus detection methodsAppliFilter• Top families blocked • Top users blocked• Top events blocked

Email & Spam:• Top spam recipients• Top spam senders• Top sending domains• Top sending IPs• Spam detection methods • Top email senders• Top email recipientsHTTP & FTP:• Top URL categories blocked• Top URL categories visited• Top sites blocked• Top sites visited• Top users blocked• Top HTTP users• Top FTP users

Multi-Prozessor Unterstützung Serial-ATA Festplatten Unterstützung ICAP-Anbindung Alle Updates über HTTP möglich Updates benötigen keinen Restart des Service (keine

Unterbrechungen des Datenverkehr) Stündliches Update des URL-Filter und Anti-Spam

Datenbanken New eSafe Cluster in Router Mode Transparentes POP3 Scanning Neuer Linux-Kernel 2.4.21-20 Möglichkeit, mehrere eConsolen zu öffnen

Und noch viel mehr…

Komplette Übersicht in „Whats new in eSafe 5“

Round up:

eSafe FAQ´s• Auf der deutschen Aladdin Homepage findet man im

Support-Bereich alle Info´s zur Vorgehensweise im Fall eines eSafe Problems…

• … und eben auch die Safe FAQ zum download

Umfrage mittelständische Unternehmen

0%

10%

20%

30%

40%

50%

60%

Ease of appliance installation

0%

10%

20%

30%

40%

50%

60%

Ease of non-appliance installation

eSafe Gateway Proaktive Anti-Virus und Content Filter Lösung am Internet Gateway für HTTP, FTP, SMTP und POP3.

eSafe WebProaktiver Schutz für HTTP und FTP Verkehr.

eSafe Mail Proaktiver Schutz für SMTP Verkehr oder MS Exchange Server.

eSafe Produktportfolio

eSafe ApplianceVorkonfigurierte plug-and-play Lösung für eSafe Gateway oder eSafe Web/Mail.

“Virtual Appliance” Plattform

• Einfache Handhabung:• Sofortige Installation auf jedem PC• Gehärtetes, sicheres OS (Red

Hat Enterprise)• Integrierte, webbasierende GUI

• Vorteile:• Einfache Installation und

Integration in bestehende Umgebung

eSafe Partner & Appliance Solutions

• Zuverlässige Hardware

• Vorkonfigurierte plug-and-play box

• High-end IBM Blade-Fusion and

Crossbeam Lösungen

• Check Point OPSEC zertifiziert

• Cisco AVVID zertifiziert

eSafe 4 : Komplette Lösung

Maximale Sicherheit:• Blockt bekannte und unbekannte

Viren & Angriffe aus dem Netz• Scannt den kompletten HTTP,

FTP und SMTP-Traffic• Scannt alle HTML Seiten• Leistungsstarker Exploit Schutz• Umfassender Spam Schutz• Effektive Webseiten Filterung

Maximale Performance:• Bis 42Megabit pro Sekunde in

NitroInspection™ • Über 80.000 Emails/Stunde

Schnelle Implementierung & niedrige TCO:• Appliance und Blade-Optionen inkl.

Virtual Appliance™• Updates: Signaturen,

Konfiguration, sicheres OS, Hotfixes

Vielen Dank !Mehr Info´s:

www.aladdin.de