Hochperformante und proaktive Content Security
description
Transcript of Hochperformante und proaktive Content Security
STRONGER
HIGHER
FASTER
Hochperformante und proaktive Content
Security
25. Februar 2005
Peter Schill Aladdin Knowledge Systems (Deutschland)
Agenda
• Aladdin – Eckdaten
• eSafe 4
• Erste Ebene – Proaktive Sicherheit
• Zweite Ebene – Anti Spam / URL-Filter
• Dritte Ebene – Application Filtering
• eConsole
• Coming soon: eSafe 5
Aladdin - Firmenübersicht
• Gegründet: 1985(in IL als Aladdin Ltd.)(in DE als FAST Security AG)
• Merger: 1996 mit Aladdin
• Mitarbeiter: 369 (DE 64)
• Umsatz (2004): 69,1 Mio. US $
• NASDAQ: ALDN seit Oktober 1993
• Standort DE: Germering bei München
Aladdin around the Globe
Kunden in 100 Ländern
Neun Niederlassungen weltweit
Distributoren in 50 Ländern auf fünf Kontinenten
Sicherheit – das muß man haben
Email anti virus
Anti spam
HTTP Content Inspection
FTP Content Inspection
URL Filtering
Worm protection
IM, P2P, Spyware, apps.
Management& Reporting
Firewall
VPN
IDS/IPS
Secure Content Management (SCM)
Netzwerk Sicherheit
eSafe – die integrierte SCM Lösung
eSafeMail
eSafeWeb
Email securityAnti-virusAnti-spam
Management& Reporting
SicherheitsSicherheitsGesamtlösungGesamtlösung
HTTP securityFTP securityURL filteringAppliFilter™
eSafe bietet eine integrierteContent Security Gesamtlösung
• Anti-Virus / Anti-Vandal – Schutz gegen Viren, Vandalen, Würmer, Trojaner und andere Schädlinge
• Exploits/Worms – Schutz vor Mißbrauch bekannter Sicherheitslücken durch Hacker und vor “Malicious Code”
• Anti Spam – Blockt mehr als 95% des Spams durch den Einsatz von 17 unterschiedlichen Technologien, bei weniger als 0.02% False Positives
• URL/Web filtering – Filterung des Webzugriffs basierend auf 58 Kategorien
• AppliFilter™ – Blockt unerlaubten Application Traffic wie z.B. P2P, IM, Spyware, etc.
Mehrschichtige Content Security
Erste Ebene : Proaktive Sicherheit
• Zertifizierte Antivirus- Engine
• Blocken von Email Exploits• Blocken von Web Exploits• Blocken von MS Office
Exploits• Blocken gefährlicher
ausführbarer Dateien• Schutz vor DoS, Spoofing,
Zip exploits und mehr…
4
GhostMachine™ - Entdeckt unbekannte Viren, Trojaner, Würmer in ausführbaren Dateinen durch “teilweises Ausführen”
MacroTerminator™- heuristische Erkennung und Blockierung von MS Office-Makroviren (auch in Embedded Objects)
SmartScripts™ - auch in Emails !proaktive Blockierung aller bösartigen Scripts (Active-X, Java etc.) Schutz vor “Malicious Code”
XploitStopper™ - proaktive Erkennung und Blockierung bösartiger Codes die bekannte Sicherheitslöcher in Anwendungen ausspionieren bzw. ausnutzen
Filetype Anti-Spoofing: Dateien werden auf MIME-Typ, Header und Dateistruktur überprüft
Proaktive Schutzmechanismen
Heuristische, intelligente und analytische Methoden Heuristische, intelligente und analytische Methoden um Malicious Code zu erkennen und zu blockenum Malicious Code zu erkennen und zu blocken..
Herausforderung HTTP
• Irr-Glaube, dass Viren nicht über Webtraffic verbreitet werden
• Langsame, ineffiziente HTTP Überprüfung
• Probleme bei der Implementierung der FTP Überprüfung (Proxyprobleme, etc)
Viele Unternehmen werden durch ihre AV Lösung nur zu 85% geschützt, weil der Web (HTTP) Traffic aus nachfolgenden Gründen nicht überprüft wird:
15% Ungeschützt15% Ungeschützt
Nur eSafe bietet vollständigen Schutz
http – Klassifizierung des Inhaltes
HTTPHTTPContentContent
RecognitionRecognitionFilterFilter
HTTPHTTPContentContent
MixerMixer15% HTML15% HTML
ÜberprüfungÜberprüfung
5% 5% binäre Dateien binäre Dateien
ÜberprüfungÜberprüfung
80% vertrauenswürdiger Inhalt
HTTPInhalt
Technologie zum Patent angemeldet
HTML Überprüfung ~15%
eSafe Gateway
NIC NIC
TCP/IP stack
eSafe PCAContent
InspectorContent
Inspector
Jedes Paket wird überprüft
und freigegeben
InternetInternet
eSafe Gateway
Binäre Dateien Überprüfung ~5%
NIC NIC
TCP/IP stack
eSafe PCAContent
InspectorContent
Inspector
90% der Pakete werden
freigegeben
InternetInternet
Nach der Überprüfung werden die
restlichen 10 % freigegeben
Bei Erhalt der kompletten
Datei wird diese überprüft
Zweite Ebene : Anti-Spam / URL-Filter
• 17 Anti-Spam Methoden
• Größte Spam-Signaturen-Datenbank
• Größte Spam URL- Datenbank
• Blockt mehr als 95% aller Spam-Mail bei geringer False-Positiv Rate
• Intuitives Management
• Automatische Updates
4
You’re a winner !!
Enhance this.
Enlarge that.
Low Mortgage
Instant credit
50 Best Porn sites
Improve your love life
Viagra shipped to
your door
Lose inches in an hour
Spam – unerwünschte Emails
Wie blockiert man Spam? eSafe Advanced Anti Spam Module (AASM)
Heuristic analysis
Text manipulation detection
Web Beacon detection
Did you know?Web-beacon methods are used in almost all spam messages!
V.I.A.G.R.A L0ve s pecia l str8
Mixed languages, invalid HTML tags, encoding
<img src="http://users.ev24.net/2016/viag.gif?734116"<
Spam TaggingErlaubt dem Anwender schnell zu erkennen, ob es sich um Spam handelt. Diese kann per Regel in einen Ordner abgelegt werden.
Wie bekämpft man Spam?
eSafe URL-Filtering
• 25 Millionen indizierte Seiten• 2.6 Mrd. analysierte Seiten• 58 Kategorien• Spezielle Spam-Kategorien• Alle Seiten werden regelmäßig
erneut überprüft
NoNoNoYesImage OCR*
NoNoNoYesImage Analysis*
ManualManualManualAutomaticAnalysis Process
n.a.4.0005.000100.000New sites (daily)
58804058Number of Categories
1.6B1.1B1B2.6BNumber of Web pages
2M4.6M5M25MNumber of Sites
WebWasherWebSenseSurfControleSafeWeltg
rößte
Datenbank
Nur eSafe 4 kann auch malicious code blocken!
Dritte Ebene : Application Filtering
Blockt nicht erlaubten Traffic:
• P2P: KaZaa, Gnutella, eDonkey/eMule, Overnet, Bit Torrent …
• Instant Messengers: ICQ, MSN, Yahoo, AOL…
• Adware/Spyware: Gator, Cydoor, HotBar, eZula, Aureate…
• Remote Control: GoToMyPC, PC Anywhere…
• Verhindert Application-Layer Tunneling
• Konfigurierbar und automatisch upgedatet
4
eConsole Version 4Quarantäne für Spam
Erlaubt es Administratoren, Mails die als Spam identifiziert wurden zu überprüfen, archivieren oder weiterzuleiten.
Erweiterter Sicherheit mit neuer Scanning Engine Schutz aller eSafe Kunden vor den neuesten
Gefahren
Was wird noch besser ?
Neues Spam Management Möglichkeit Spam zentral zu sammeln und dann später
durch den Benutzer abholen zu lassen
Wir haben verstanden !
Anti-Phising Schutz aller Benutzer vor Emails die zur Abgabe von
persönlichen Daten auffordern, um diese dann zu kriminellen Zwecken zu missbrauchen
Wie oft soll ich denn noch meinen
ebay Account aktivieren ?
Spyware Schutz aller Rechner vor Spionage und unbeabsichtigter
Übertragung von persönlichen und geschützten Daten
Vor was schützen wir noch ?
Vier Anti-SpywareTechnologien:
1. Blockieren von Downloads
2. Blocken anhand der Spyware Signatur
3. Blocken anhand Spyware ActiveX ID
4. Blocken der Spyware Kommunikation
Reporting Ausgabe von einfachen und übersichtlichen
Reports mit Hilfe von Vorlagen
Was ist noch wichtig ?
eSafe Reporting ModuleGeneral statistics:• Actions by protocol• Actions by eSafe module • Traffic by protocol• Traffic by moduleViruses:• Top viruses• Top virus destinations/recipients • Top virus sources/senders• Virus detection methodsAppliFilter• Top families blocked • Top users blocked• Top events blocked
Email & Spam:• Top spam recipients• Top spam senders• Top sending domains• Top sending IPs• Spam detection methods • Top email senders• Top email recipientsHTTP & FTP:• Top URL categories blocked• Top URL categories visited• Top sites blocked• Top sites visited• Top users blocked• Top HTTP users• Top FTP users
Multi-Prozessor Unterstützung Serial-ATA Festplatten Unterstützung ICAP-Anbindung Alle Updates über HTTP möglich Updates benötigen keinen Restart des Service (keine
Unterbrechungen des Datenverkehr) Stündliches Update des URL-Filter und Anti-Spam
Datenbanken New eSafe Cluster in Router Mode Transparentes POP3 Scanning Neuer Linux-Kernel 2.4.21-20 Möglichkeit, mehrere eConsolen zu öffnen
Und noch viel mehr…
Komplette Übersicht in „Whats new in eSafe 5“
eSafe FAQ´s• Auf der deutschen Aladdin Homepage findet man im
Support-Bereich alle Info´s zur Vorgehensweise im Fall eines eSafe Problems…
• … und eben auch die Safe FAQ zum download
Umfrage mittelständische Unternehmen
0%
10%
20%
30%
40%
50%
60%
Ease of appliance installation
0%
10%
20%
30%
40%
50%
60%
Ease of non-appliance installation
eSafe Gateway Proaktive Anti-Virus und Content Filter Lösung am Internet Gateway für HTTP, FTP, SMTP und POP3.
eSafe WebProaktiver Schutz für HTTP und FTP Verkehr.
eSafe Mail Proaktiver Schutz für SMTP Verkehr oder MS Exchange Server.
eSafe Produktportfolio
eSafe ApplianceVorkonfigurierte plug-and-play Lösung für eSafe Gateway oder eSafe Web/Mail.
“Virtual Appliance” Plattform
• Einfache Handhabung:• Sofortige Installation auf jedem PC• Gehärtetes, sicheres OS (Red
Hat Enterprise)• Integrierte, webbasierende GUI
• Vorteile:• Einfache Installation und
Integration in bestehende Umgebung
eSafe Partner & Appliance Solutions
• Zuverlässige Hardware
• Vorkonfigurierte plug-and-play box
• High-end IBM Blade-Fusion and
Crossbeam Lösungen
• Check Point OPSEC zertifiziert
• Cisco AVVID zertifiziert
eSafe 4 : Komplette Lösung
Maximale Sicherheit:• Blockt bekannte und unbekannte
Viren & Angriffe aus dem Netz• Scannt den kompletten HTTP,
FTP und SMTP-Traffic• Scannt alle HTML Seiten• Leistungsstarker Exploit Schutz• Umfassender Spam Schutz• Effektive Webseiten Filterung
Maximale Performance:• Bis 42Megabit pro Sekunde in
NitroInspection™ • Über 80.000 Emails/Stunde
Schnelle Implementierung & niedrige TCO:• Appliance und Blade-Optionen inkl.
Virtual Appliance™• Updates: Signaturen,
Konfiguration, sicheres OS, Hotfixes