Leistungsstarker Schutz am Netzwerk-perimeter - geeignete Konzepte und ihre Umsetzung - Softline Solutions GmbH
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Leistungsstarker Schutz am Netzwerk- perimeter – geeignete Konzepte und ihre Umsetzung Da Lightweight-Hardware am Netzwerkperimeter immer mehr leisten muss, um ein ideales Maß an Schutz und Konnektivität bereitzustellen, ist ein neuer hybrider Ansatz erforderlich, der vereinfachte Malware-Erkennungsverfahren mit URL-Filterung kombiniert und proaktiven Schutz liefert, ohne Hardware oder Administrator zu überlasten. Autor: Artur Kocharyan, Product Manager, Sophos Sophos White Paper November 2009
Sophos White Paper Leistungsstarker Schutz an der äußeren Grenze des Netzwerks – geeignete Konzepte und ihre Umsetzung Leistungsstarker Schutz am Netzwerkperimeter – geeignete Konzepte und ihre Umsetzung Zusammenfassung verbunden. Selbst Großunternehmen, die Da Lightwight-Hardware am Netzwerkperimeter umfangreiche Appliances einsetzen, haben mit immer mehr leisten muss, um ein ideales Maß an Leistungseinbußen zu kämpfen. Schutz und Konnektivität bereitzustellen, ist ein neuer hybrider Ansatz erforderlich, der vereinfachte Ein neues Konzept ist erforderlich, um schnellen, Malware-Erkennungsverfahren mit URL-Filterung akkuraten Bedrohungsschutz bereitzustellen, kombiniert und proaktiven Schutz liefert, ohne der problemlos auf Hardware mit begrenzten Hardware oder Administrator zu überlasten. Speicherressourcen und beschränkter Prozessor- Leistung ausgeführt werden kann und praktisch Solidität und Wirksamkeit kombinieren – der keine lokalen Updates benötigt. Erfolg versprechend Schutzkompromiss ist eine einfache, flexible und doch äußerst Malware ist weltweit immer noch auf dem wirkungsvolle Kombination aus leistungsstarkem Vormarsch. Sobald neue technologische Schutz und minimaler Ressourcenbelastung: Errungenschaften an Beliebtheit gewinnen, werden Tatsächlich die einzig praktikable Lösung, sie auch schon von Cyberkriminellen missbraucht. effizienten und wirksamen Bedrohungsschutz in Da Netzwerke und Arbeitsweisen einer stetigen einer Umgebung bereitzustellen, in der Ressourcen Weiterentwicklung unterworfen sind, um mit den knapp sind und die durch den Durchsatz Vorzügen der neuesten Technologien Schritt zu verursachte Latenzzeit hohe Kosten verursacht. halten, müssen neue Schutzstrategien entwickelt werden, die auch auf längere Sicht ein stabiles Ein Internet voller Bedrohungen – der moderne Angriffsvektor für Malware Schutzniveau gewährleisten. Für einige Zeit galt das Überwachen von Gateways und Links Früher war der vorrangige Vektor für Malware- auf schädlichen Traffic als Standardpraxis. Mit Infektionen die Diskette, denn über dieses steigenden Traffic-Anforderungen und erhöhter Medium wurden Daten von einem Computer zum Komplexität des Netzwerks erwies sich eine nächsten übertragen und Malware folgte zu ihrer Umleitung des Traffics über einen Proxyserver Verbreitung diesem Beispiel. Als die E-Mail sich und ein Filtern mittels traditioneller Hardware als zum allgegenwärtigen Kommunikationsmedium zunehmend kostenintensive und unzureichende entwickelte und wir begannen, Daten per Option. Attachment auszutauschen, anstatt uns greifbarer Datenträger zu bedienen, war auch die Malware Der ideale Punkt zur Erkennung und Entfernung nicht weit und machte infizierte Attachments in von Bedrohungen ist der Netzwerkperimeter selbst, Windeseile zur Übertragungsmethode Nummer aber die Geräte, die sich dort befinden, haben oft 1. Hinzu kamen Würmer, die zu ihrer Verbreitung mit begrenzten Ressourcen zu kämpfen und sind im Gegensatz zu Viren kein Wirtsprogramm ungeeignet für die Ausführung konventioneller mehr benötigten und durch geschickte Social Scan-Techniken, die auf lokalen Datenbanken und Engineering-Techniken Computer in aller Welt spezifischen und generischen Kennungssignaturen überschwemmten. Heutzutage ist die Bedrohung basieren. In modernen Unternehmen mit mehreren über den E-Mail-Vektor rückläufig und beschränkt Standorten sind die einzelnen Niederlassungen sich auf Methoden, mit denen versucht wird, oft über Lightweight-Router oder UTMs (Unified den tatsächlichen Dateityp eines Attachments zu Threat Management) mit begrenzten Ressourcen verschleiern. Denn wachsame Administratoren 1
Sophos White Paper Leistungsstarker Schutz an der äußeren Grenze des Netzwerks – geeignete Konzepte und ihre Umsetzung wissen längst, wie sie ausführbare Attachments werden auch die Tricks, mit denen der gesunde ganz einfach automatisch blockieren können. Die Menschenverstand unbedarfter User ausgeschaltet echte Gefahr heutiger E-Mails lauert in den Links, wird, immer hinterlistiger. Jeder Schwachpunkt die in solchen Nachrichten enthalten sein können der menschlichen Natur, von Habgier über Angst und zu schädlichen Inhalten führen, die irgendwo bis hin zu simpler Neugier, wird ausgenutzt, um in den Weiten des Internets gehostet werden. den User zum Klick auf einen Link zu bewegen, über den dann ein Schadskript ausgeführt wird. Heutzutage spielt sich alles im Internet ab. Wir Nachdem der arglose User dann auch noch sein speichern nicht nur unsere eigenen Daten online Kennwort eingegeben hat, ist den Malware- und tauschen Informationen mit Kollegen und Entwicklern einmal mehr Tür und Tor geöffnet. Kunden über das Internet aus, sondern benötigen Besonders beunruhigend für Unternehmen ist auch Zugriff auf gemeinschaftlich genutzte die Tatsache, dass Malware und die mit ihr Daten, die von Dritten im Internet gepostet einhergehenden Infektionstechniken zunehmend wurden. Dem Internet-Browsing Beschränkungen gezielt entwickelt werden, um speziell ausgewählte aufzuerlegen, ist für die meisten Unternehmen Unternehmen und User anzugreifen und jedoch nicht mehr das geeignete Mittel zur Unternehmensdaten von hohem Wert zu stehlen. Abhilfe, da jeder User, der beim Zugriff auf Zwar sind Schutzmaßnahmen auf Endpoint- erforderliche Daten behindert wird, seine Arbeit Ebene effektiv. Jedoch wünschen sich die meisten nicht mit maximaler Effizienz ausführen kann. Unternehmen maximale Sicherheit bei minimalen Ein simples Überwachen der Gateways an der Auswirkungen auf die Produktivität der Mitarbeiter, Außengrenze der Unternehmensnetzwerke ist auch indem sie den Großteil aller Bedrohungen bereits zum Scheitern verurteilt, da Unternehmen mit am Netzwerkperimeter und an strategischen mehreren Standorten längst die Norm geworden Punkten zwischen Netzwerkknoten filtern. sind und Remote-Mitarbeiter oder Dienstreisende genau wie alle übrigen Unternehmensangehörigen Eine Mauer voller Löcher – der moderne Netzwerkperimeter von Unternehmen Zugriff sowohl auf interne Unternehmensnetzwerke als auch auf das gesamte Internet einfordern. Der Als sich Unternehmensnetzwerke noch in den Netzwerkperimeter hat sich zu einem porösen und Kinderschuhen befanden, war das LAN wie eine kaum mehr greifbaren Gebilde entwickelt. Burg, die sicher von der Außenwelt abgeschirmt war und nur einen Ein- und Ausgang besaß, der Malware ist diesem Trend natürlich gefolgt. bestens geschützt und überwacht werden konnte. Inzwischen wird das Internet förmlich von Heutzutage ist ein solcher Ansatz unmöglich gefährlichen Inhalten überschwemmt. Der geworden, da User auch von außerhalb auf Prozentsatz infizierter Websites, ob speziell zu das Netzwerk zugreifen und sich innerhalb der Infektionszwecken entwickelt oder aber zum Netzwerkgrenzen mit Kollegen unter Verwendung Hosten von Malware missbraucht, steigt stetig. zahlreicher Methoden verbinden möchten. Interne Gleichzeitig werden die Social Engineering-Tricks, E-Mail-Systeme und Datenspeicher müssen für mit denen User zu den Angriffspunkten gelotst externe Mitarbeiter und Dienstreisende nicht nur werden, immer hinterhältiger und nutzen jeden über traditionelle Computer, sondern auch über neuen Kommunikationstrend von E-Mail bis Smartphones, PDAs und viele andere moderne Social Networking, um die User-Community mit Geräte verfügbar sein. Kunden und Partner Spam-Links zu schädlingsbefallenen Websites zu benötigen Zugriff auf Online-Ressourcen. Und locken, sobald das jeweilige Internet-Medium sich zwar nicht nur, um Texte einzusehen, sondern ausreichender Beliebtheit erfreut. auch, um interaktiv Inhalte und Daten zu posten und zahlreiche Formen von Traffic auf Internet- Während bei der Entwicklung von Malware äußerst Server zu übertragen bzw. von diesen abzurufen. geschickte Methoden zum Einsatz kommen, Auch innerhalb des Unternehmensnetzwerks gilt die eine Erkennung verhindern und wertvolle es, verschiedene Knotenpunkte und Standorte Daten von infizierten Systemen ergaunern, nahtlos und transparent miteinander zu verbinden 2
Sophos White Paper Leistungsstarker Schutz an der äußeren Grenze des Netzwerks – geeignete Konzepte und ihre Umsetzung und gleichzeitig ausreichend vor Bedrohungen die sich gegenseitig ergänzen und Sicherheitslücken von außerhalb und innerhalb des Unternehmens stopfen, kann Angriffe zuverlässig abschirmen. zu schützen. In vielen Situationen sind teure, Dies jedoch nur, wenn die einzelnen Ebenen monolithische Appliance-Lösungen außer Stande, sich in perfekter Weise überschneiden, was nur den erforderlichen Schutz bereitzustellen, ohne erreicht werden kann, wenn Geräte an der äußeren die Flexibilität des Unternehmens ernsthaft zu Grenze des Netzwerks einen Großteil der Filterung gefährden. übernehmen. In einem solchen Fall erweist sich der Einsatz Die meisten Lightweight-Geräte am zahlreicher günstiger Lighweight-Geräte am Netzwerkperimeter verfügen jedoch nicht über Netzwerkperimeter und zwischen Netzwerkknoten derartige Ressourcen und Updates stellen eine als ideale Lösung. Firewalls werden bereits oft mit noch schwerer zu bewältigende Hürde dar. Routern kombiniert und Lightweight-UTMs erfüllen Aktualisierungen der Firmware auf einem UTM immer komplexere Anforderungen. Warum also oder einem Router sind ein arbeitsintensives nicht auch Mechanismen zur Malware-Erkennung Unterfangen, das mit zahlreichen manuellen in Lightweight-Geräte am Netzwerkperimter Arbeitsschritten und Risiken verbunden ist. integrieren? Schließlich stellen diese einen idealen Sämtliche solcher Updates können Probleme Punkt für das Herausfiltern von Bedrohungen hervorrufen und ihre Konnektivität negativ aus dem Traffic dar. Einziger Nachteil: Solche beeinflussen. Daher sollten solche Aufgaben im Geräte sind nicht für traditionelle Verfahren zur Gegensatz zu konventionellen Malware-Updates Bedrohungserkennung konzipiert. Denn übliche so selten wie möglich durchgeführt werden. Verfahren zur Malware-Erkennung benötigen viel Zwar müssen Engine-Updates weit seltener Prozessorleistung und Arbeitsspeicher und bedürfen einspielt werden als Erkennungsupdates, die zudem einer regelmäßigen Aktualisierung, um meist stündlich oder gar häufiger bereitstehen. zuverlässig vor neuen Bedrohungen schützen zu Um eine zuverlässige Erkennung neuester können. Sicherungsmaßnahmen auf Desktop- Bedrohungsgenerationen zu gewährleisten, sind Ebene dienen als letzte Schutzinstanz, welche dank monatliche Aktualisierungen des Funktionsumfangs einer Kombination aus modernem, wirksamem der Engine jedoch unerlässlich. Ein solcher Zeitplan Scanning und leistungsstarker Hardware mit sprengt den Rahmen für Updates Firmware- minimalem Einfluss operiert. Diese letzte Instanz basierter Geräte. sollte jedoch durch zusätzliche Schutzebenen von potenziellen Angriffen abgeschirmt werden, um Auf den ersten Blick scheinen die Anforderungen User vor dem Einfluss von Malware zu bewahren, an diese Geräte schier unrealistisch: Schneller sie nicht unnötig mit Erkennungsmeldungen zu Durchsatz hoher Datenvolumen auf unregelmäßig belästigen sowie ihre Systeme und ihre Arbeitszeit aktualisierter und bescheiden ausgestatteter sowohl sicher als auch effizient und wirtschaftlich Hardware. Eine unlösbare Aufgabe für zu gestalten. Viele moderne Geräte fungieren konventionelle Anti-Malware-Lösungen. bereits als Computer-Ersatz im Kompaktformat. Kleiner Unterschied: Solche Mobile Devices Kompromiss und Vermeidung – wie das UTM- Problem angegangen wurde verfügen über weit weniger Ressourcen als übliche Computer und benötigen daher Schutz, der den Zahlreiche Lösungen, die Anti-Malware-Schutz begrenzten Arbeitsspeicher und die eingeschränkte in Lightweight-Geräte am Netzwerkperimeter Prozessorleistung nicht überlastet: Eine zusätzliche integrieren, wurden bereits mit unterschiedlichem Herausforderung bei der Gestaltung moderner Erfolg erprobt und implementiert. Wie sich Schutzlösungen und klarer Beweis dafür, dass herausstellte, haben vor allem die einfachsten und traditionelle IT Security-Konzepte überdacht und naheliegendsten Lösungen mit vorhersehbaren an moderne Anforderungen angepasst werden Schwächen zu kämpfen. Zunächst wurde versucht, sollten. Eine Kombination aus leistungsstarkem ein Scanning am Netzwerkperimeter vollständig Endpoint-Schutz und zusätzlichen Schutzebenen, zu umgehen, indem der Traffic vom Lightweight- 3
Sophos White Paper Leistungsstarker Schutz an der äußeren Grenze des Netzwerks – geeignete Konzepte und ihre Umsetzung Gerät an einen Proxyserver umgeleitet und in Die komplette Lösung – ein hybrider Ansatz einem konventionellen Scanner-System eines Wägt man die Vor- und Nachteile der bisher zweiten Computers geprüft wurde. Ein solches beschriebenen Konzepte gegeneinander ab, stellt Vorgehen kann beste Erkennungsraten verzeichnen sich schnell heraus, über welche Eigenschaften und ermöglicht einen ungehinderten Zugriff auf eine ideale Lösung verfügen sollte: erforderliche Ressourcen wie etwa regelmäßige »» Um die Wirtschaftlichkeit und Effizienz der Updates. Kehrseite der Medaille sind hohe Lösung zu gewährleisten, sollte das Filtern auf Betriebs- und Hardwarekosten sowie eine im Malware auf dem Lightweight-Gerät stattfinden. Die Proxy-Methode scheidet daher aus. Vergleich zu den Durchsatzraten von Lightweight- Geräten eher enttäuschende Latenz. »» Um den erforderlichen Durchsatz aufrecht zu erhalten, muss die Scanning Engine Andere Implementierungen setzen auf eine einfach gestaltet sein und mit begrenzten Standard-Datei-Scanning Engine mit abgespeckten Arbeitsspeicher- und CPU-Ressourcen große Erkennungsdefinitionen, welche akzeptable Datenvolumen verarbeiten können. Durchsatzraten verzeichnen kann und die Update-Anforderungen entscheidend einschränkt. »» Um den Arbeitsspeicher-Footprint auf niedrigem So werden allerdings nur die verbreitetesten Niveau zu halten, sollten Erkennungsdaten nicht Bedrohungen aufgespürt. Etwas erfolgreicher ist der im größeren Umfang auf dem Gerät gespeichert Einsatz einer vereinfachten Engine, die Lightweight- werden. Gleichzeitig ist es unerlässlich, Geräte passierende Datenströme mit angemessener Funktionsupdates der Engine remote und Geschwindigkeit verarbeitet und auf regulären ohne Zeitverzögerung vorzunehmen, um Ausdrücken basierende Erkennungsmethoden Aktualisierungen der Firmware zu vermeiden und die fest programmierten, in die Geräte- zur Identifizierung bekannter Bedrohungstypen Firmware integrierten Komponenten in ihrem verwendet. Bei einigen Varianten konnten sogar auf Zustand zu belassen. dem Gerät selbst Updates vorgenommen werden. Dennoch ist dieser Ansatz nicht der Weisheit letzter »» Komplexe Remote-Abfragen für einzelne Schluss, da auch die ausgefeiltesten Systeme Dateien sollten vermieden werden, um Latenz nur einen Bruchteil des Schutzes bieten, der von und Traffic auf möglichst niedrigem Niveau zu traditionellen Signatur-Scannern geleistet wird. halten. Hierfür ist die Anwendung eines zweiten Denn der proaktive Schutz vor neuen Bedrohungen Erkennungsmechanismus erforderlich, der eine ist unzureichend, Ressourcen werden über alle Filterung auf URI-Basis im Gegensatz zu der Maßen belastet und für Updates ist ein physischer sonst üblichen Dateifilterung vorsieht. Zugriff erforderlich. Ein hochentwickeltes System zur Internet- Überwachung, das infizierte Websites katalogisiert, Eine weitere Option ist die Verwendung von kann einem Bedrohungslabor ferner als Grundlage Online-Ressourcen. In diesem Fall bedient für die Entwicklung einer umfangreichen Datenbank sich das Scanning-System Erkennungs- und bekanntermaßen schädlicher URIs dienen, damit Bedrohungsdaten, die im Internet gespeichert neue Malware-Ausbrüche unmittelbar erkannt werden. Einige dieser webbasierten Systeme werden und eine schnellst mögliche Reaktion auf beanspruchen viel Traffic-Volumen, da sie diese gewährt werden kann. Diese Datenbank detaillierte Datei- und Erkennungsinformationen sollte ohne Zeitverzögerung vom Erkennungssystem hin- und zurückübertragen. Dies kann sich des Lightweight-Geräts abgefragt werden können, verheerend auf die Latenz auswirken, besonders, da dieses den passierenden HTTP-Datentraffic wenn viele Dateien das Gerät passieren und Daten verarbeitet. außerhalb des Systems abgefragt werden müssen. Auch ein Konzept, bei dem Informationen zu jeder Datei einzeln abgerufen werden, erweist sich als wenig hilfreich, da so das Traffic-Volumen extrem erhöht, der Durchsatz des Gerätes gemindert und die Privatsphäre einzelner sowie die Vertraulichkeit von Daten aufs Spiel gesetzt wird. 4
Sophos White Paper Leistungsstarker Schutz an der äußeren Grenze des Netzwerks – geeignete Konzepte und ihre Umsetzung Nur so kann eine Blockierung schädlicher ausgedehnt werden – sogar auf Mobilgeräte Websites in Echtzeit gewährleistet werden. Ein wie Smartphones, deren Verbindungskosten in Filtern der Malware-Quelle spart im Gegensatz jüngster Vergangenheit in den Keller gefallen sind. zur Identifizierung schädlicher Dateien Zeit und In Kombination erreichen diese beiden Ebenen Mühen. Denn Verschleierungstechniken, wie sie Schutz, der in Gründlichkeit und Präzision einige Cyberkriminelle einsetzen (z.B. Server- zu 95% mit der üblicherweise Ressourcen- seitiger Polymorphismus), um Dateien regelmäßig vergeudenden Einzeldatei-Überprüfung vergleichbar zu modifizieren und so einer Erkennung durch ist und in vielen Fällen bessere Erkennungsraten Malware-Scanner zu entgehen, werden in diesem verzeichnet als Techniken zum Datei-Scanning, da Fall komplett umgangen. Da schädlicher Code Problemfelder wie Server-seitiger Polymorphismus zunehmend über das Internet verbreitet wird und bereits im Vorfeld vermieden werden. Auch die Code und Skripts über infizierte oder missbrauchte Reaktionszeiten auf neue Angriffe sind äußerst Webseiten in Netzwerke gelangen, fließt durch schnell, Ressourcen werden minimal beansprucht Gateway-Geräte vor allem HTTP-Traffic. Wie seine und physische Updates der Firmware drastisch Leistung in umfangreichen Appliances beweist, reduziert. Ein hybrides Konzept kommt all diesen deckt dieser Ansatz jedoch nur einen Bruchteil Anforderungen nach. Es wird den begrenzten aller übertragenen Daten ab und reduziert somit Ressourcen von Lightweight-Umgebungen gerecht, die Belastung anderer, in dieser Infrastruktur ohne Kompromisse beim Schutz einzugehen. eingebetteter Erkennungsverfahren. Parallel zu diesem System wird eine Datei-Abfrage im Internet für Dateien von nicht klassifizierten Websites und für Protokolle ohne URI-Daten durchgeführt. Diese hat dank der bereits erfolgten URI-Filterung minimalsten Einfluss auf Ressourcen und Performance. Da es sich bei den meisten über HTTP-fremde Protokolle übertragenen Malware- Samples um simple statische Dateien handelt, können diese mittels einfacher Prüfsummen identifiziert werden. Ein Zusammentragen und Gegenprüfen komplexer Dateiinformationen im Internet wird somit überflüssig. Diese beiden sich überschneidenden Schutzebenen können mittels bestehender Universal-Technologien realisiert werden – mit dem DNS-Abfragesystem für das Internet, welches Ergebnisse von Internet-Abfragen unmittelbar bereitstellt. Die nachgeordneten Datenbanken können eingehende Abfrageergebnisse außerdem auf Trends und Muster hin überwachen und die gesammelten Daten effektiv zur Verbesserung der Echtzeit- Reaktion auf neue Ausbrüche nutzen. Der gelieferte Schutz ergänzt das dateibasierte Konzept, welches auf leistungsstarken Desktop-Lösungen zum Einsatz kommt, und kann auf zahlreiche weitere Geräte mit begrenzten Ressourcen und hohem Durchsatz 5
Sophos White Paper Leistungsstarker Schutz an der äußeren Grenze des Netzwerks – geeignete Konzepte und ihre Umsetzung Boston, USA | Oxford, UK © Copyright 2009 Sophos GmbH Alle Rechte vorbehalten. Alle hier aufgeführten Marken sind Eigentum der jeweiligen Inhaber. Kein Teil dieser Publikation darf ohne schriftliche Genehmigung des Copyright-Inhabers in jeglicher Form vervielfältigt, gespeichert oder übertragen werden.
Sie können auch lesen