[] Next generation gateway technology Ken Willén Partner Account Manager 1
Symantec Enterprise Solutions SECURITY INFRASTRUCTURE OPERATIONS INFO RISK & COMPLIANCE STORAGE BUSINESS CONTINUITY Security Management Server Management IT Compliance Storage Management Disaster Recovery Endpoint Security Messaging Security Application Security Client Management IT Service Delivery e Server Virtualization Endpoint Virtualization Discovery & Retention Management Data Loss Prevention Messaging Management Archiving Data Protection High Availability Technology Days2010
Agenda 1 Truslen fra webben 2 Symantecs bud på en løsning 3 Implementering 4 Demo 5 Opsummering 3
Truslen fra webben 4
OstermanResearch Notes 5
Kompromitteringen 1. Hacker kompromitterer en web-server 3. Brugeren bliver omdirigeret til ondsindet web- server 2. 5. Intetanende Brugerens maskine bruger er besøger nu også kompromitteret web-server 4. Ondsindet webserver undnytter en sårbarhed på brugerens pc
Udnyttelsen Kompromitteret computer Undergrundsøkonomien Netbank E-handel Gaming virtuelle værdier Mail adresser Kreditkort information etc.
Gearingen Phishing sites Botnets Undergrundsøkonomien
Symantecs bud på en løsning 9
Udviklingen i web sikkerhedsløsninger Ptt Pattern Matching Bidirectional Correlated Events Connection Based Protection ti First Generation URL Filtering IP Reputation Second Generation Inbound Anti Virus Scanning Application Control Third Generation Infected Client Detection Behavioral Analysis 10
Symantec Web Gateway C&C Client Server Malicious Webserver Truslen udefra bad.pdf Malw ware Dom mains & IP Ps ering URL Filt ing are Conte ent Scann Ap pplication Control t Detectio on Botnet De etection Truslen indefra GET http://www.legitimate.com/bad.pdf http://www.malware.com p Malw Infec cted Clien GET http://www.naughty.com Client C&C Drop Server Box Inspects packets, IPs, URLs, files, active content, applications, behaviour 11
Implementering 12
Implementeringsoptioner Port Span/Tap (Monitorering og delvis blokering) Inline (Monitorering og Blokering) Symantec Web Gateway 13
Appliance optioner SWG 8450 SWG 8490 DllPl Dell Platform R200 R710 Approx Concurrent Users 1,000 10,000 Approx Throughput Inline 100Mbps 1Gbps Physical Requirements 1u 2u WAN/LAN Pairs 1 2 Dedicated MGMT/Monitor Yes Yes Redundant Power No Yes Redundant Disk RAID 0 RAID 5 14
On site vs. hosted On-Site Hosted Hybrid CAPEX budgetering Sikrer mod truslen indefra Lokal kontrol OPEX budgetering Vedligeholdelse håndteres af service provider Industriledende SLA Optimeret brug af egne resourcer Optimering af omkostninger Sikring af mobile brugere 15
Demo 16
Demo Kort video Logon efter 20 sek. Lav en ny politik efter 1 min. 25 sek. IM blok efter 4 min og 30 sek. IM er blokkeret efter 6 min og 20 sek. Download af Eicar efter 7 min Download af OK fil 8 min. 15 sek. Dashboard 8 min. 40 sek. Login til SWG demo boks Password til demo
Opsummering 18
Incident response Spørgsmål Symantec Web Gateway kan give svar på: Er der maskiner på netværket IT ikke har kendskab til? Er der maskiner på netværket der ikke har AV installeret? Bliver der downloadet malware? Er der maskiner på netværkter der benytter uautoriserede programmer? Er der malware inficerede maskiner på netværket? Er der bot inficerede maskiner på netværket? 19
Version 5.0 Allerede i beta forventet release i slutningen af 2010 Integration Symantec Reputation 20
Integration Symantec Reputation Bad Files Neither technique works well for the tens of millions of files with low prevalence Good Files Prevale ence Blacklisting works well here Reputation is the answer here Whitelisting works well here 21
Version 5.0 Allerede i beta forventet release i slutningen af 2010 Integration Symantec Reputation Proxy implementering Kontrol af SSL traffic Proxy og NTLMv2 bruger autorisation DLP integration Support for VMware ESX/ESXi v4 22
Opsummering Fuld 6 lags beskyttelse: URL filtrering Malware sites filtrering AV skanning af downloads Kontrol af brugen af programmer Detektering af inficerede maskiner Detektering af bots Godt overblik Kan integreres med AD (politiker og rapporter) Fleksible politiker Fleksible rapporter Fleksibelt implementering: On site, hosted eller hybrid Span, In line og snart også proxy Fysisk appliance og snart også virtuel appliance
Sponsors 24
Tak! Ken Willén Ken_willen@symantec.com 25
Infections by Spyware Name 26
Client Applications 27
Web Destinations 28
Sample Infection Report 29
Example Botnet Report 30
Checker brugenafprogrammer Inspicerer al internet trafik for populære web applikationer Signatur baseret Uafhængige af porte Understøtter over 100programmer og protokoller IM, P2P, DB Apps, Remote Access, VoIP, etc. Filoverførselsprotokoller, e mail protokoller, netværksprotokoller, etc. Monitorerer / kontrolerer brugen af programmer Blokerer / monitorer / tillader programkategorier g (IM, P2P, etc.) Blokerer / monitorer / tillader bestemte programmer (Yahoo, MSN, etc.) IM Sikkerhed Antivirus scanning af filoverførsler Kan tillade Chat, men forhindre filoverførsel 31
Identifikation af inficerede klienter Malware Infektion Installeret software (ofte uden brugerens tilladelse) Har en Call Home komponent Kan variere i risiko Call Home komponenten sender typisk i et bestemt mønster Symantec skaber et fingeraftryk af disse mønstre så SWG kan genkende og blokere for Call Home funktionen 32
Identifikation af bot netværk Inspicerer al ind og udgående internettrafik Registrerer mønstre af typiske Bot trafik Command & Control Communications IP skanning Spamming Korrelerer forskellige adfærdsmønstre til at vurdere en aktiv Bot Et enkelt adfærdsmønter er mistænkeligt", men kan være falsk positiv, så detregistreres, menblokeres ikke Aktive Bots blokeres Hvilende Bots markeres som "Inaktiv" 33
Brugernenarrestilat narres at besøge sårbare web sider Spam og phishing angreb målrettes den financielle sektor 78% af observerede phishing URLer er målrette financielle brands 34
Brugernesdevice bliverherefter angrebet I mange tilfælde bliver selve angrebet udført fra en anden web server end den som brugeren besøger De mest udbredte angreb er både målrettet sårbarheder i selve web browseren ogbrowser plug ins samtsårbarheder sårbarheder i andre klient applikationer 35
Multiple Layers of Malware Protection 3 Layers of Malware Internet destination protection Malware web domains (http) Malware IP domains (anything over IP) Content Filter Malware categories (Malware, Phishing, etc.) 1 Layer of Malware Content Scanning Malware Scan Symantec award winning AntiVirus Engine 2 Layers Detection of Compromised endpoints (Symantec Proprietary) Network Fingerprinting Active malware infections Behavioral Modeling Bot detection 36
Slides for 20 min Demo for 15 min Alternative uses for Web Gw 5 min Summing up 2 min 37