Content Security - die wichtigsten Bestandteile
Hochsicherheitstrakt am Gateway
Immer neue Varianten von Viren, Würmern, Exploits und anderem Malicious Code kompromittieren vertrauliche Informationen, beeinträchtigen Ressourcen und stören Geschäftsprozesse. Nur gut abgestimmte Schutzmaßnahmen versprechen wirklich Abhilfe.
Gefahren auf der Präsentations- und Anwendungsebene sind nicht nur potenzielle Auslöser von
finanziellen Schäden, sondern können auch juristische Probleme verursachen, wenn bei einem Vorfall
herauskommt, dass ein Unternehmen als Anwender nicht für ausreichende Sicherheit gesorgt hat. Als
Antwort auf diese Probleme werden für die verschiedensten Bereiche die unterschiedlichsten
Sicherheits-Tools implementiert. Die steigende Komplexität führt wiederum zu steigenden Kosten für
Training und Administration. Zudem wird die Netzwerk-Performance beeinträchtigt, wenn die
Security-Tools nicht aufeinander abgestimmt sind. Wer solche Schwachstellen in seiner Infrastruktur
vermeiden möchte, sollte sich umfassend mit den wichtigsten Komponenten im Bereich Content Security
und deren Wirkung auseinandersetzen und diese genau aufeinander abstimmen.
Komplexere Bedrohung fordert umfassende Abwehrstrategie
Da die Bedrohung der Systeme komplexer geworden ist, lässt sich ein effizienter Schutz nicht
mehr nur auf den Aufbau mehr oder weniger sicherer, reaktiver Filtersysteme reduzieren.
Erforderlich sind heute umfassende, proaktiv arbeitende Lösungen, die das gesamte Spektrum
möglicher Bedrohungen abdecken. Der Markt für Content Security bietet eine Vielzahl an Produkten
für spezielle Aufgaben. Das Angebot an Komplettlösungen ist schon überschaubarer. Doch was sollte
eine umfassende Content-Security-Infrastruktur (die auf dem Vorhandensein einer Firewall aufbaut)
bereitstellen, und welche Technologien verbergen sich dahinter?
Gateway-Lösungen halten die Gefahren draußen
Sinnvoll ist der Einsatz einer für den Einsatz am Netzwerk-Gateway konzipierten Lösung, da hier
alle Gefahren an der äußeren Grenze des Firmennetzes abgewehrt werden können. Die Lösung sollte
nicht nur aus dem Internet heruntergeladene Dateien, sondern auch Malicious Code, Skripts, Exploits
und sonstige verdächtige Inhalte analysieren. Dadurch wird das Risiko beträchtlich reduziert, sich
Malware über das Web-Browsen einzufangen – eine der größten Schwachstellen in heutigen
Unternehmensnetzwerken. Ein vollständiges mehrschichtiges Schutzkonzept besteht im Idealfall aus
proaktivem und signaturbasiertem Virenschutz, Exploit- und Hacker-Schutz, Überprüfungsmechanismen
für E-Mails, Web-/URL-Filtering, Application-Filtering, Spam-Management und Spyware-Abwehr.
Virenschutz signaturbasiert und proaktiv
Eine der Basis-Komponenten jeder Content-Security-Lösung ist die Virenabwehr. Die auf ständig
aktualisierten Signaturen basierende Virenabwehr bietet Schutz vor allen bekannten Virentypen und
deren Varianten. Diese herkömmlichen Virenfilter sind vielfach im Einsatz, in der Regel als
Standalone-Produkte für Gateways oder für Desktops, in letzterer Variante vor allem bei
Privatanwendern. Unternehmen, die sich nur auf diesen Basisschutz verlassen, riskieren aber, dass
ihre Systeme von neuen, unbekannten Bedrohungen heimgesucht werden. Diese noch nicht erfassten
schädlichen Programmcodes werden auch als "Zero-Hour"-Angriffe bezeichnet, weil in der Regel keine
Zeit mehr bleibt, einzugreifen. Bis ein Virus erkannt und seine Signatur entschlüsselt wurde,
stellen neue Ausbrüche eine akute Sicherheitsbedrohung dar. Ein noch größeres Risiko sind gezielte,
einmalige Angriffe. Reaktive Virenschutzprogramme können derartige Gefahren nicht erkennen und
daher nicht abwehren. Aus diesem Grund ist neben der Signaturtechnik eine proaktive Komponente zur
Abwehr noch unbekannter Gefahren erforderlich.
Diese Komponente reduziert das Risiko, indem neuer Malicious Code anhand von verhaltensbasierten
Methoden am Gateway erkannt und abgeblockt wird. Damit in den heutigen leistungsfähigen
Netzwerkinfrastrukturen die Performance der produktiven Umgebung nicht beeinträchtigt wird, müssen
die Abwehrtechnologien möglichst effizient eingesetzt werden. Vorteilhaft ist dabei, wenn Inhalte
vor der Prüfung nicht erst im Cache gespeichert werden müssen und die Prüfung sofort erfolgt,
sodass die Systemleistung nicht ausgebremst wird. Die proaktiven Abwehrtechnologien sollten unter
anderem den Schutz vor verschlüsselten, verborgenen sowie polymorphen Viren und ferngesteuerbaren
Spionage-Trojanern umfassen. Ebenfalls proaktiv blockiert werden sollten als bösartig rubrizierte
Skripts in E-Mails und auf Webseiten. Mit heuristischer Erkennung können auch unbekannte
Microsoft-Office-Makroviren und verdächtige eingebettete Objekte identifiziert werden.
Schutz vor den unterschätzten Gefahren aus dem Internet
Fälschlicherweise wird allgemein davon ausgegangen, dass die Bedrohung beim Surfen im Netz in
erster Linie von Viren ausgeht. Tatsache ist jedoch, dass ein Virenbefall eher selten ist, falls
nicht gerade Seiten mit Virusarchiven aufgesucht oder Viren manuell heruntergeladen werden. Eine
unterschätzte Bedrohung aus dem Internet stellen dagegen bösartige aktive Codes und Exploits dar,
die im HTTP-Protokoll und HTML-Inhalt eingebettet sind. Diese versuchen, sich automatisch auf dem
Benutzerrechner zu installieren oder zu starten. Neben der Erkennung aller standardmäßigen Viren
und URL-Filtering sind daher weitere Maßnahmen erforderlich. Hierzu zählen unter anderem das
Entfernen bösartiger und als unsicher eingestufter Skripte, das Blockieren aller Skriptviren und
Exploits sowie bekannter HTML- und HTTP-Exploits. Nützlich ist auch die Option, Activex-Tags, Java
Applets und Cookies automatisch entfernen zu lassen oder HTML-Seiten mit vordefinierten
Schlüsselwörtern generell zu blockieren.
Angriffe auf Sicherheitslücken, die mithilfe von E-Mails oder Inhalten von Webseiten erfolgen,
müssen proaktiv abgewehrt werden. Diese Schutzfunktion umfasst das Scannen des HTTP-Protokolls und
die Erkennnung von Exploits, die HTML-Überprüfung hinsichtlich bösartiger Skripts und Exploits
sowie die E-Mail-Standardisierung zur Verhinderung von Exploits.
Der E-Mail-Verkehr muss zudem durch die Überprüfung von Text und Dateianhängen geschützt werden.
Ebenso wichtig ist eine Web-/URL-Filterung basierend auf Kategorien, Inhalten und Dateitypen.
Abgerundet wird eine umfassende Lösung durch einen Applikationsfilter, der in allen Rohdaten, die
das Gateway passieren, gezielt auch nach Instant-Messenger-Datenströmen, Peer-to-Peer-Filesharing
und unautorisierten HTTP-Tunneling-Aktivitäten sucht, die die auf der Firewall definierten
Richtlinien des Unternehmens zu umgehen versuchen.
Die beschriebene Echtzeitfilterung auf die unterschiedlichen Spielarten des Malicious Internet
Content hin ähnelt in der Funktionsweise der eines aktiven Intrusion-Detection-Sytems (IDS):
Jeglicher Inhalt, der das Netz und die Applikationen des Unternehmens erreicht, wird überprüft, für
den Endanwender bleibt der Vorgang aber transparent.
Spam-Abwehr
Eine wesentliche Anforderung an eine zeitgemäße Content-Security-Lösung ist die wirksame
Entschärfung der Spam-Problematik. Unerwünschte Massen-E-Mails müssen herausgefiltert werden, was
sehr viel Zeit und damit Geld gegenüber dem aufwändigen manuellen Aussortieren spart. Zur
Bekämpfung von Spam gibt es bereits verschiedene Lösungsansätze. Allerdings ist keiner darunter,
der Spam-Mails vollständig beseitigen kann, ohne gleichzeitig auch erwünschte E-Mails abzublocken.
Mit einer Kombination aus verschiedenen Techniken kann das Spam-Volumen jedoch auf ein absolutes
Minimum reduziert werden, ohne legitime E-Mails in Mitleidenschaft zu ziehen – die so genannte
False-Positive-Rate sollte idealerweise nicht höher als 0,5 Prozent liegen.
Zur Identifikation und Blockierung von Spam stehen heute mehrere Methoden zur Verfügung.
IP-Adressen können etwa mit verschiedenen offiziellen "schwarzen Listen" abgeglichen werden, um
sicher zu gehen, dass der versendende Server nicht als Open-Mail-Relay vermerkt ist, über den
Spammer ihre Massen-E-Mails versenden. Zusätzlich gibt es die Möglichkeit, eigene Black Lists sowie
White Lists zu konfigurieren und damit gewisse Absender dediziert abzuwehren oder durchzulassen. So
genannte Anti-Spoofing-Features wehren alle mit gefälschten unternehmensinternen Absenderadressen
getarnten externen E-Mails ab. Eine weitere Anti-Spam-Funktion ist die Header-Analyse. Hierbei
handelt es sich um die Überprüfung des SMTP-Headers der eingehenden E-Mail anhand von festgelegten
Standards. Das Anti-Bombing-Verfahren reguliert den E-Mail-Fluss, um einer Überlastung durch
Denial-of-Service-(DoS-) Attacken vorzubeugen, die zu einer gravierenden Verlangsamung von
E-Mail-Servern bis hin zu Systemausfällen führen kann. Mithilfe von Directory Harvest Attacks (DHA,
auch Verzeichnisattacken) versuchen Spammer an gültige E-Mail-Adressen zu gelangen. Leistungsfähige
Anti-Spam-Lösungen erkennen diese Attacken an der Vielzahl der gleichzeitigen unternehmensinternen "
Empfänger" und blocken sie ab. Viele Spam-Mails zeichnen sich durch ähnlichen Text in der
Betreffzeile aus. Anti-Spam-Lösungen arbeiten deshalb zumeist auch mit aktualisierbaren
Schlüsselwortlisten. Spam-Mails können polymorpher Natur sein, was bedeutet, dass sie ab und zu
geringfügig abgeändert werden. Ein gut funktionierendes Hash-Signatursystem macht es möglich, auch
Variationen in Spam-Mustern zu erkennen. Die lexikalische und statistische Textanalyse verwendet
vordefinierte Regeln, um Textinhalte in E-Mails zu durchleuchten, als Spam zu erkennen und
einzustufen. Fortschrittliche Lösungen sind in der Lage, Spam über Links auf Bilder zu erkennen.
Dabei greifen Web-Crawler auf den Server zu, auf dem sich die Bilder befinden, und analysieren sie
mithilfe von Algorithmen nach bestimmten Mustern. Häufig versuchen Spammer auch, ihre Aussagen in
Grafiken zu verpacken. Mithilfe der OCR-Technologie (Optical Character Recognition) können Texte in
Grafiken erkannt werden.
Nahezu alle Spam-Mails enthalten außerdem einen Link zu einer bestimmten URL. Durch einen
Abgleich all dieser URL-Links mit einer Datenbank der bereits bekannten klassifizierten URLs können
meist erstaunlich genaue Ergebnisse erzielt werden. Diese Methode haben bisher allerdings nur
wenige Hersteller in ihre Anti-Spam-Lösungen integriert. Anti-Relay-Systeme, eine weitere
Anti-Spam-Funktion, schützen Mail-Server davor, von Spammern zum Verteilen unerwünschter E-Mails
missbraucht zu werden.
Ein wirksamer Schutz vor Spam sollte sich also aus einer Vielzahl unterschiedlicher Techniken
zusammensetzen. Dies gilt auch deshalb, weil die Spammer mit ständig neuen Kombinationen ihrer
Tricks versuchen, ihnen bekannte Verfahren der Gegenwehr zu umgehen.
Schutz vor Spyware
Während die Dringlichkeit der Spam-Abwehr zumeist offensichtlich ist, läuft mit Spyware eine
andere Bedrohung oft unbemerkt im Hintergrund ab und gibt unauffällig Informationen an Dritte
weiter. Aufgabe einer Content-Security-Lösung ist es, auf Spyware-Befall hindeutende
Kommunikationsprozesse zu unterbrechen, bevor sie die Arbeitsplatzrechner erreichen. Lösungen mit
Reporting-Funktion erleichtern den Systemadministratoren die genaue Ermittlung infizierter Rechner,
damit diese mit den entsprechenden Tools wieder von Spyware befreit werden können.
Eine wirksame Spyware-Abwehr muss auf mehreren Ebenen aktiv sein und Spyware erkennen: Im Falle
von Installationen, die der Anwender weder bewusst veranlasst noch bemerkt hat, bei Downloads,
anhand der Signatur oder bei Spyware-Kommunikation. Spyware-Exploits, die sich automatisch
herunterladen, müssen proaktiv bereits in der ersten Sicherheitsebene blockiert werden. Spyware
lässt sich darüber hinaus oft auch anhand der Activex-Objektkennung und anderer Parameter
identifizieren.
Die signaturbasierte und proaktive heuristische Analyse kommt zum Einsatz, nachdem Spyware
heruntergeladen wurde, und bevor sie den anfragenden Client erreicht. Sie wirkt auch gegen
Spyware-Würmer, die per E-Mail auf den Rechner gelangen oder über Web- und FTP-Seiten herunter
geladen wurden. Das Verhindern jeglicher Kommunikation zwischen der Spyware-Komponente, die sich
auf dem Desktop eingenistet hat, und dem Remote-Server der Spyware macht das Spionageprogramm
zumindest wirkungslos und gibt dem Administrator mehr Zeit, die unerwünschte Software zu
entfernen.
Viele Köche verderben den Brei
Eine umfassende E-Mail-Sicherheitslösung muss in der Lage sein, alle heute denkbaren
Angriffsszenarien abzuwehren. Da der administrative Aufwand für Sicherheitsmaßnahmen stetig
zunimmt, sind Lösungen gefragt, die das IT-Personal bei Routinetätigkeiten entlasten und
zuverlässigen Schutz bieten. Gleichzeitig gilt es, die für den Geschäftsbetrieb notwendige
Performance der E-Mail-Kommunikation aufrechtzuerhalten und die Produktivität der Benutzer
sicherzustellen. Entscheidend ist, dass Gefahren erkannt und abgewehrt werden, bevor sie Schaden
anrichten können. Dies ist nur mit Lösungen möglich, die neben reaktiven Standardtechniken
verstärkt proaktive Methoden einsetzen, um sämtliche Gefahren abzuwehren, die sich durch
E-Mail-Kommunikation und Internetnutzung ergeben. Integrierte Lösungen haben den Vorteil, dass alle
Sicherheitskomponenten optimal aufeinander abgestimmt und sämtliche Bedrohungsarten abgedeckt sind.
Die gleiche Schutzwirkung lässt sich mit einem Paket von Einzelprodukten nur bei deutlich höherem
Administrationsaufwand bewerkstelligen. So unverzichtbar Schutzmaßnahmen heute sind, entscheidend
ist für Unternehmen letztlich auch, dass sie im Hintergrund ablaufen und den Geschäftsbetrieb nicht
stören. Vorbildliche Lösungen zeichnen sich durch minimale Auswirkungen auf die Performance bei
gleichzeitig hoher Effektivität aus. Die Benutzer sollen sich bei der täglichen Arbeit mit den
modernen Kommunikationsmedien nicht eingeschränkt fühlen, aber das Unternehmen darf auch keine
Sicherheitsrisiken eingehen.
Lesen Sie mehr zum Thema
