Announcement

Collapse
No announcement yet.

Content Analysis System 2.1 (CAS 2.1) erschienen

Collapse
X
  • Filter
  • Time
  • Show
Clear All
new posts

  • Content Analysis System 2.1 (CAS 2.1) erschienen


    Network Security + Endpoint Security = Schutz von Anfang bis Ende


    Bisher sind Sicherheitslösungen einzelne Inseln, die kaum miteinander kommunizieren und Sicherheitsexperten sind gezwungen, ein breites Feld verschiedenster Hard & Software zu nutzen

    Dies findet nun ein Ende.

    Der Zusammenschluss von Symantec und Blue Coat kombiniert zwei etablierte Security Pioniere mit tiefgründigem Wissen über eine Vielzahl von technologischen Kategorien.

    Analysten sagen, dass dadurch die Art, wie Unternehmen IT-Security verwenden, grundlegend verändert wird. Ein Beispiel ist die Verbindung von Blue Coat Netzwerksicherheit und Symantec Endpoint Protection. Durch offene APIs können beide Lösungen miteinander Daten austauschen, Aktionen anstoßen und damit Gefahren auf bisher noch nicht dagewesene Weise entdecken, blockieren und entfernen.

    Eine große Neuerung in diesem Bundle stellt das Content Analysis System 2.1 (kurz CAS 2.1) dar.

    Sollte von einem in dem CAS eingebauten Dual Virenscanner oder der integrierten Sandbox, Malware Analysis (kurz MA) eine Gefahr erkannt werden, so wird das CAS Ihren Symantec Endpoint Protection Manager (kurz SEPM) darüber informieren. Daraufhin löscht der Manager die Gefahrenquelle von Ihren Endpunkten und der Proxy blockiert die Gefahr via intelligentem Blacklisting.



    Produkte und Services zum Schutz des Webgateways


    Symantec Blue Coat Proxy SG: Ein Web Security Gateway, das kompletten Schutz über den Web Traffic bietet.

    Symantec Content Analysis: Dieses flexible System ermöglicht das Scannen von Viren und Malware in Echtzeit mit bis zu zwei Antivirus Engines, sowie der Möglichkeit, für Daten White- und Blacklisting zu nutzen. Es dient als Vermittler zwischen Symantec und Third-Party Sandbox Engines.

    Symantec Malware Analysis: Diese stark anpassbare Malware Analyse kombiniert eine virtuelle Umgebung und die Emulation eines frisch aufgesetzten Betriebssystems, um unbekannte Malware und Zero Day Threats in einer Umgebung, die ein System in Ihrem Netzwerk simuliert, zu analysieren.

    Symantec Global Intelligence Network (kurz GIN): Gin korreliert die Daten von 175 Millionen Endpoints und 50 Millionen Nutzern einer globalen Community, die täglich bis zu 8 Milliarden Sicherheitsanfragen bearbeitet. Zudem kommen noch 1000 Cyber Warriors an 9 Standorten weltweit dazu, um immer ein wachsames Auge auf Gefahren zu haben. Click image for larger version  Name:	CAS_Bild.jpg Views:	1 Size:	87.0 KB ID:	35581










    Zusammenfassung: Nutzen und Vorteile


    In der folgenden Tabelle fassen wir für Sie kurz die Vorteile für Ihr Business zusammen.
    Nutzen Vorteil
    Skalierbare und effektive Verteidigung gegen gezielte, anhaltende und zero-Day Attacken In nahezu Echtzeit sammelt die Symantec Threat Intelligence Millionen von Informationen über unbekannte Bedrohungen und nutzt diese, um Ihr Gateway zu schützen
    Tiefgehende Verteidigung gegen fortgeschrittene Bedrohungen im Netz Am Webgateway können Bedrohungen nahezu in Echtzeit blockiert, Malware gescannt werden, URLs und Dateien auf eine White- oder Blacklist gesetzt werden und dynamische Malware Analysen durchgeführt werden
    Umfassendere Erkennung von Zero- Day Bedrohungen Eine anpassbare IntelliVM Sandbox und ein bare Metall Sandbox Emulator führen zu einer präziseren Analyse und der Erkennung von VM evasiver Malware
    Was ist das Besondere am CAS?


    Desweiteren stellt es eine integrierte Sicherheitslösung dar, die direkt mit Ihrem Symantec Endpoint Protection Manager (SEPM) kommunizieren kann. Auf diese Weise können Bedrohungen, die im Netzwerk (am Proxy in Verbindung mit CAS) entdeckt werden, sofort auf allen Endpunkten blockiert und gelöscht werden, indem der SEPM bei einem Fund die Bedrohung vom System entfernt. Das funktioniert auch in die andere Richtung, gefundene Bedrohungen am Endpunkt werden direkt am Zugang zu Ihrem Netzwerk im Proxy geblockt. Nähere Informationen dazu finden Sie unter der Überschrift „Kommunikation zwischen SEPM, CAS und Proxy“.

    Ihr Vorteil besteht aus drei wesentlichen Sicherheitsfunktionen, die wir im Folgenden genauer darstellen werden.



    Was ist die Funktionsweise des CAS?



    Sobald Dateien über Ihren Proxy in das Unternehmen heruntergeladen werden, wird eine Kopie der Datei in die CAS eingespeist. Hier durchläuft die Datei nun mehrere Sicherheitsebenen.



    1. Sicherheitsebene: Hash-Wert Abgleich


    Im ersten Schritt wird der Hash-Wert der Datei mit der Reputationsdatenbank von Symantec Insight verglichen. Warum ist dies ein beachtlicher Sicherheitsgewinn für Unternehmen? Das ergibt sich daraus, dass Symantec über das Global Intelligence Network (GIN) verfügt, eines der weltweit größten zivilen Netzwerke für Bedrohungsinformationen sowie über die hinzugekommene Blue Coat Datenbank mit einer riesigen Menge an Informationen zu Netzwerk- und Endpunktbedrohungen.

    Sofern der Hash-Wert bekannt ist und die Datei als gutartig eingestuft wurde, kann diese direkt an den Endpunkt ausgeliefert werden, der die Datei angefragt hat.

    Sofern der Hash-Wert bekannt ist und die Datei als bösartig eingestuft wurde, wird diese blockiert und der Schadcode somit gestoppt, noch bevor dieser den Endpunkt erreichen kann.



    2. Sicherheitsebene: Statische Analyse + zweichfacher Viren-Scan


    Wenn der Hash-Wert unbekannt ist, muss die Datei die zweite Sicherheitsfunktion passieren. Diese besteht aus einer statischen Code-Analyse, bei welcher der Code auf verdächtige Stellen hin untersucht wird. Anschließend wird die Datei von bis zu zwei Virenscannern überprüft wird. Folgende Virenscanner stehen dem CAS zum jetzigen Zeitpunkt zur Verfügung:
    • Symantec (folgt mit nächstem release)
    • Kaspersky
    • Sophos
    • McAfee




    Sie entscheiden selbst, welche der zur Auswahl stehenden Virenscanner zum Einsatz kommen. Nicht zuletzt hier zeigt sich bereits die hohe Konfigurierbarkeit des CAS und seiner Sicherheitsfunktionen.

    Da die Virenscanner nicht im Produkt enthalten sind, ist es jedoch nötig, dass Sie diese separat lizenzieren, hier helfen wir gerne.

    Je nach Ergebnis der Virenscans können Sie einstellen, wie mit der Datei verfahren werden soll. Sie können die Datei z.B. an die Blue Coat Malware Analysis weitergeben, sofern mindestens ein Virenscanner die Datei als unbekannt oder bösartig klassifiziert hat, denn so lassen sich z.B. False-Positive Meldungen ausschließen bzw. verringern.



    3. Sicherheitsebene: Dynamische Analyse (Code-Ausführung)


    Sofern auch nach der zweiten Sicherheitsebene nicht ausgeschlossen werden kann, dass die Datei bösartig ist, kommt die dritte Sicherheitsebene Ihres CAS zum Einsatz. Diese wird durch die Malware Analysis (MA) realisiert. Eine Übersicht dieser Technologie finden Sie auch in unserer Artikelserie Malware erkennen: Detonation-Engines im Überblick.

    Die MA ist eine Malware Detonation Engine und besteht aus einer Sandbox, in welcher der verdächtige Code dann zur tatsächlichen Ausführung gebracht wird. Das bedeutet, der Code wird in einer Sandbox ausgeführt und die MA analysiert genauestens das Verhalten. Welche Registry-Zugriffe finden statt? Werden weitere Dateien erstellt oder aufgerufen? Wird eine Verbindung zu (verdächtigen) IP-Adressen aufgebaut? Diese und weitere Verhaltensweisen werden überprüft, anhand welcher im Anschluss entschieden wird, ob die Datei gutartig ist oder potentiell bösartiges Verhalten aufweist. Wird z.B. mit der Verschlüsselung der Festplatte begonnen, kann mit hoher Wahrscheinlichkeit davon ausgegangen werden, dass es sich um bösartige Ransomware handelt. In diesem Fall meldet das CAS dies sowohl an den Proxy als auch den Symantec Endpoint Protection Manager (SEPM), wodurch die Datei 1. nicht mehr am Proxy vorbeikommt und 2. auf allen Endpunkten an der Ausführung gehindert wird.

    Auch hier zeigt sich wieder die hohe Konfigurierbarkeit: Sie können festlegen, wie lange eine dynamische Analyse der MA maximal dauern darf, bevor die Datei an die Endpunkte weitergeleitet wird. So können Sie gewährleisten, dass Ihre Mitarbeiter nicht in ihrem Arbeitsablauf gestört werden. Doch was ist, wenn eine bösartige Datei weitergeleitet wird, noch bevor die dynamische Analyse abgeschlossen ist?



    Kommunikation zwischen SEPM, CAS und Proxy


    Die vielleicht wichtigste Funktion ist die nahtlose Kommunikation zwischen dem CAS, dem Proxy und dem Symantec Endpoint Protection Manager (SEPM), welche über eine API-Schnittstelle realisiert wird.

    Sie können Sicherheitsrisiken somit nicht nur entdecken, sondern auch direkt am Proxy und im SEPM über die API sperren, sodass Sie künftig von vornherein vor dieser Bedrohung geschützt sind. Außerdem können Sie bereits ins Unternehmen gelangte Sicherheitsrisiken, die von dem CAS gefunden werden, durch die Kommunikation mit dem SEPM auf all Ihren Endpunkten entfernen. Oder Ihre SEP Endpunkte finden eine Bedrohung, melden dies dem SEP-Manager. Der SEP-Manager meldet die Bedrohung an den Proxy, der die Bedrohung daraufhin ebenfalls sperrt.

    Dank der granularen Konfigurationsmöglichkeit können Sie festlegen, dass eine verdächtige Datei beispielsweise nur maximal 2 Minuten lang analysiert werden darf, bevor diese trotz nicht abgeschlossener Analyse an den Endpunkt ausgeliefert wird, damit der Produktivbetrieb im Unternehmen nicht gestört wird. Sollte es sich dabei tatsächlich um eine bösartige Datei handeln, haben Sie nun immer noch mit wenigen Mausklicks die Möglichkeit, die Datei im SEPM zu blacklisten, sodass diese im besten Fall nicht die Möglichkeit hatte, dem Endpunkt zu schaden.



    Wie wird dies realisiert?


    Von der CAS-Konsole aus können Sie Informationen über entdeckte Sicherheitsrisiken an den SEPM senden, welcher diese dann automatisch seiner Blacklist hinzufügt. So erreichen Sie, dass die betroffene Datei in Ihrem gesamten Unternehmen nicht mehr ausgeführt werden kann.
    Das funktioniert jedoch auch in Richtung des Proxys: Entdeckt der SEPM ein Sicherheitsrisiko auf dem Endpunkt, wird diese Information automatisch an den Proxy weitergeleitet, welcher diese dann blacklistet und nicht mehr ins Unternehmen durchdringen lässt.

    Auch das CAS leitet Informationen über ein entdecktes Sicherheitsrisiko sowohl an den Proxy, als auch an den SEPM weiter. Es findet somit eine Kommunikation zwischen allen drei Geräten statt:

    CAS sendet an Proxy und SEPM.
    Proxy sendet an CAS.
    SEPM sendet an Proxy.

    Auf einem Endpunkt entdeckte Sicherheitsrisiken müssen Sie somit nicht mehr manuell in die Blacklist des Proxys eintragen und in dem CAS entdeckte Sicherheitsrisiken müssen Sie nicht mehr manuell in den Symantec Endpoint Protection Manager eintragen. Das spart nicht nur Arbeit, sondern erhöht auch massiv die Reaktionsgeschwindigkeit Ihrer IT-Sicherheitsinfrastruktur, was Sie unter Umständen vor einem schwerwiegenden Sicherheitsvorfall bewahren kann. Sie profitieren also enorm von der Verschmelzung von Endpunkt- und Netzwerksicherheit!



    Wenn Sie Fragen haben, stehen wir Ihnen jederzeit gern zur Verfügung. Schreiben Sie uns einfach unter info@niwis.com oder rufen Sie uns an unter 02151-97198-0.


    Mit freundlichen Grüßen
    Ihr niwis Team

    EDIT 1 - 15.05.2017: Die Verwendung der Blue Coat CAS 2.1 mit Proxy's von anderen Herstellern wird nicht offiziell Supportet.
    Last edited by Keksdose; 15.05.2017, 14:11.
Working...
X