Webbeveiliging: Kopersgids
Inleiding Steeds vaker is het web een bedrijfskritische zakelijke tool, of het nu gaat om communicatie of om gegevenstoegang. Maar doordat bedrijven steeds vaker online werken, is het web tegenwoordig ook een populaire aanvalsvector. En de bedreigingen zijn niet meer alleen afkomstig van dubieuze websites of kwaadaardige URL's. Een aantal van de meest geavanceerde bedreigingen zijn zodanig ontworpen dat ze openlijk verborgen blijven op legitieme en drukbezochte websites. Maar bedreigingen buiten het netwerk zijn niet het enige punt van zorg. Gebruikers binnen uw bedrijf kunnen de veiligheid van de organisatie op het spel zetten door het gebruik van buitensporige hoeveelheden bandbreedte en het openen van content, zoals sociale media, video's en persoonlijke toepassingen, waarbij ze de gebruiksregels overschrijden. Moderne bedrijven hebben een webbeveiligingsoplossing nodig die zorgt voor continue bewaking en analyse voor de volledige omvang van het netwerk, en voor bescherming vóór, tijdens en na een aanval. In dit document wordt nader ingegaan op de vereisten waar bedrijven rekening mee moeten houden bij de aanschaf van een webbeveiligingsoplossing die beantwoordt aan de uitdagingen in het huidige landschap van geavanceerde bedreigingen. Aanschafcriteria voor webbeveiliging Bij de beoordeling van webbeveiligingsoplossingen zouden organisaties moeten letten op de volgende criteria om er zeker van te zijn dat ze de diepgelaagde bescherming aanschaffen die nodig is om hun bedrijfsactiviteiten te beschermen tegen de geavanceerde bedreigingen en gerichte aanvallen van dit moment: Analysemogelijkheid van big data en collectieve, wereldwijde beveiligingsinformatie Reputatiefiltering en categorisering Real-time malwarescans Regulering van webgebruik Zichtbaarheid en beheer van toepassingen (AVC) Preventie van gegevensverlies (DLP) Bescherming tegen bedreigingen en herstel na aanval Flexibele implementatiemogelijkheden Vereiste 1: Analysemogelijkheid van big data en collectieve, wereldwijde beveiligingsinformatie Malware is al lang niet meer herkenbaar op basis van uiterlijke kenmerken. Een bestand dat vandaag wordt gecategoriseerd als goedaardig, kan morgen gewoon kwaadaardig blijken. Traditionele oplossingen zoals cloud-ondersteunde antivirusprogramma's spelen niet in op de ontwikkeling van geavanceerde malware die zo is ontworpen dat deze op handtekening gebaseerde detectie weet te omzeilen. Dat is de reden waarom daadwerkelijke bescherming alleen kan worden bereikt met een webbeveiligingsoplossing die voorziet in continue analyse. En als het karakter van een bestand verandert, kan het beveiligingspersoneel via constante controle van alle verkeer de infectie herleiden tot de oorsprong. Bescherming op basis van miljoenen malwaregevallen die maandelijks wereldwijd worden verzameld Analyse door de Cisco Talos Security Intelligence and Research Group (Talos) en door Cisco Collective Security Intelligence (CSI)-teams Herkenning van malware aan de hand van wat deze doet, en niet van hoe deze eruitziet, waardoor detectie mogelijk is van zelfs de allernieuwste zero-day-aanvallen Cisco Advanced Malware Protection (AMP) voor betere zichtbaarheid, controle en retrospectie E-mail Integratie van Cisco-webbeveiliging met bedreigingsinformatie Gebaseerd op ongeëvenaarde collectieve veiligheidsanalyse I00II I0I000 0110 00 Informatie over III00II 0II00II Cisco Response I00I III0I III00II 0II00II I0I000 0110 00 I00I III0I III00II 0II00II I0I000 0110 00 I0I000 0110 00 I00I III0I III00II 0II00II III00II 0II00II I0I000 0110 00 I00I III0I bedreigingen I00I I III0I Talos I00I III0I III00II 0II00II I0I000 0110 00 van Research I00I III0I III00II 0II00II I0I000 0110 00 I00I III0I III00II 0II00II I0I000 Endpoints 1,6 miljoen mondiale sensoren 100 TB aan ontvangen gegevens per dag Meer dan 150 miljoen geïmplementeerde endpoints Meer dan 600 engineers, technici en onderzoekers Web Netwerken 35% wereldwijd e-mailverkeer 13 miljard webverzoeken 24/7/365 actief Meer dan 40 talen IPS Apparaten WSA + Advanced Malware Protection Meer dan 180.000 bestandsvoorbeelden per dag Geavanceerde openbaarmakingen Microsoft en branche Open-sourcecommunity's Snort en ClamAV Honeypots Besloten en openbare bedreigingsfeeds Dynamische analyse
Vereiste 2: Reputatiefilters en categorisering Voor moderne webbeveiliging moet het mogelijk zijn om malware, zowel vanaf verdachte als van legitieme websites, te blokkeren voordat deze een gebruiker bereikt. Zakelijke tools die de productiviteit verhogen de kans dat gebruikers geconfronteerd worden met malware aanzienlijk. Zelfs legitieme websites kunnen een bedreiging vormen vanwege malware die zodanig is ontworpen dat deze openlijk verborgen blijft. Webbeveiliging in deze omgeving moet zijn uitgerust met de mogelijkheid van dynamische analyse op basis van reputatie en gedrag. Ook moet deze voldoende nuanceringsmogelijkheden hebben om beleid te ondersteunen waarbij medewerkers aangepaste toegang geboden wordt tot de websites die ze nodig hebben, terwijl het gebruik van ongewenste sites en functies zoals bestanden delen via internet hen selectief worden geweigerd. Dynamische analyse van onbekende URL's voor blokkering van kwaadaardige content Webreputatiefilters voor analyse en categorisering van het risico van een site op het moment dat een webverzoek wordt gedaan Reputatiescores voor het blokkeren, toestaan of het geven van een waarschuwing voor een specifieke site Vereiste 3: Real-time malwarescans Naarmate bedrijven hun webgebruik uitbreiden, stellen ze zich vaker bloot aan concrete risico's als zeroday malware. Deze kunnen uiteindelijk hun gegevens, merk, bedrijfsactiviteiten en vele andere onderdelen aantasten. Voor de beste afweer tegen bekende en nieuwe malware moet een webbeveiligingsoplossing de mogelijkheid bevatten om dynamische analyses uit te voeren op basis van reputatie en gedrag. Bedrijven moeten kunnen beschikken over de mogelijkheid om al het inkomende en uitgaande verkeer real-time te scannen op malware en elk stukje geopende webcontent te analyseren. Oplossingen met contentbewuste, op beleid gebaseerde DLP- en encryptiemogelijkheden zijn cruciaal voor een goede bescherming. Uitgebreide dekking van malwarebescherming Meest robuuste antimalware-inspectie op de markt Optimalisatie van de verwerkingssnelheid Adaptieve en geprioriteerde scans Real-time malwareanalyse Cybercriminelen bouwen 4 nieuwe stukjes webmalware per seconde: 240 per minuut, 15.000 per uur, 300.000 per dag. * Talos Webreputatie Voor Webfiltering Cisco Web Security Appliance (WSA) Application Visibility and Control Website Tijdens Parallelle Bestandsreputatie AV-scans Preventie gegevensverlies Toepassing Na Virtueel AMP Cognitive Bestandssandboxing Threat Analytics Bestandsretrospectie Clientverificatie Verkeersomleiding WCCP Load balancer Expliciet/PAC PBR AnyConnect HQ Beheerder Beheer Rapportage Logboekextractie Campuskantoor Nevenvestiging Mobiele gebruiker Toestaan Waarschuwen Blokkeren Gedeeltelijk blokkeren *Bron: Cisco Talos.
Vereiste 4: Regulering van webgebruik Moderne organisaties hebben behoefte aan uitgekiende mogelijkheden om het webgebruik te reguleren en het gebruik van bandbreedte door medewerkers en gastgebruikers te beheren. Via doelgerichte aanvalscampagnes wordt malware ingezet voor het stelen van kostbare gegevens en uiteindelijk het verkrijgen van toegang tot datacenters. Bedrijven moeten in staat zijn reguleringsvoorzieningen voor webgebruik te implementeren waarmee ze op dynamische wijze de gebruikerstoegang kunnen afsluiten bij een webverzoek voor een site waarvan bekend is dat deze malware host. Vereiste 6: Preventie gegevensverlies De overvloed aan intellectuele eigendom, financiële gegevens en andere kostbare gegevens die circuleren op internet maken van het tot een geliefd doelwit van aanvallers. Gegevensinbreuken kunnen behoorlijke schade aanrichten aan de financiële positie, de merkreputatie en het marktaandeel van een organisatie. Een webbeveiligingsoplossing die helpt kritieke onderdelen te beschermen tegen malware gericht op gegevensdiefstal en waarmee bedrijven naleving van regelgeving kunnen bereiken is een noodzaak in het huidige landschap van geavanceerde bedreigingen. Combinatie van traditionele URL-filtering en real-time analyse Gebruikerstoegang op basis van URL-beleidsinstellingen gecontroleerd aan de hand van de Cisco-database met meer dan 50 miljoen bekende kwaadaardige URL's Quota's voor bandbreedte en tijd, geïmplementeerd op basis van gebruiker, groep of beleid Vereiste 5: Zichtbaarheid en beheer van toepassingen Een moderne webbeveiligingsoplossing moet bedrijven volledig de controle geven over de manier waarop eindgebruikers toegang hebben tot webcontent. Oplossingen voor webbeveiliging die zorgen voor zichtbaarheid en controle over toepassingen helpen beheerders bij het maken en stimuleren van beleid voor websites die geïntegreerde toepassingen en microtoepassingen bevatten, zonder dat de productiviteit van het personeel wordt belemmerd of de IT-resources worden overbelast. Bovendien moeten webbeveiligingsoplossingen in staat zijn om het gedrag van toepassingen, zoals uploaden, taggen of posten van een video te sturen, zodat blootstelling aan malware op het web wordt verminderd en gegevensverlies wordt voorkomen. AVC die zorgt voor diepgaande zichtbaarheid in groeiende content van toepassingen en microtoepassingen Gedetailleerde controle over toepassingsgebruik en -gedrag Herkenning en classificatie van honderden cruciale en veelgebruikte Web 2.0- en mobiele toepassingen, zoals Facebook, en meer dan 150.000 microtoepassingen, zoals Facebook-games Aangepaste toegang tot content op basis van bedrijfsbehoeften en naleving van voorschriften Contextgebaseerde regels voor fundamentele DLP of het Internet Content Adaptation Protocol (ICAP) voor het mogelijk maken van diepgaande contentinspectie en handhaving van DLPbeleid Geïntegreerde DLP-voorzieningen door middel van scannen van gegevens op titel, metadata en grootte, en preventie van uploads naar webmail en services voor delen van bestanden in de cloud Opstellen van beleid op maat overeenkomstig het gewenste beperkingsniveau Basis-DLP Basis-DLP Geavanceerde DLP Integratie bedrijfs-dlp via ICAP-protocol CWS Cloud WSA Op locatie WSA + Box DLP-leverancier
Vereiste 7: Bescherming tegen bedreigingen en herstel na aanval Initial disposition = Clean Sandboxing Antivirus Not 100% Actual disposition = Bad = Too late!! Zelfs met een gelaagde benadering voor webbeveiliging zullen sommige geavanceerde aanvallen erin slagen binnen te dringen. Continue analyse en retrospectieve beveiliging zijn nodig voor het herkennen van kwaadaardige bestanden die de detectie vooralsnog weten te omzeilen en om te bepalen wat de reikwijdte van de aanval is, zodat ze deze snel kan worden beperkt en hersteld. POINT-IN-TIME DETECTION Analysis stops Blind to scope of compromise Cisco AMP Cisco AMP is een add-on service voor Cisco-webbeveiliging. AMP maakt gebruik van de uitgebreide cloudnetwerken met beveiligingsinformatie van Talos voor optimale bescherming tegen het gehele aanvalsspectrum, vóór, tijdens en na een aanval. Het is de enige beproefde zero-hour antivirusoplossing in de branche die bescherming biedt tegen nieuwe virussen in minder dan 60 minuten. Tabel 1. AMP-functies CONTINUOUS MONITORING Analysis continues AMP Retrospective analysis X X Identifies threats after an attack Bestandsreputatie Bestandssandboxing Bestandsretrospectie Collectieve immuniteit Neemt een vingerafdruk van elk bestand zodra dit de webgateway passeert en voor een analyse uit via het cloudnetwerk met AMP-informatie om een beoordeling van de reputatie. Biedt de mogelijkheid onbekende bestanden te analyseren in een veilige sandbox-omgeving om het dreigingsniveau van een bestand te bepalen Voor nauwgezette bepaling van de reikwijdte, inperking en herstel van kwaadaardige bestanden na een infectie Verzendt informatie over bedreigingen van alle AMPgebruikers naar Cisco Talos om deze te markeren als kwaadaardig en alle leden van de AMP-community te beschermen tegen verdere infecties Initial disposition = Clean Actual disposition = Bad = Blocked Vereiste 8: Flexibele implementatieopties Aangezien webgebaseerde bedreigingen vandaag de dag complex zijn, moeten uw beveiligingsoplossingen eenvoudig zijn en kunnen samenwerken om bedreigingen te detecteren en te beperken. Organisaties hebben een webbeveiligingsoplossing nodig die flexibele implementatieopties biedt voor toepassingen, virtueel, de cloud en hybride zodat ze alle gebruikers in hun organisatie kunnen beschermen en de oplossing kunnen beheren op een manier die voor hun bedrijf het meest logisch is.
Cisco webbeveiligingsoplossingen Cisco webbeveiliging biedt consistente, hoogwaardige webveiligheid en beleidsbeheer, ongeacht waar en hoe gebruikers verbinding maken met internet. Het is de meest effectieve afweer tegen webgebaseerde malware en biedt de beste voorzieningen voor regulering van toepassingen en URL-filtering voor beperking van het risico op gegevensverlies, beheer van de productiviteit van de medewerkers en het gebruik van bandbreedte. Als onderdeel van een diepgaande webbeveiligingsstrategie voor bedrijven zorgt Cisco-webbeveiliging voor een betere bescherming van gegevens en merk, en help het de naleving te garanderen. Implementatieopties Op locatie Cloud Toepassing Virtueel Hybride Hybride Cloud Beheerd Conclusie Bescherm uw organisatie tegen de geavanceerde bedreigingen in de uiterst verbonden en mobiele omgevingen door de implementatie van Cisco-webbeveiliging. Zowel Cisco WSA en Cisco CWS bieden grondige bescherming, volledige controle, uitgebreide implementatieopties en investeringswaarde. Cisco WSA en Cisco CWS bieden geavanceerde bescherming tegen bedreigingen via het werk van Cisco Talos. Talos maakt gebruik van een ongeëvenaarde set telemetriegegevens met miljarden webverzoeken en e-mails, miljoenen malwarevoorbeelden, open-source datasets en miljoenen netwerkinbraken voor het opbouwen van expertise die een holistisch inzicht geeft in bedreigingen. Dit vertaalt zich in toonaangevende beveiligingsefficiëntie voor Cisco-beveiligingsoplossingen. Het resultaat hiervan is een cloud met beveiligingsinformatie voor big intelligence en reputatieanalyse bij het opsporen van bedreigingen in netwerken, endpoints, mobiele apparaten, virtuele systemen, internet en e-mail. Voor meer informatie over het Cisco-portfolio voor webbeveiliging gaat u naar.cisco.com/go/ web-security. Een vertegenwoordiger, channelpartner of systeemengineer van Cisco kan u helpen om te beoordelen hoe de webbeveiligingsoplossingen van Cisco het best aansluiten bij de unieke behoeften van uw organisatie. Ondersteuning meerdere apparaten Desktop Mobiel Laptop Tablet Cisco Web Security Appliance (WSA) Cisco Web Security Virtual Appliance (WSAv) Cisco Cloud Web Security (CWS) Maakt de controle eenvoudiger dankzij een zeer krachtige, toegewezen applicatie Biedt beheerders de mogelijkheid om nieuwe applicatieinstanties te maken op elke plek en op elk moment dat deze nodig zijn Biedt een eenvoudige webbeveiligingsoplossing waarvoor geen extra hardware is vereist; kan worden gebruikt als op zichzelf staande oplossing of kan een nog betere bescherming geven door bestaande netwerkapparatuur te verbinden met cloudgebaseerde webbeveiligingsservices via het gebruik van bestaande browserinstellingen en PACbestanden