New Report
Menlo Security finds a new sophisticated phishing campaign.
Icon Rounded Closed - BRIX Templates

Was ist ein Secure Web Gateway (SWG)?

Das hochrangige Mitglied von Security Service Edge

__wf_reserviert_dekorativ

Was ist ein Secure Web Gateway?

Ein sicheres Web-Gateway (fast immer als „SWG“ abgekürzt) wird in der Regel zwischen dem internen Netzwerk eines Unternehmens und dem Internet eingesetzt, um den Webverkehr zu filtern, um das Unternehmen, das es verwendet, (in erster Linie) vor Online-Bedrohungen zu schützen und (in zweiter Linie) sicherzustellen, dass interne Benutzer die Unternehmensrichtlinien zur Internetnutzung einhalten.

Dies sind einige typische SWG-Funktionen:

  • Filterung des Datenverkehrs (URL): Eine SWG untersucht den Web-Traffic, vergleicht URLs anhand einer „Ablehnungsliste“ bösartiger Websites und kann den Zugriff auf riskante Websites blockieren.
  • Bedrohungsschutz: Einige SWGs können einige und andere Malware erkennen und blockieren Phishing Versuche.
  • Verhinderung von Datenverlust: Einige SWGs können dazu beitragen, zu verhindern, dass sensible Daten versehentlich oder absichtlich aus dem Unternehmensnetzwerk gelangen.
  • Anwendungssteuerung: Einige SWGs können auch steuern, welche Webanwendungen Mitarbeiter verwenden können. Auf diese Weise können sie verhindern, dass sie Zeit auf unproduktiven Websites verschwenden oder Anwendungen verwenden, die die Sicherheit gefährden könnten.

Was ist URL-Filterung?

Die URL-Filterung versucht, die Webinhalte einzuschränken, auf die Benutzer zugreifen können, indem das Laden bestimmter URLs blockiert wird.

Dies ist der typische URL-Filterablauf:

  1. Datenbankcheck: Der gesamte Webverkehr wird durch ein URL-Filtersystem geleitet. Dieses System vergleicht die angeforderte URL mit einer Datenbank kategorisierter URLs.
  2. Zulassen oder Blockieren: Je nach Kategorie (z. B. Malware, soziale Medien, Einkaufen) erlaubt oder blockiert der Filter den Zugriff auf die URL.
  3. Benutzerbenachrichtigung: Wenn ein Benutzer versucht, auf eine blockierte Website zuzugreifen, wird ihm in der Regel eine Meldung angezeigt, in der erklärt wird, warum er sie nicht erreichen kann.

Ist die URL-Filterung veraltet?

Die URL-Filterung weist Einschränkungen auf, die sie als eigenständige Sicherheitslösung im Wesentlichen unwirksam machen.

Hier ist der Grund:

  • In der modernen Welt gibt es so etwas wie einen URL-Datenbank: Ständig tauchen neue bösartige Websites auf und Phishing-URLs ändern sich innerhalb von Sekunden. Datenbanken mit URL-Filtern müssten ständig aktualisiert werden, um relevant zu bleiben, und Datenbankoptimierungen für die Leistung konnten keine URL-Übereinstimmungen sicherstellen.
  • Eingeschränkter Umfang: Die URL-Filterung blockiert nur den Zugriff auf der Grundlage vorkategorisierter URLs. Es kann keine Bedrohungen auf ansonsten legitimen Websites erkennen, wie z. B. bösartige Skripts oder Phishing-Versuche, die noch nicht gemeldet wurden.
  • HTTPS-Verschlüsselung: Mit dem Aufkommen der HTTPS-Verschlüsselung wird die Filterung, die ausschließlich auf URLs basiert, weniger effektiv. Der verschlüsselte Inhalt selbst kann mit herkömmlichen URL-Filtermethoden nicht auf Bedrohungen untersucht werden.
  • Problemumgehungen und Benutzerfehler: Technisch versierte Benutzer finden möglicherweise Möglichkeiten, URL-Filter zu umgehen. Darüber hinaus können Benutzer immer noch dazu verleitet werden, auf bösartige Links auf legitimen Websites zu klicken, wodurch der Filter vollständig umgangen wird.

Wie schützt ein sicheres Web-Gateway vor Datenverlust (DLP)?

Einige Secure Web Gateways (SWGs) können bei Data Loss Prevention (DLP) eine Rolle spielen, indem sie den Fluss vertraulicher Daten im Internet überwachen und steuern. Zu den typischen Funktionen in diesem Bereich gehören eine gründliche Inhaltsinspektion und DLP-Richtlinien.

Umfassende Inhaltsinspektion

Im Gegensatz zur URL-Filterung können einige SWGs den tatsächlichen Inhalt des Webverkehrs überprüfen und so die Identifizierung vertraulicher Informationen wie Kreditkartennummern, Sozialversicherungsnummern oder firmeneigener Unternehmensdaten ermöglichen.

DLP-Richtlinien

Einige SWGs ermöglichen es Unternehmen, DLP-Richtlinien zu definieren, die vorschreiben, wie mit potenziellen Datenlecks umgegangen werden soll. Diese Richtlinien können Folgendes beinhalten:

Websicherheit ist MEHR als ein Secure Web Gateway

Was waren die Hauptkritikpunkte an Secure Web Gateways, nachdem sie breit eingesetzt wurden?

SWGs wurden zwar von vielen als bedeutender Fortschritt in der Websicherheit angesehen, ihre Grenzen wurden jedoch deutlich, als sie breite Akzeptanz fanden.

Auswirkung auf die Leistung

  • Latenz: SWGs führten häufig zu Latenz in den Netzwerkverkehr, was zu langsameren Reaktionszeiten der Anwendungen und einer verschlechterten Benutzererfahrung führte.
  • Skalierbarkeit: Herausforderungen bei der Skalierung von SWGs zur Bewältigung des steigenden Internetverkehrs und der steigenden Benutzerzahlen.

Ausweichtechniken

  • Fortgeschrittene Bedrohungen: SWGs hatten Mühe, mit der sich entwickelnden Bedrohungslandschaft Schritt zu halten, und oft gelang es ihnen nicht, ausgeklügelte Angriffe zu erkennen und abzuwehren.
  • Bypass-Methoden: Benutzer fanden Wege, SWG-Steuerungen zu umgehen, indem sie Techniken wie Proxyserver oder VPNs verwendeten.

Nutzererlebnis

  • Auswirkungen auf die Produktivität: Zu restriktive Richtlinien könnten die Produktivität der Mitarbeiter beeinträchtigen, indem legitime Websites oder Anwendungen blockiert werden.
  • Falsch positive Ergebnisse: Das falsche Blockieren sicherer Websites führte zu Frustration und verringerte die Nutzerzufriedenheit.

Eingeschränkte Sicht

  • Verschlüsselter Verkehr: SWGs hatten traditionell Schwierigkeiten, verschlüsselten Datenverkehr zu überprüfen, sodass Unternehmen blind für Bedrohungen waren, die in HTTPS-Verbindungen versteckt waren.
  • Schatten-IT: Schwierigkeiten bei der Identifizierung und Kontrolle nicht genehmigter Cloud-Anwendungen.

Komplexität und Management

  • Laufende Wartung: SWGs erforderten ständige Aktualisierungen der Bedrohungsdefinitionen und Richtlinienregeln, was erhebliche IT-Ressourcen beanspruchte.
  • Herausforderungen bei der Skalierbarkeit: Die Erweiterung der SWG-Infrastruktur zur Anpassung an das Wachstum könnte komplex und kostspielig sein.

Welche Entwicklungen der Websprachen und Funktionen haben die Grenzen von Secure Web Gateways aufgedeckt?

Die schnelle Entwicklung der Websprachen und -funktionen hat die Effektivität herkömmlicher Secure Web Gateways (SWGs) erheblich in Frage gestellt. Die wichtigsten Bereiche, in denen diese Entwicklungen SWG-Einschränkungen aufgedeckt haben, sind dynamische Inhalte und Rich Media, Verschlüsselung und HTTPS, Cloud-Anwendungen und APIs, Web 2.0 und soziale Medien sowie mobile Anwendungen und BYOD.

1. Dynamischer Inhalt und Rich Media

  • Höhere Komplexität: Das Aufkommen dynamischer Inhalte, die auf Sprachen wie JavaScript, AJAX und HTML5 basieren, erschwerte es SWGs, den Webverkehr genau zu untersuchen und zu analysieren.
  • Erkennung umgehen: Böswillige Akteure nutzten diese Technologien aus, um bösartige Inhalte zu verschleiern, Filter zu umgehen und Exploits zu verbreiten.

2. Verschlüsselung und HTTPS

  • Datenschutz: Die weit verbreitete Einführung der HTTPS-Verschlüsselung machte es für SWGs schwierig, den Datenverkehr zu überprüfen, ohne die Privatsphäre der Benutzer zu gefährden.
  • Ausweichtaktik: Böswillige Akteure nutzten Verschlüsselung, um bösartige Aktivitäten vor SWGs zu verbergen.

3. Cloud-Anwendungen und APIs

  • Direkte Verbindungen: Cloud-Anwendungen umgingen häufig herkömmliche Netzwerkperimeter, wodurch SWGs weniger effektiv wurden.
  • API-gesteuerte Interaktionen: Die zunehmende Abhängigkeit von APIs für den Datenaustausch erschwerte es den SWGs, den Verkehr zu überwachen und zu kontrollieren.

4. Web 2.0 und soziale Medien

  • Nutzergenerierte Inhalte: Die Verbreitung von nutzergenerierten Inhalten auf Plattformen wie sozialen Medien machte es schwierig, bösartige Inhalte zu filtern und zu überwachen.
  • Datenleck: SWGs hatten oft Mühe, das Durchsickern sensibler Daten durch das Teilen in sozialen Medien zu verhindern.

5. Mobile Anwendungen und BYOD

  • Direkter Internetzugang: Mobile Geräte umgingen häufig Unternehmensnetzwerke, was es SWGs erschwerte, Sicherheitsrichtlinien durchzusetzen.
  • App-Stores: Das schnelle Wachstum der App Stores führte zu neuen Angriffsvektoren und erschwerte die Bewertung der App-Sicherheit.

Wie wird der Datenverkehr an herkömmliche sichere Web-Gateways gesendet und was sind die Vor- und Nachteile der einzelnen Methoden?

Herkömmliche Secure Web Gateways (SWGs) verwenden in der Regel eine der folgenden Methoden, um den Webverkehr abzufangen und zu überprüfen: Inline-Bereitstellung, PAC-Dateien (Proxy Auto Configuration), Generic Routing Encapsulation (GRE) oder Client-Agents.

1. Inline-Bereitstellung:

  • Direkter Verkehrsfluss: Der gesamte Webverkehr wird über die SWG geleitet, die als obligatorischer Checkpoint fungiert.
  • Vorteile: Umfassende Sichtbarkeit und Kontrolle über den Web-Traffic.
  • Nachteile: Mögliche Leistungseinbußen aufgrund erhöhter Latenz.

2. Dateien zur automatischen Proxykonfiguration (PAC):

  • Clientseitige Konfiguration: Benutzer konfigurieren ihre Webbrowser so, dass sie einen Proxyserver verwenden.
  • Vorteile: Flexibler Einsatz, kann in Umgebungen mit eingeschränkter Netzwerkkontrolle verwendet werden.
  • Nachteile: Abhängigkeit von der Benutzerkonfiguration, Möglichkeit einer Umgehung.

3. Generische Routing Encapsulation (GRE):

  • Gekapselter Verkehr: Der Webverkehr wird in GRE-Tunneln gekapselt und an die SWG gesendet.
  • Vorteile: Kann in Umgebungen mit komplexen Netzwerktopologien verwendet werden.
  • Nachteile: Zusätzlicher Aufwand und Komplexität.

4. Kundenvertreter:

  • Installation der Software: SWG-Agenten werden auf Client-Geräten installiert, um den Webverkehr abzufangen.
  • Vorteile: Umfassende Kontrolle über Benutzeraktivitäten, kann in Umgebungen mit eingeschränkter Netzwerktransparenz verwendet werden.
  • Nachteile: Höherer Verwaltungsaufwand, potenzielle Auswirkungen auf die Leistung.

Zusammenfassend lässt sich sagen, dass herkömmliche SWGs in der Regel als Proxyserver arbeiten oder den Datenverkehr mithilfe verschiedener Methoden abfangen, um Webinhalte zu überprüfen und zu filtern. Die Wahl der Bereitstellungsmethode hängt von Faktoren wie der Netzwerktopologie, den Sicherheitsanforderungen und Überlegungen zur Benutzererfahrung ab.