Secure Web, DNS, Cloud oder doch Internet Gateway?

Leider haben es Unternehmen nicht immer leicht zu verstehen, welches Gateway für welche Aufgaben nun das richtige ist. Denn in den Produktportfolios der Hersteller begegnen auch Fachleuten immer wieder eine Menge an vermischten Fachbegriffen. Gerne wird dabei das Secure Internet Gateway (SIG) aufgeführt, welches aber aus drei Gateway-Teilen besteht: dem Secure Web Gateway (SWG), dem Secure DNS und dem Cloud Access Security Broker (CASB). Zudem sind SIGs zwar gewünscht, existieren aber nicht als direktes Produkt, sondern nur als zusammengesetzte Lösung. Auch CASB dient nicht als Gateway, sondern setzt Sicherheitsrichtlinien zwischen Anwender und Cloud-Applikationen durch und überwacht, steuert und protokolliert.

Die für Unternehmensnetzwerke am Markt angebotenen Gateways sind somit fast immer Secure Web Gateway (SWG) und Secure DNS. Diese Lösungen bieten die Hersteller meist als Cloud-Lösungen, virtuelle Maschinen und teilweise als lokale Hardware-Appliances an. Daher fokussiert sich das Labor von AV-TEST auf die Prüfung und die Zertifizierung dieser beiden Produktgruppen, was für den Sales-Bereich und für die Qualitätssicherung der Hersteller extrem wichtig ist.

Secure Web Gateway (SWG) und Secure DNS

Die Aufgaben und Funktionen von Secure DNS sind relativ einfach erklärt. Die DNS-Reputationsabfrage ist der erste Sicherheitsbaustein und wehrt bereits viele Attacken ab. Da Secure DNS prüft, ob eine Domain legitim ist oder nicht, werden viele Angriffsversuche bereits beim Verbindungsaufbau erkannt und blockiert.

Die Aufgaben eines Secure Web Gateway (SWG), welches den DNS-Teil bereits integriert hat, sind wesentlich umfangreicher: URL-Filtering, Echtzeit-Traffic-Überprüfung, Anwendungskontrolle, Data Leak Prevention, Antivirus- und Antimalware-Schutz, Kontrolle des verschlüsselten Verkehrs, Netzwerk- und Messenger-Kontrolle sowie Botnet-Erkennung. Oft wird auch die E-Mail-Sicherheit genannt, wobei diese meist in gesonderten E-Mail-Gateways angeboten wird.

Teststruktur und Methodik des Labors

Alle Lösungen, die das Labor von AV-TEST überprüft, unterliegen einer festgelegten Testmethodik. Der erste Testteil, der Schutz auf der DNS-Ebene, wird natürlich bei beiden Produktgruppen getestet. Dabei wird auf der DNS-Ebene die Infrastruktur des Internets genutzt, um schädliche und unerwünschte Domänen und Cloud-Anwendungen zu blockieren, noch bevor im Rahmen der rekursiven DNS-Auflösung eine Verbindung hergestellt wird. Beim Schutz auf der DNS-Ebene wird Malware frühzeitig gestoppt. Außerdem werden Rückrufe an Angreifer verhindert, wenn sich infizierte Systeme mit dem Netzwerk verbinden.

Beim Schutz auf der DNS-Ebene mit selektivem Cloud-Proxy werden nur riskante Domänenanfragen zur eingehenderen Inspektion des Webinhalts umgeleitet. Dies erfolgt transparent über die DNS-Antwort.

Da Webgateways noch weitere Aufgaben haben, geht hier der Test weiter: Für ein sicheres Webgateway ist ein vollständiger Webproxy erforderlich, der alle Webverbindungen erkennt und überprüft. Im Gegensatz zum Schutz auf der DNS-Ebene, bei dem nur Domänennamen und IP-Adressen analysiert werden, sieht ein Webproxy alle Dateien sowie die vollständigen URLs. Dies ermöglicht eine eingehendere Prüfung und Kontrolle.

Immer neue und reale Testfälle im DNS-Test

Für eine reale Testbewertung der Secure-DNS-Lösungen und Secure Web Gateways (SWG) im DNS-Testbereich verwendet das Labor immer nur aktuelle Samples, URLs und Metadaten. Diese sammelt das Labor permanent mit Hilfe von Honeypots auf Webseiten oder aus E-Mails ein.

Vor einem Test analysiert das Labor bei allen Samples, dass es sich um schädliche Websites oder Phishing-Links handelt. AV-TEST führt sowohl statische als auch dynamische Analysen an Samples durch, um sicherzustellen, dass die Domänen zum Testzeitpunkt aktiv schädliche Inhalte hosten und diese schädliches Verhalten zeigen. Im Test werden geprüft:

• URLs, die auf schädliche PE-Dateien verweisen (Portable Executable-Dateien für Windows, EXE-Dateien)
• URLs mit anderen schädlichen Zielen (Nicht-PE-Dateien, in der Regel HTML- oder PHP-Websites, einschließlich Links zu Skripts wie JavaScript oder VBS)
• Links zu Phishing-Websites

Für verlässliche Testaussagen nutzt das Labor in der Regel mehrere tausende Testfälle in jeder geprüften Kategorie.

Teststruktur für Secure Web Gateways

Da die Aufgaben und Möglichkeiten eines Secure Web Gateways (SWG) umfangreicher sind, prüft AV-TEST in der Regel auch deren Erkennungsleistung bereits beim der Download von Schad-Software. Auch im Bereich der Malware-Prüfung greift das Labor auf seine eigenen, permanent aktualisierten Malware-Datenbanken und Samples zu. Es lassen sich auch ganze Malware-Familien in die zu prüfenden Lösungen einspeisen und somit die Erkennungs- und Schutzleistung genau ermitteln.

Zusätzlich gibt es eine erweiterte Prüfung von URLs (auch IP-basierte), sowie einen umfassenden False-Positive-Test (Fehlalarme) beim Zugriff auf ungefährliche Dateien, Software und Webseiten. Für den Test auf Fehlalarme bei Software sammelt das Labor seit vielen Jahren Dateien aus dem Internet und von Applikationen, klassifiziert sie und fügt sie in eine Datenbank ein. Dieser stetig aktualisierte Dateibestand von harmlosen Dateien und ihren Hash-Werten liegt bereits bei ein paar Millionen Exemplaren und wächst stetig weiter.

Ähnlich verhält es sich bei der Fehlalarmprüfung beim Besuch von Webseiten. Das Labor unterhält eine ständig aktualisierte URL-Top-Liste von tausenden harmlosen Webseiten, die mit in die Prüfung einfließen.

Hat ein Hersteller weitere Wünsche im Prüfungsumfang, so lassen sich diese auch realisieren, wie etwa zum Beispiel der Zugriff auf C2-Domänen oder das Ausführen von Live-Malware auf einem Client hinter dem getesteten Gateway-Produkt.