Cisco Ironport WSA - hur gick det sen?

2011-04-20

Från min förra bloggtext kunde man tydligt utläsa att Cisco Ironport WSA är en produkt jag gillar. Att säkra upp surftrafiken är något alla borde göra, på ett eller annat sätt. Jag har installerat ett gäng WSA-lösningar hos olika typer av kunder,  och när man  ett tag efter installationen följer upp denna med kunden är reaktionen oftast "Ja just det, den hade vi glömt! Jo den fungerar nog". 

Men vilken nytta har den tillfört då? Jag bad en av våra kunder om lov att titta lite i deras WSA-rapporter för att se vad som hänt. Den här kunden har ett par hundra användare och är en ganska traditionell typ av användare med mestadels tjänstemän med varsin dator. Den här kunden har inte begränsat surfandet något nämnvärt. Med undantag av access till barnporr och några få andra kategorier tillåter man användarna att surfa vart de vill.

Bild 1: Allmän statistik.

Det första vi tittar på är en översikt av web-aktiviteten ovan. Den genomsnittliga web-trafiken en arbetsdag består av en miljon web-aktiviteter. Varje objekt som hämtas ner är en separat aktivitet/transaktion. Surfar du till aftonbladet.se så är huvudsidan en transaktion och vart och ett av objekten i sidan (t ex bilder) separata transaktioner. Kunden genererar alltså 1M transaktioner per dag, eller 20M transaktioner under en månad.

Men VAD surfar användarna till? Om man då tittar på renheten i transaktionerna så börjar det bli intressant på riktigt!

Bild 2: Renhet

Här ser man att drygt 10.000 (10.6K)  transaktioner har stoppats den senaste månaden på grund av URL-kategori! Dvs t ex barnporr! Det är objekt (sidor, bilder osv) som användaren medvetet eller omedvetet begärt men som systemet har blockerat redan vid access-försöket på grund av att källan är känd och icke önskvärd.

Man ser också att nästan 3000 (2,797) objekt har blockerats på grund av upptäckt Malware. Kom ihåg att WSA scannar all genomgående trafik efter kända virus, script eller annan typ av malware. Källans kategori har varit godkänd eller okänd så WSA har hämtat hem innehållet. Men vid kontroll av innehållet har man upptäckt något oönskat. Den här lilla rackaren har alltså stoppat nästan 3000 virus den senaste månaden!

Totalt sett har 99.8% av web-trafiken den senaste månaden varit "clean". 0.2% kan tyckas vara försvinnande lite, men det är ändå nästan 34.000 (33.8K) potentionella hot som blockerats redan i ytterdörren!

Vill man ha mer detaljerad information om vilken typ av hot som blockerats kan man givetvis få ut det också:

Bild 3: Malwares

Med hjälp av det dynamiska Senderbase-systemet poängsätts alla websidor på internet. Utifrån en stor mängd faktorer såsom kända virusutbrott eller trovärdigheten i en domän får varje site en web reputation score från -10 till +10. WSA är konfigurerad att alltid blockera de källor med sämst poäng och alltid tillåta de websidor med högst poäng. Men hur funkar då detta i verkligheten?

Bild 4: Web reputation

Här kan vi se att nästan 10.000 transaktioner den senaste månaden blockerats på grund av Web reputation.

Slutsatsen jag drar varje gång jag tittar på den här typen av rapporter är att WSA blockerar massor av web-trafik i det dolda, och det är förvånansvärt sällan som användarna hör av sig till it-avdelningen på grund av att de inte kan surfa till en specifik site. Det kan vara så att användaren medvetet försöker göra dumheter på internet, men min erfarenhet och absoluta övertygelse är att det i stort sett alltid är något som sker omedvetet. En länk i ett mail eller på facebook som ser "snällt" ut men som i själva verket leder till en malware-site i nåt obskyrt hörn av internet.

Nyckeltal för just den här enheten, en vanlig månad "på jobbet":

Antalet transaktioner: 20.400.000 st.

Antalet stoppade transaktioner: 33.800 st.

Antalet stoppade Malwares/virus: 2797 st, eller ett var 3:e minut under kontorstid!

Vågar du låta bli att kontrollera innehållet i surftrafiken?

/Jimmy