Webfiltrering

Webfiltrering kontrollerer, hvilke websites og webindhold brugere kan tilgå fra organisationens netværk og enheder. Det beskytter mod malware-distribution, phishing-angreb og uautoriseret datadeling via webbaserede kanaler.

Tilbage til ordbog

Hvad er webfiltrering?

Webfiltrering er en sikkerhedsforanstaltning, der styrer, hvilke websites brugere kan besøge. Det handler primært om sikkerhed: at blokere adgang til sider, der distribuerer malware, indsamler credentials via phishing eller bruges som command-and-control-servere.

Webfiltrering supplerer DNS-sikkerhed og firewalls som en del af netværkets forsvar. Mens firewalls filtrerer på netværksniveau, og DNS-sikkerhed blokerer på domæneniveau, kan webfiltre inspicere URL'er, sideindhold og filtyper.

Moderne Secure Web Gateways (SWG) kombinerer webfiltrering med DLP, malwarescanning og TLS-inspektion i én platform. Det giver et samlet forsvar mod webbaserede trusler og datalæk.

Filtreringsmetoder

Webfiltrering bruger flere metoder:

URL-filtrering: Matcher URL'er mod databaser med kategoriserede websites. Millioner af sider er kategoriseret, og nye tilføjes løbende. Kategorier som malware, phishing og botnets blokeres automatisk.
Kategorifiltrer: Blokerer hele kategorier af websites baseret på organisationens politik. Sikkerhedsrelevante kategorier (malware, phishing, exploit kits) bør altid blokeres.
Indholdsinspection: Analyserer sidens indhold i realtid for at identificere trusler, der endnu ikke er kategoriseret. Bruger heuristik og maskinlæring.
TLS/SSL-inspektion: Dekrypterer HTTPS-trafik for at inspicere indholdet. Nødvendigt, da størstedelen af webtrafik er krypteret. Uden TLS-inspektion er filtret blindt for indholdet.
Filtype-blokering: Forhindrer download af risikable filtyper som .exe, .scr og .js fra webbet.

Integrér med trusselsintelligens-feeds for at sikre, at filtret kender de nyeste trusler. Realtidsopdateringer er vigtige, da nye phishing-sider ofte kun lever i timer.

Implementering

Webfiltrering kan implementeres på flere måder:

On-premise proxy: Al webtrafik routes gennem en lokal proxy-server, der filtrerer trafikken. Giver fuld kontrol, men dækker kun brugere på kontoret eller via VPN.

Cloud-baseret SWG: Webtrafik routes gennem en cloudtjeneste, uanset hvor brugeren befinder sig. Ideel til organisationer med fjernarbejdere og mobile enheder.

Agentbaseret: En agent på endpoints håndhæver filtreringsregler lokalt. Fungerer uden VPN og dækker al webtrafik fra enheden.

DNS-baseret filtrering: Simpel og let at implementere. Blokerer adgang til hele domæner baseret på DNS-opslag. Mindre granulær end proxy-baseret filtrering, men effektiv som første forsvarslinje.

Uanset metode er logning vigtig. Log alle blokerede og tilladte forespørgsler og send data til SIEM-systemet. Gennemgå logs regelmæssigt for at identificere mistænkelige mønstre og finjustere politikker.

Etabler en undtagelsesproces, så brugere kan anmode om adgang til fejlblokerede sider. Kombiner med sikkerhedsbevidsthed, der forklarer, hvorfor webfiltrering er nødvendig.

Regulativer og standarder

ISO 27001 og Annex A inkluderer kontrol A.8.23 om webfiltrering, der kræver, at adgang til eksterne websites styres for at reducere eksponering mod ondsindede sider. Et ISMS bør definere webfiltreringspolitikker.

CIS 18 kontrol 9 adresserer beskyttelse af webbrowsere og e-mail, herunder webfiltrering som en nøglekomponent.

NIS2 kræver, at organisationer implementerer foranstaltninger mod cybertrusler, og webfiltrering er en grundlæggende del af dette. DORA stiller tilsvarende krav til finansielle institutioner. Under GDPR er webfiltrering en teknisk foranstaltning, der reducerer risikoen for at persondata kompromitteres via webbaserede angreb.

Ofte stillede spørgsmål om webfiltrering

Hvad er forskellen på webfiltrering og DNS-filtrering?

DNS-filtrering blokerer adgang til domæner ved at forhindre DNS-opslag. Webfiltrering er bredere og kan inspicere URL'er, sideindhold og filtyper. DNS-filtrering er lettere at implementere, mens webfiltrering giver finere kontrol.

Kan webfiltrering blokere HTTPS-trafik?

Ja, med TLS/SSL-inspektion kan webfiltre dekryptere, inspicere og genkryptere HTTPS-trafik. Det kræver installation af et root-certifikat på endpoints. Uden TLS-inspektion kan webfiltret kun se domænenavnet, ikke den specifikke URL eller indhold.

Hvordan undgår man overblokering?

Start med at blokere kun klart ondsindede kategorier og brug advarsler i stedet for blokering for gråzoner. Etabler en proces, hvor brugere kan anmode om adgang til blokerede sider. Gennemgå blokeringslogfiler regelmæssigt for falske positiver.

Virker webfiltrering for fjernarbejdere?

Ja, med cloud-baserede webfiltreringsløsninger eller Secure Web Gateways (SWG). Trafik fra fjernarbejderes enheder routes gennem cloud-tjenesten, uanset hvor de befinder sig. Agentbaserede løsninger fungerer også uden VPN.