Ransomware-Angriffe in Sekunden stoppen und reparieren. Das ist InterceptX von Sophos. Roman Schlenker Senior Sales Engineer

Transkript

1 Ransomware-Angriffe in Sekunden stoppen und reparieren Das ist InterceptX von Sophos Roman Schlenker Senior Sales Engineer

2 Warum waren die Krypto-Trojaner so erfolgreich?

3 Ransomware in Aktion

4 Ransomware in Aktion

5 Neue Sicherheitskonzepte sind notwendig

6

7 Wo Malware am Endpoint aufgehalten wird 80% 10% 5% 3% 2% Angriffsfläche reduzieren Analyse vor Ausführung Signaturen Laufzeit Exploit Erkennung URL-Filterung Download Reputation Heuristiken Regelbasiert Bekannte Malware- Familien Verhaltenserkennung Identifizierung von Techniken Device Control Traditionelle Malware Moderne Bedrohungen

8 Sophos TATORT- BEREINIGUNG Anti- RANSOMWARE Ransomware ZERO DAY EXPLOITS Anti-Exploit Sophos Clean BEGRENZTE SICHTBARKEIT Ursachenanalyse Stoppt Krypto-Trojaner Erkennt und verhindert Verschlüsselung Stellt Originaldateien wieder her Stoppt unbekannte Malware Signaturloser Schutz vor Zero-Day-Angriffen Keine Performanceeinbußen Entfernt die Bedrohung Signaturlose Erkennung und Entfernung von bisher unbekannter Malware Analysiert den Angriff Was ist passiert? Was istgefährdet? Wie verhindere ich das zukünftig?

9 Web-Bedrohungen Gefährliche URLs Gefährliche URLs Browser-Exploits Apps USB-Sticks Apps USB-Sticks Was ist passiert? Wie lief die Infektion ab? Malware Viren/Trojaner Viren/Trojaner Zero-Days/APTs Was ist gefährdet? PDF/MS Office Viren/Makros Viren/Makros Office-Exploits Wie verhindere ich das zukünftig? Bereinigung Ransomware Ransomware Bedrohungen Sophos Central Endpoint Standard Sophos Central Endpoint Advanced Sophos Central Intercept X Ursachenanalyse Sophos Clean

10 Anti-Ransomware

11 CryptoGuard - lokale Ransomware Unverschlüsselte Datei vor Schreibvorgang Sicherheitskopien Ursachenanalyse Erweiterte Bereinigung mit Sophos Clean Verschlüsselte Datei nach Schreibvorgang

12 CryptoGuard - Ransomware auf Remote Client X Schreibzugriff Sicherheitskopien

13 Wo lauert die größere Gefahr? Encrypted! Give me all your Bitcoin$ Mal sehen, was es hier schönes gibt

14 Anti-Exploit

15 Erkennung unbekannter Malware über Exploit-Techniken Neue Malware-Varianten pro Jahr 100,000,000+ Exploit-Techniken Etwa 1 neue Exploit-Technik pro Jahr, ~20 Techniken existieren insgesamt. Exploit Schutz Stack Pivot Null Page (Null Dereference Protection) Buffer Overflow Bottom Up ASLR Überwacht Stack-based ProzesseROP und erkennt Versuche, Exploit-Techniken Mitigations anzuwenden (Caller) z.b. Buffer Overflow oder Code-Injection Application Lockdown Dynamic Heap Spray Hollow Process Verhindert das Ausnutzender Verwundbarkeit in unsicheren Stack Exec / ungepatchten (MemProt) Anwendungen Stoppt den Angriff Signaturlos Squiblydoo AppLocker Bypass Keine Performanceeinbußen WoW64 DLL Hijacking Import Address Table Filtering (IAF) (Hardware Augmented) Branch-based ROP Mitigations (Hardware Augmented) Reflective DLL Injection Heap Spray Allocation Load Library Java Lockdown VBScript God Mode Syscall Mandatory Address Space Layout Randomization (ASLR) Structured Exception Handler Overwrite Protection (SEHOP)

16 Erkennung unbekannter Malware über Exploit-Techniken 16

17 RCA Root Cause Analysis Ursachenanalyse

18 Ursachenanalyse Was ist passiert? Analyse des Vorfalls Identifikation betroffener Prozesse, Registry-Keys, Dateien, Kommunikation Grafische Darstellung der Ereigniskette Eintrittspunkte der Malware ins Netzwerk Was ist gefährdet? Betroffene Ressourcen Welche Dateien und Systeme sindbetroffen? Auf welche Netzlaufwerke oder Wechselmedien wurde zugegriffen? Welche Systeme muss ich noch bereinigen? Wie verhindere ich das zukünftig? Konsequenzen Welche Einfallswege für Malware muss ich schließen? Wie kann ich eine Verbreitung im Netzwerk zukünftig verhindern?

19 Ursachenanalyse

20 Erweiterte Bereinigung

21 Sophos Clean der Tatortreiniger Signaturloser on-demand Malwarescanner Forensische Erkennung bisher unbekannter Malware Nutzt Verhaltensanalyse und Cloud-Intelligenz (Internet-Verbindung notwendig) Entfernt persistente Malware Ersetzt infizierte Windows-Resourcen durch sichere Originalversionen

22 Lizenzierung

23 Anti-Virus, HIPS, LiveProtection Web Security Web Filterung Sophos Central Endpoint Standard Sophos Central Endpoint Advanced Sophos Central Upgrade für Sophos Kunden Sophos Central Endpoint Standard + Sophos Central Application Control Device Control Malicious Traffic Detection Security Heartbeat Sophos Central Endpoint Advanced + Sophos Central Anti-Exploit Kombination mit Mitbewerber-AV Anti-Ransomware Mitbewerber Anti-Virus Ursachenanalyse + Sophos Central Sophos Clean Intercept X kann nicht mit dem Sophos on-premise Endpoint kombiniert werden!

24

25