Next Generation Endpoint Protection

Größe: px

Ab Seite anzeigen:

Download "Next Generation Endpoint Protection"

Helene Dunkle
vor 6 Jahren
Abrufe

1 Michael Veit Technology Evangelist Next Generation Endpoint Protection Sicherheit als System ersetzt Best-of-Breed

2 Endpoint-Schutz der nächsten Generation Wer ist Sophos? Warum waren die Krypto-Trojaner so erfolgreich? Wo Malware heute aufgehalten wird Intercept X Endpoint-Schutz vor Ransomware und anderen modernen Bedrohungen Synchronized Security - Sicherheit als System ersetzt Best-of-Breed

3 Sophos mehr als 30 Jahre Erfahrung 1985 GRÜNDUNG OXFORD, UK UMSATZ (FY16) MITARBEITER 400 in DACH HQ ABINGDON, UK 200,000+ KUNDEN 100M+ ANWENDER 20,000+ CHANNEL PARTNER 5% Other 50% Network 45% Enduser Akquisition u.a. von Utimaco 2009, Astaro 2011, Dialogs 2012, Cyberoam 2014, Mojave 2014, Reflexion 2015, SurfRight 2015, Barricade 2016, Invincea 2017 Gartner: Marktführer in den Bereichen Endpoint, Verschlüsselung & UTM

4 Warum waren die Krypto-Trojaner so erfolgreich?

5 Gründe für Infektionen trotz Best-of-Breed Security Office-Dokumente und PDFs in s oft zugelassen Technologisch fortgeschrittene Schädlinge Hochprofessionelle Angreifer Geschicktes Social Engineering Sicherheitssysteme agieren nicht als System

Wo Malware heute aufgehalten wird 80% 10% 5% 3% 2% Angriffsfläche reduzieren Analyse vor Ausführung Signaturen Laufzeit Exploit Erkennung URL-Filterung Download

6 Wo Malware heute aufgehalten wird 80% 10% 5% 3% 2% Angriffsfläche reduzieren Analyse vor Ausführung Signaturen Laufzeit Exploit Erkennung URL-Filterung Download Reputation Heuristiken Regelbasiert Bekannte Malware- Familien Verhaltenserkennung Identifizierung von Techniken Device Control Traditionelle Malware Moderne Bedrohungen

7 Schutz vor modernen Bedrohungen in Sophos Produkten Next-Gen Firewall UTM Sophos Central Endpoint Wireless Web Analyse Next-Gen Endpoint Mobile Dateiverschlüsselung Festplattenverschlüsselung Server

8 Sophos Erweiterte TATORT- Bereinigung BEREINIGUNG Anti- RANSOMWARE Ransomware ZERO DAY EXPLOITS Anti-Exploit BEGRENZTE SICHTBARKEIT Ursachenanalyse Stoppt Krypto-Trojaner Erkennt und verhindert Verschlüsselung Stellt Originaldateien wieder her Stoppt unbekannte Malware Signaturloser Schutz vor Zero-Day-Angriffen Keine Performanceeinbußen Entfernt die Bedrohung Signaturlose Erkennung und Entfernung von bisher unbekannter Malware Analysiert den Angriff Was ist passiert? Was ist gefährdet? Wie verhindere ich das zukünftig?

9 CryptoGuard Schutz vor lokaler Ransomware (1) Unverschlüsselte Datei vor Schreibvorgang Sicherheitskopie 1. Prozess öffnet Datei zum Schreiben 2. CryptoGuard legt Sicherheitskopie an 3. Nach Ende des Schreibvorgangs werden Datei und Sicherheitskopie verglichen 4. Bei wesentlicher Veränderung der Datei -> Verschlüsselung wird erkannt Verschlüsselte Datei nach Schreibvorgang

10 CryptoGuard Schutz vor lokaler Ransomware (2) Sicherheitskopie 5. Wenn mehrere Dateien innerhalb eines Zeitfensters verschlüsselt werden -> 6. Prozess wird als neuer Verschlüsselungstrojaner erkannt 7. Prozess wird in Quarantäne genommen -> kein Zugriff aufs Dateisystem mehr 8. Sicherheitsstatus ändert sich von grün in rot -> SecurityHeartbeat wird rot

CryptoGuard Schutz vor lokaler Ransomware (3) Sicherheitskopie

Sicherheitskopien werden zurückgespielt, Originaldateien

Bedrohung wird ans zentrale Management gemeldet 11.

11 CryptoGuard Schutz vor lokaler Ransomware (3) Sicherheitskopie Ursachenanalyse Erweiterte Bereinigung 9. Sicherheitskopien werden zurückgespielt, Originaldateien wiederhergestellt 10. Bedrohung wird ans zentrale Management gemeldet 11. Informationen zur Ursachenanalyse werden zusammengestellt 12. Erweiterte Bereinigung mit Sophos Clean wird durchgeführt 13. Nach erfolgreicher Bereinigung wird der Sicherheitsstatus wieder grün

12 CryptoGuard Schutz vor Clients mit Ransomware (1) Schreibzugriff Sicherheitskopie 1. Remote Client öffnet Datei zum Schreiben 2. CryptoGuard legt Sicherheitskopie an 3. Nach Ende des Schreibvorgangs werden Datei und Sicherheitskopie verglichen 4. Bei wesentlicher Veränderung der Datei -> Verschlüsselung wird erkannt

13 CryptoGuard Schutz vor Clients mit Ransomware (2) X Sicherheitskopien 5. Wenn mehrere Dateien innerhalb eines Zeitfensters verschlüsselt werden -> 6. Remote Client wird als mit Verschlüsselungstrojaner infiziert erkannt 7. Remote Client ist infiziert -> kein Zugriff aufs Dateisystem mehr

14 CryptoGuard Schutz vor Clients mit Ransomware (3) X Sicherheitskopien 9. Sicherheitskopien werden zurückgespielt, Originaldateien wiederhergestellt 10. Bedrohung wird ans zentrale Management gemeldet

Erkennung unbekannter Malware über Exploit-Techniken Neue Malware-Varianten pro Jahr 100,000,000+ Exploit-Techniken Etwa 1 neue Exploit-Technik pro Jahr, ~20 Techniken existieren insgesamt.

15 Erkennung unbekannter Malware über Exploit-Techniken Neue Malware-Varianten pro Jahr 100,000,000+ Exploit-Techniken Etwa 1 neue Exploit-Technik pro Jahr, ~20 Techniken existieren insgesamt. Exploit Schutz Stack Pivot Null Page (Null Dereference Protection) Buffer Overflow Bottom Up ASLR Überwacht Stack-based ProzesseROP und erkennt Versuche, Exploit-Techniken Mitigations anzuwenden (Caller) z.b. Buffer Overflow oder Code-Injection Application Lockdown Dynamic Heap Spray Hollow Process Verhindert das Ausnutzen der Verwundbarkeit in unsicheren Stack Exec / ungepatchten (MemProt) Anwendungen Stoppt den Angriff Signaturlos Squiblydoo AppLocker Bypass Keine Performanceeinbußen WoW64 DLL Hijacking Import Address Table Filtering (IAF) (Hardware Augmented) Branch-based ROP Mitigations (Hardware Augmented) Reflective DLL Injection Heap Spray Allocation Load Library Java Lockdown VBScript God Mode Syscall Mandatory Address Space Layout Randomization (ASLR) Structured Exception Handler Overwrite Protection (SEHOP)

16 Ursachenanalyse Was ist passiert? Analyse des Vorfalls Identifikation betroffener Prozesse, Registry-Keys, Dateien, Kommunikation Grafische Darstellung der Ereigniskette Eintrittspunkte der Malware ins Netzwerk Was ist gefährdet? Betroffene Ressourcen Welche Dateien und Systeme sind betroffen? Auf welche Netzlaufwerke oder Wechselmedien wurde zugegriffen? Welche Systeme muss ich noch bereinigen? Wie verhindere ich das zukünftig? Konsequenzen Welche Einfallswege für Malware muss ich schließen? Wie kann ich eine Verbreitung im Netzwerk zukünftig verhindern?

Web-Bedrohungen Gefährliche URLs Gefährliche URLs Browser-Exploits Apps

Malware Viren/Trojaner Viren/Trojaner Zero-Days/APTs Was ist gefährdet?

17 Web-Bedrohungen Gefährliche URLs Gefährliche URLs Browser-Exploits Apps USB-Sticks Apps USB-Sticks Was ist passiert? Wie lief die Infektion ab? Malware Viren/Trojaner Viren/Trojaner Zero-Days/APTs Was ist gefährdet? PDF/MS Office Viren/Makros Viren/Makros Office-Exploits Wie verhindere ich das zukünftig? Bereinigung Ransomware Ransomware Bedrohungen Sophos Central Endpoint Standard Sophos Central Endpoint Advanced Sophos Central Intercept X Ursachenanalyse Sophos Clean

18 Sophos Central

19 Sophos Central Web Gateway Gateway Managed Wifi Zentraler Standort Zweigniederlassung Managed Firewalls Tele-Arbeiter Reisender Mitarbeiter Server Datacenter Admin (Überall)

Sophos Central Partner Dashboard Admin Self Service

Trials Sicherheitsereignisse MSP Endpoint Mobile

Security Firewall Benutzer-Zugriff Email-Quarantäne

20 Sophos Central Partner Dashboard Admin Self Service Verwaltung aller Kunden Lizenzen Administration Trials Sicherheitsereignisse MSP Endpoint Mobile Server Verschlüsselung Wireless Web Gateway Security Firewall Benutzer-Zugriff -Quarantäne Verschlüsselungs-Recovery BYOD Mobilgeräte Notfall-Inbox

21 Vorteile Einheitliches Management und Reporting für die gesamte IT-Security im Unternehmen Zusammenspiel der Komponenten durch Synchronized Security Outsourcing der IT-Security an Systemhaus/MSP einfach möglich Keine eigene Management-Infratruktur benötigt (keine MS-CALs) Komplette Sicherheit schnell und einfach ausgerollt Schutz aller Mitarbeiter auf allen Geräten überall Stapelbare Lizenzen Einfache Evaluation neuer Funktionen

22 Synchronized Security Teamplay statt Best-of-Breed Next-Gen Firewall UTM Sophos Central Endpoint Wireless Web Analyse Next-Gen Endpoint Mobile Dateiverschlüsselung Festplattenverschlüsselung Server

23 Security Heartbeat Beispiel Vireninfektion (1) Virus gefunden 1. Sophos Endpoint Protection oder Intercept X erkennt eine Bedrohung 2. Der Sicherheitsstatus des Clients ändert sich auf rot der Endpoint ist momentan nicht sicher

24 Security Heartbeat Beispiel Vireninfektion (2) Schlüssel entfernen 3. Über den internen SecurityHeartbeat wird der Verschlüsselungsclient informiert, dass der Endpoint momentan nicht sicher ist 4. Die Schlüssel werden entfernt, damit keine Daten gestohlen werden können

25 Security Heartbeat Beispiel Vireninfektion (3) 5. Über den SecurityHeartbeat erfährt die NextGen-Firewall, dass der Endpoint nicht sicher ist 6. Die NextGent-Firewall nimmt den Endpoint solange in Netzwerkquarantäne, bis die Bedrohung beseitigt ist Client in Netzwerkquarantäne

26 Synchronized Security Teamplay statt Best-of-Breed Next-Gen Firewall UTM Sophos Central Endpoint Wireless Web Analyse Next-Gen Endpoint Mobile Dateiverschlüsselung Festplattenverschlüsselung Server

27 Synchronized Security von Sophos Best-of-Breed wird ersetzt durch Security als System Kommunikation von Netzwerk-, Endpoint-, Serverund Verschlüsselungslösungen Erkennung hochentwickelter Bedrohungen Identifizierung kompromittierter Systeme Automatische Reaktion auf Vorfälle Analyse der Infektions- und Verbreitungswege Kommend: Security Heartbeat Überprüfung auf WLAN-APs Security Heartbeat auf Smartphones & Tablets...

Ähnliche Dokumente

interface systems GmbH Sophos Synchronized Security Marco Herrmann Channel Account Executive Zeljko Milicevic Sales Engineering

interface systems GmbH Sophos Synchronized Security Echtzeit-Kommunikation zwischen Endpoints und Firewall Marco Herrmann Channel Account Executive Zeljko Milicevic Sales Engineering 24+25. Mai 2016, Dresden