The next thing in NextGen Endpoint Exploit Prevention mit Sophos Intercept X. Michael Veit Technology Evangelist

Transkript

1 The next thing in NextGen Endpoint Exploit Prevention mit Sophos Intercept X Michael Veit Technology Evangelist

2 Sophos mehr als 30 Jahre Erfahrung 1985 GRÜNDUNG OXFORD, UK UMSATZ (FY16) MITARBEITER 400 in DACH HQ ABINGDON, UK 200,000+ KUNDEN 100M+ ANWENDER 20,000+ CHANNEL PARTNER 5% Other 50% Network 45% Enduser Akquisition u.a. von Utimaco 2009, Astaro 2011, Dialogs 2012, Cyberoam 2014, Mojave 2014, Reflexion 2015, SurfRight 2015, Barricade 2016, Invincea 2017 Gartner: Marktführer in den Bereichen Endpoint, Verschlüsselung & UTM

3 Komplette Sicherheit von Sophos Sophos Central Management Sandstorm UTM NextGen Firewall VPN Web-Gateway -Gateway Wireless Endpoint Protection Mobile Verschlüsselung Server Protection Exchange Netzwerk Speicher Virtualisierung Webserver-Schutz

4 Warum waren die Krypto-Trojaner so erfolgreich?

5 Gründe für Infektionen trotz Best-of-Breed Security Office-Dokumente und PDFs in s oft zugelassen Technologisch fortgeschrittene Schädlinge Hochprofessionelle Angreifer Geschicktes Social Engineering Sicherheitssysteme fehlen oder falsch konfiguriert Sicherheitssysteme agieren nicht als System

6 Neue Sicherheitskonzepte sind notwendig

7 Wo Malware am Endpoint aufgehalten wird 80% 10% 5% 3% 2% Angriffsfläche reduzieren Analyse vor Ausführung Signaturen Laufzeit Exploit Erkennung URL-Filterung Download Reputation Heuristiken Regelbasiert Bekannte Malware- Familien Verhaltenserkennung Identifizierung von Techniken Device Control Traditionelle Malware Moderne Bedrohungen

8 Sophos Erweiterte TATORT- Bereinigung BEREINIGUNG Anti- RANSOMWARE Ransomware ZERO DAY EXPLOITS Anti-Exploit BEGRENZTE SICHTBARKEIT Ursachenanalyse Stoppt Krypto-Trojaner Erkennt und verhindert Verschlüsselung Stellt Originaldateien wieder her Stoppt unbekannte Malware Signaturloser Schutz vor Zero-Day-Angriffen Keine Performanceeinbußen Entfernt die Bedrohung Signaturlose Erkennung und Entfernung von bisher unbekannter Malware Analysiert den Angriff Was ist passiert? Was ist gefährdet? Wie verhindere ich das zukünftig?

9 CryptoGuard Schutz vor lokaler Ransomware (1) Unverschlüsselte Datei vor Schreibvorgang Sicherheitskopie 1. Prozess öffnet Datei zum Schreiben 2. CryptoGuard legt Sicherheitskopie an 3. Nach Ende des Schreibvorgangs werden Datei und Sicherheitskopie verglichen 4. Bei wesentlicher Veränderung der Datei -> Verschlüsselung wird erkannt Verschlüsselte Datei nach Schreibvorgang

10 CryptoGuard Schutz vor lokaler Ransomware (2) Sicherheitskopie 5. Wenn mehrere Dateien innerhalb eines Zeitfensters verschlüsselt werden -> 6. Prozess wird als neuer Verschlüsselungstrojaner erkannt 7. Prozess wird in Quarantäne genommen -> kein Zugriff aufs Dateisystem mehr 8. Sicherheitsstatus ändert sich von grün in rot -> SecurityHeartbeat wird rot

11 CryptoGuard Schutz vor lokaler Ransomware (3) Sicherheitskopie Ursachenanalyse Erweiterte Bereinigung 9. Sicherheitskopien werden zurückgespielt, Originaldateien wiederhergestellt 10. Bedrohung wird ans zentrale Management gemeldet 11. Informationen zur Ursachenanalyse werden zusammengestellt 12. Erweiterte Bereinigung mit Sophos Clean wird durchgeführt 13. Nach erfolgreicher Bereinigung wird der Sicherheitsstatus wieder grün

12 CryptoGuard Schutz vor Clients mit Ransomware (1) Schreibzugriff Sicherheitskopie 1. Remote Client öffnet Datei zum Schreiben 2. CryptoGuard legt Sicherheitskopie an 3. Nach Ende des Schreibvorgangs werden Datei und Sicherheitskopie verglichen 4. Bei wesentlicher Veränderung der Datei -> Verschlüsselung wird erkannt

13 CryptoGuard Schutz vor Clients mit Ransomware (2) X Sicherheitskopien 5. Wenn mehrere Dateien innerhalb eines Zeitfensters verschlüsselt werden -> 6. Remote Client wird als mit Verschlüsselungstrojaner infiziert erkannt 7. Remote Client ist infiziert -> kein Zugriff aufs Dateisystem mehr

14 CryptoGuard Schutz vor Clients mit Ransomware (3) X Sicherheitskopien 9. Sicherheitskopien werden zurückgespielt, Originaldateien wiederhergestellt 10. Bedrohung wird ans zentrale Management gemeldet

15 Wo lauert die größere Gefahr? Haha! Alle Deine Dateien sind verschlüsselt! Geld her! Mal sehen, was man hier so alles mitbekommt..

16 Erkennung unbekannter Malware über Exploit-Techniken Neue Malware-Varianten pro Jahr 100,000,000+ Exploit-Techniken Etwa 1 neue Exploit-Technik pro Jahr, ~20 Techniken existieren insgesamt. Exploit Schutz Stack Pivot Null Page (Null Dereference Protection) Buffer Overflow Bottom Up ASLR Überwacht Stack-based ProzesseROP und erkennt Versuche, Exploit-Techniken Mitigations anzuwenden (Caller) z.b. Buffer Overflow oder Code-Injection Application Lockdown Dynamic Heap Spray Hollow Process Verhindert das Ausnutzen der Verwundbarkeit in unsicheren Stack Exec / ungepatchten (MemProt) Anwendungen Stoppt den Angriff Signaturlos Squiblydoo AppLocker Bypass Keine Performanceeinbußen WoW64 DLL Hijacking Import Address Table Filtering (IAF) (Hardware Augmented) Branch-based ROP Mitigations (Hardware Augmented) Reflective DLL Injection Heap Spray Allocation Load Library Java Lockdown VBScript God Mode Syscall Mandatory Address Space Layout Randomization (ASLR) Structured Exception Handler Overwrite Protection (SEHOP)

17 Ursachenanalyse Was ist passiert? Analyse des Vorfalls Identifikation betroffener Prozesse, Registry-Keys, Dateien, Kommunikation Grafische Darstellung der Ereigniskette Eintrittspunkte der Malware ins Netzwerk Was ist gefährdet? Betroffene Ressourcen Welche Dateien und Systeme sind betroffen? Auf welche Netzlaufwerke oder Wechselmedien wurde zugegriffen? Welche Systeme muss ich noch bereinigen? Wie verhindere ich das zukünftig? Konsequenzen Welche Einfallswege für Malware muss ich schließen? Wie kann ich eine Verbreitung im Netzwerk zukünftig verhindern?

18 Sophos Clean der Tatortreiniger Signaturloser on-demand Malwarescanner Forensische Erkennung bisher unbekannter Malware Nutzt Verhaltensanalyse und Cloud-Intelligenz (Internet-Verbindung notwendig) Entfernt persistente Malware Ersetzt infizierte Windows-Resourcen durch sichere Originalversionen

19 Web-Bedrohungen Gefährliche URLs Gefährliche URLs Browser-Exploits Apps USB-Sticks Apps USB-Sticks Was ist passiert? Wie lief die Infektion ab? Malware Viren/Trojaner Viren/Trojaner Zero-Days/APTs Was ist gefährdet? PDF/MS Office Viren/Makros Viren/Makros Office-Exploits Wie verhindere ich das zukünftig? Bereinigung Krypto-Trojaner Krypto-Trojaner Bedrohungen Sophos Central Endpoint Standard Sophos Central Endpoint Advanced Sophos Central Intercept X Ursachenanalyse Sophos Clean

20 Synchronized Security Teamplay statt Best-of-Breed Next-Gen Firewall UTM Sophos Central Endpoint Wireless Web Analyse Next-Gen Endpoint Mobile Dateiverschlüsselung Festplattenverschlüsselung Server

21 Security Heartbeat Beispiel Vireninfektion (1) Virus gefunden 1. Sophos Endpoint Protection oder Intercept X erkennt eine Bedrohung 2. Der Sicherheitsstatus des Clients ändert sich auf rot der Endpoint ist momentan nicht sicher

22 Security Heartbeat Beispiel Vireninfektion (2) Schlüssel entfernen 3. Über den internen SecurityHeartbeat wird der Verschlüsselungsclient informiert, dass der Endpoint momentan nicht sicher ist 4. Die Schlüssel werden entfernt, damit keine Daten gestohlen werden können

23 Security Heartbeat Beispiel Vireninfektion (3) 5. Über den SecurityHeartbeat erfährt die NextGen-Firewall, dass der Endpoint nicht sicher ist 6. Die NextGent-Firewall nimmt den Endpoint solange in Netzwerkquarantäne, bis die Bedrohung beseitigt ist Client in Netzwerkquarantäne

24 Synchronized Security von Sophos Best-of-Breed wird ersetzt durch Security als System Kommunikation von Netzwerk-, Endpointund Verschlüsselungslösungen Erkennung hochentwickelter Bedrohungen Identifizierung kompromittierter Systeme Automatische Reaktion auf Vorfälle Analyse der Infektions- und Verbreitungswege

25

26

27

28

29

30 Intercept X + Synchronized Security in Aktion