IT-Security-Symposium 2019 IT- Security im Fokus

Transkript

1 IT-Security-Symposium 2019 IT- Security im Fokus Datensicherheit richtig überwachen und verwalten wie Sie Datenschutzverstöße verhindern. Referent: Michael Veit, Technology Evangelist, Sophos

2 Sicherheit-als-System zum Schutz vor Hackern und Zero-Days Michael Veit Technology Evangelist, Sophos

3 Sophos im Überblick 1985 in Oxford, UK gegründet $768 Millionen Umsatz in FY18 20% Wachstum/Jahr - vgl. IT-Security-Markt = 7% > Mitarbeiter, davon ca. 500 in DACH Kunden 100+ Millionen User Channel Partner Gartner: Marktführer in den Bereichen Endpoint, Firewall & Verschlüsselung Firewall Web Wireless Sophos Central Server Encryption Mobile Endpoint

4 Wie werden Unternehmen heute mit Malware infiziert?

5 Malware gelangt ins Unternehmen über.... private USB-Sticks.. gefährliche Websites DHL Germany Phishing s.. nicht zugelassene Apps

6 Die Malware wird gestartet....heruntergeladen und ausgeführt durch den Benutzer..über vom Benutzer aktivierte MS-Office-Makros Plugin Plugin.automatisch beim Besuch einer Webseite per Exploit in Browser (-Plugin)

7 Die Malware wird installiert UND gestartet.. Netzwerk Infizierter Rechner..automatisch über das Netzwerk per Exploit in einem Netzwerkdienst

8 Moderne Malware....stiehlt geistiges Eigentum und personenbezogene Daten..verschlüsselt Daten..schürft Krypto-Währungen

9 neue Malware pro Tag 75% nur in einem Unternehmen Quelle: SophosLabs

10 Die Evolution der Endpoint-Sicherheit: von AntiVirus zu EDR

11 BANK $ Anti Virus GESUCHT! Machine Learning VERDÄCHTIG! Vor der Ausführung

12 Machine Learning + +? ?

13 Machine Learning / Deep Learning Schützt vor den 40% der Malware, die als Programmdatei kommt Schützt nicht vor Infektionen per Exploit, speicherbasierter bzw. dateiloser Malware oder Dokumenten-Malware Programmdateien Malware Dokumente, Mediendateien, Skripte, Java, Webseiten, dateilose Malware rein speicherbasierte Angriffe 40% 60%

14 BANK $ Anti Virus GESUCHT! Deep Learning Verdächtig! Exploit Prevention Techniken! Verhaltens- Erkennung Aktionen! Vor der Ausführung Nach der Ausführung

15 Konsequenz: Security braucht viele Schichten

16 Bester Endpoint-Schutz und niedrigster TCO NSS Labs ADVANCED ENDPOINT PROTECTION COMPARATIVE REPORT MAR 2019

17 Konsequenz: Komponenten müssen als System agieren

18 BANK Anti Virus Deep Learning Exploit Prevention Verhaltens- Erkennung GESUCHT! Verdächtig! Techniken! Aktionen! Vor der Ausführung Nach der Ausführung

19 BANK Security Heartbeat

20 BANK $ Endpoint Detection & Response

21 Umfrage unter IT-Verantwortlichen 73% wurden 2018 Opfer durchschnittlich zweimal 20% wissen nicht, wie sie infiziert wurden Stunden Reaktionszeit 4 Tage Aufwand pro Monat für Untersuchungen, davon 85% umsonst Umfrage unter IT-Verantwortliche weltweit in Unternehmen von Mitarbeitern, Zeitraum Dez Jan.2019

22 Kundenbeispiel EMOTET

23 Advanced with EDR Demo

24 Benutzer als schwächstes Glied in der Abwehrkette erkennen und schulen

25

26

27 Phishing- s sind Einfallsweg #1 für Ransomware Überprüfung Ihrer Daten Message(HTML)

28 Schutz gegen moderne -Bedrohungen Schutz am Gateway & Web Schutz Anti-Virus & Anti-SPAM Machine Learning URL-Filterung Time-of-click URL Schutz Sandboxing Schutz am Endpoint Endpoint-Schutz Anti-Malware Machine Learning Anti-Exploit Anti-Ransomware Anti-Hacker

29 Schutz gegen moderne -Bedrohungen Schutz am Gateway & Web Schutz Anti-Virus & Anti-SPAM Machine Learning URL-Filterung Time-of-click URL Schutz Sandboxing Benutzer-Training Angriffs-Simulation Training Überprüfung Reporting Schutz am Endpoint Endpoint-Schutz Anti-Malware Machine Learning Anti-Exploit Anti-Ransomware Anti-Hacker

30 Phish Threat

31 Phish Threat

32 Automatisierung durch IT-Sicherheit als System Synchronized Security

33

34 Vorgehen bei Bedrohungen ohne Synchronized Security

35 Die Bedrohung wird erkannt Security

36 ..und analysiert Security Es wurden Dateien auf dem Fileserver verschlüsselt

37 ..und analysiert Security..und vertrauliche Daten an einen Angreifer im Internet geschickt

38 ..und analysiert Security..außerdem wurden weitere Endpoints infiziert

39 Action!!! Security Endpoint Der Endpoint- muss die betroffenen Clients finden und bereinigen

40 Action!!! Security Endpoint Netzwerk Der Netzwerk- muss die Switchports der betroffenen Clients finden und deaktivieren

41 Action!!! Security Endpoint Netzwerk WLAN Der WLAN- muss sicherstellen, dass die infizierten Clients sich nicht mehr per WLAN verbinden können

42 Action!!! Security Endpoint Netzwerk WLAN Firewall Der Firewall- muss sicherstellen, dass die infizierten Clients nicht mehr ins Internet und in die DMZ kommen

43 Action!!! Security Endpoint Netzwerk WLAN Firewall Backup Der Backup- muss die verschlüsselten Dateien zurücksichern

44 Action!!! Security Endpoint Netzwerk WLAN Firewall Backup Sicherheitsbeauftragter Jetzt wird der Sicherheitsbeauftragte informiert..

45 Action!!! Security Endpoint Netzwerk WLAN Firewall Backup Sicherheitsbeauftragter CEO..der die Leitung informiert, dass Daten gestohlen wurden

46 Und wie sieht es mit Synchronized Security aus?

47 Vorgehen bei Bedrohungen mit Synchronized Security Clients, Server, Mobilgeräte, WLAN-APs und Firewall kommunizieren per SecurityHeartbeat direkt miteinander Security Heartbeat

48 Vorgehen bei Bedrohungen mit Synchronized Security Bei einer Bedrohung werden alle Komponenten informiert und reagieren automatisch Security Heartbeat

49 Vorgehen bei Bedrohungen mit Synchronized Security Der Client isoliert sich selbst.. Security Heartbeat

50 Vorgehen bei Bedrohungen mit Synchronized Security Die Firewall nimmt den Client in Netzwerkquarantäne und verhindert Kommunikation ins Internet oder die DMZ Security Heartbeat

51 Vorgehen bei Bedrohungen mit Synchronized Security Die Clients im selben Netz kommunizieren nicht mehr mit dem infizierten Client Security Heartbeat

52 Vorgehen bei Bedrohungen mit Synchronized Security Der WLAN Access Point lässt den infizierten Client nicht mehr ins interne WLAN Security Heartbeat

53 Vorgehen bei Bedrohungen mit Synchronized Security..die Bedrohung wird bereinigt.. Security Heartbeat

54 Vorgehen bei Bedrohungen mit Synchronized Security.. und der Angriff wird per EDR analysiert. Jetzt wissen wir, wie die Bedrohung ins Netz kam, ob sie sich ausgebreitet hat und ob Daten gestohlen wurden. Security Heartbeat

55 Vorgehen bei Bedrohungen mit Synchronized Security..der sieht, dass alles automatisch eingedämmt wurde und keine Daten gestohlen wurden.. Security Heartbeat

56 Vorgehen bei Bedrohungen mit Synchronized Security CEO..und der Chef ist zufrieden, dass die IT Sicherheit einfach funktioniert. Security Heartbeat

57 Demo Synchronized Security

58 Sophos Synchronized Security Firewall Web Wireless Sophos Central Server Encryption Mobile Endpoint

59