Next Generation Server Protection Ransomware-Schutz, automatisches Whitelisting und Synchronized Security Michael Veit Technology Evangelist
Server-Schutz der nächsten Generation Wer ist Sophos? Automatisches Whitelisting mit Server Lockdown Anti-Ransomware für Applikations- und Fileserver Sicherheit in virtuellen Umgebungen Synchronized Security - Sicherheit als System ersetzt Best-of-Breed Zentrales Management der kompletten Unternehmenssicherheit mit Sophos Central
Sophos mehr als 30 Jahre Erfahrung 1985 GRÜNDUNG OXFORD, UK 534.9 UMSATZ (FY16) 3.000 MITARBEITER 400 in DACH HQ ABINGDON, UK 200,000+ KUNDEN 100M+ ANWENDER 20,000+ CHANNEL PARTNER 5% Other 50% Network 45% Enduser Akquisition u.a. von Utimaco 2009, Astaro 2011, Dialogs 2012, Cyberoam 2014, Mojave 2014, Reflexion 2015, SurfRight 2015, Barricade 2016, Invincea 2017 Gartner: Marktführer in den Bereichen Endpoint, Verschlüsselung & UTM
Komplette Sicherheit von Sophos Sophos Central Management Sandstorm UTM NextGen Firewall VPN Web-Gateway Email-Gateway Wireless Endpoint Protection Mobile Verschlüsselung Server Protection Exchange Netzwerk Speicher Virtualisierung Webserver-Schutz
Automatisches Whitelisting mit Server Lockdown
Server Lockdown Enthalten in Cloud Server Protection Advanced Ein Click -> Whitelisting des laufenden Systems mit allen Anwendungen (ca. 2-3 Stunden) Neue/modifizierte Anwendungen starten nicht Nur autorisierte Anwendungen dürfen Anwendungen modifizieren/installieren (z.b. Windows Update) Für höchste Sicherheitsanforderungen (z.b. DMZ-Server)
Was passiert beim Lockdown? Status Sophos Central Central Management Datei Whitelisting der Datei notwendig? Executable Malware- Check Executable Profil / Fingerprint erzeugen Executable Zur Whitelist hinzufügen Vertrauensverhältnisse abfragen Whitelisting Server Server Server Vertrauensregeln anwenden
Beispiel 1: Zero Day Attacke Applikation Windows Updater Autorisierte Update-Prozesse können andere Anwendungen aktualisieren modifizieren Bösartiges Programm Nicht autorisiertes Programm, kann nicht ausgeführt werden
Beispiel 2: Zero Day Attack via Skript Windows Updater Autorisierte Update-Prozesse können andere Anwendungen aktualisieren modifizieren Applikation DLLs Bösartige DLL Skript Engine Bösartiges Skript Skript-Engine will bösartiges Skript ausführen: Verteidigungslinie 1: HIPS greift ein Skript injiziert bösartige DLL Verteidigungslinie 2: Whitelisting verhindert Ausführung
Anti- Ransomware
CryptoGuard Enthalten in Central Server Protection Advanced und Endpoint exploit Prevention (EXP) Erkennt und verhindert nicht-autorisierte Verschlüsselung Legt bei Schreibvorgängen speziell geschützte Kopien der Originaldateien an Überwacht lokale Prozesse sowie Zugriffe von Remote Clients auf freigegebenen Verzeichnissen auf Fileservern Sperrt bei nicht-autorisierter Verschlüsselung den Zugriff des Prozesses bzw. des Remote Clients Stellt die Originaldateien wieder her
CryptoGuard Schutz vor lokaler Ransomware Unverschlüsselte Datei vor Schreibvorgang Sicherheitskopie Applikationsserver/ Terminalserver Verschlüsselte Datei nach Schreibvorgang
CryptoGuard Schutz vor Clients mit Ransomware X Schreibzugriff Sicherheitskopien Fileserver
Sicherheit in virtuellen Umgebungen
Variante 1: Sophos for Virtual Environments Sophos Security VM Datei-Scan Bereinigung Updates Management Reporting Guest VM (VDI Client) Guest VM (virt. Server) Sophos Lightweight Agent Enterprise Console
Variante 2: Voller Endpoint Client Datei-Scan HIPS / BOPS Download Rep. / App Ctrl MTD / Web Control Whitelisting Exploit Prev. / CryptoGuard Benachricht. /Bereinigung Updates Management Reporting Guest VM (VDI Client) Guest VM (virt. Server) Sophos Full Agent Enterprise Console
Security Heartbeat Synchronized Security
Synchronized Security Teamplay statt Best-of-Breed Next-Gen Firewall UTM Sophos Central Endpoint Wireless Web Analyse Next-Gen Endpoint Mobile Email Dateiverschlüsselung Festplattenverschlüsselung Server
Security Heartbeat Server Heartbeat Virus gefunden Clients Server in Netzwerkquarantäne Server
Sophos Central
Sophos Central Web Gateway Email Gateway Managed Wifi Zentraler Standort Zweigniederlassung Managed Firewalls Tele-Arbeiter Reisender Mitarbeiter Server Datacenter Admin (Überall)
Sophos Central Partner Dashboard Admin Self Service Verwaltung aller Kunden Lizenzen Administration Trials Sicherheitsereignisse MSP Endpoint Mobile Server Verschlüsselung Wireless Web Gateway Email Security Firewall Benutzer-Zugriff Email-Quarantäne Verschlüsselungs-Recovery BYOD Mobilgeräte Notfall-Inbox
Vorteile Einheitliches Management und Reporting für die gesamte IT-Security im Unternehmen Zusammenspiel der Komponenten durch Synchronized Security Outsourcing der IT-Security an Systemhaus/MSP einfach möglich Keine eigene Management-Infratruktur benötigt (keine MS-CALs) Komplette Sicherheit schnell und einfach ausgerollt Schutz aller Mitarbeiter auf allen Geräten überall Stapelbare Lizenzen Einfache Evaluation neuer Funktionen