Ransomware-Angriffe in Sekunden stoppen und reparieren Das ist InterceptX von Sophos Roman Schlenker Senior Sales Engineer
Warum waren die Krypto-Trojaner so erfolgreich?
Ransomware in Aktion
Ransomware in Aktion
Neue Sicherheitskonzepte sind notwendig
Wo Malware am Endpoint aufgehalten wird 80% 10% 5% 3% 2% Angriffsfläche reduzieren Analyse vor Ausführung Signaturen Laufzeit Exploit Erkennung URL-Filterung Download Reputation Heuristiken Regelbasiert Bekannte Malware- Familien Verhaltenserkennung Identifizierung von Techniken Device Control Traditionelle Malware Moderne Bedrohungen
Sophos TATORT- BEREINIGUNG Anti- RANSOMWARE Ransomware ZERO DAY EXPLOITS Anti-Exploit Sophos Clean BEGRENZTE SICHTBARKEIT Ursachenanalyse Stoppt Krypto-Trojaner Erkennt und verhindert Verschlüsselung Stellt Originaldateien wieder her Stoppt unbekannte Malware Signaturloser Schutz vor Zero-Day-Angriffen Keine Performanceeinbußen Entfernt die Bedrohung Signaturlose Erkennung und Entfernung von bisher unbekannter Malware Analysiert den Angriff Was ist passiert? Was istgefährdet? Wie verhindere ich das zukünftig?
Web-Bedrohungen Gefährliche URLs Gefährliche URLs Browser-Exploits Apps USB-Sticks Apps USB-Sticks Was ist passiert? Wie lief die Infektion ab? Malware Viren/Trojaner Viren/Trojaner Zero-Days/APTs Was ist gefährdet? PDF/MS Office Viren/Makros Viren/Makros Office-Exploits Wie verhindere ich das zukünftig? Bereinigung Ransomware Ransomware Bedrohungen Sophos Central Endpoint Standard Sophos Central Endpoint Advanced Sophos Central Intercept X Ursachenanalyse Sophos Clean
Anti-Ransomware
CryptoGuard - lokale Ransomware Unverschlüsselte Datei vor Schreibvorgang Sicherheitskopien Ursachenanalyse Erweiterte Bereinigung mit Sophos Clean Verschlüsselte Datei nach Schreibvorgang
CryptoGuard - Ransomware auf Remote Client X Schreibzugriff Sicherheitskopien
Wo lauert die größere Gefahr? Encrypted! Give me all your Bitcoin$ Mal sehen, was es hier schönes gibt
Anti-Exploit
Erkennung unbekannter Malware über Exploit-Techniken Neue Malware-Varianten pro Jahr 100,000,000+ Exploit-Techniken Etwa 1 neue Exploit-Technik pro Jahr, ~20 Techniken existieren insgesamt. Exploit Schutz Stack Pivot Null Page (Null Dereference Protection) Buffer Overflow Bottom Up ASLR Überwacht Stack-based ProzesseROP und erkennt Versuche, Exploit-Techniken Mitigations anzuwenden (Caller) z.b. Buffer Overflow oder Code-Injection Application Lockdown Dynamic Heap Spray Hollow Process Verhindert das Ausnutzender Verwundbarkeit in unsicheren Stack Exec / ungepatchten (MemProt) Anwendungen Stoppt den Angriff Signaturlos Squiblydoo AppLocker Bypass Keine Performanceeinbußen WoW64 DLL Hijacking Import Address Table Filtering (IAF) (Hardware Augmented) Branch-based ROP Mitigations (Hardware Augmented) Reflective DLL Injection Heap Spray Allocation Load Library Java Lockdown VBScript God Mode Syscall Mandatory Address Space Layout Randomization (ASLR) Structured Exception Handler Overwrite Protection (SEHOP)
Erkennung unbekannter Malware über Exploit-Techniken 16
RCA Root Cause Analysis Ursachenanalyse
Ursachenanalyse Was ist passiert? Analyse des Vorfalls Identifikation betroffener Prozesse, Registry-Keys, Dateien, Kommunikation Grafische Darstellung der Ereigniskette Eintrittspunkte der Malware ins Netzwerk Was ist gefährdet? Betroffene Ressourcen Welche Dateien und Systeme sindbetroffen? Auf welche Netzlaufwerke oder Wechselmedien wurde zugegriffen? Welche Systeme muss ich noch bereinigen? Wie verhindere ich das zukünftig? Konsequenzen Welche Einfallswege für Malware muss ich schließen? Wie kann ich eine Verbreitung im Netzwerk zukünftig verhindern?
Ursachenanalyse
Erweiterte Bereinigung
Sophos Clean der Tatortreiniger Signaturloser on-demand Malwarescanner Forensische Erkennung bisher unbekannter Malware Nutzt Verhaltensanalyse und Cloud-Intelligenz (Internet-Verbindung notwendig) Entfernt persistente Malware Ersetzt infizierte Windows-Resourcen durch sichere Originalversionen
Lizenzierung
Anti-Virus, HIPS, LiveProtection Web Security Web Filterung Sophos Central Endpoint Standard Sophos Central Endpoint Advanced Sophos Central Upgrade für Sophos Kunden Sophos Central Endpoint Standard + Sophos Central Application Control Device Control Malicious Traffic Detection Security Heartbeat Sophos Central Endpoint Advanced + Sophos Central Anti-Exploit Kombination mit Mitbewerber-AV Anti-Ransomware Mitbewerber Anti-Virus Ursachenanalyse + Sophos Central Sophos Clean Intercept X kann nicht mit dem Sophos on-premise Endpoint kombiniert werden!