Schutz vor Ransomware und Cyberangriffen von Morgen! Sebastian Haacke Sales Engineer Sophos 30 Jahre Erfahrung 1985 GRÜNDUNG OXFORD, UK 534.9 UMSATZ (FY16) 3.000 MITARBEITER 400 in DACH HQ ABINGDON, UK 200,000+ KUNDEN 100M+ ANWENDER 20,000+ CHANNEL PARTNER 5% Other 50% Network 45% Enduser Akquisition u.a. von Utimaco 2009, Astaro 2011, Dialogs 2012, Cyberoam 2014, Mojave 2014, Reflexion 2015, SurfRight 2015 Gartner: Marktführer in den Bereichen Endpoint, Verschlüsselung & UTM 1
Synchronized Security Teamplay statt Best-of-Breed Next-Gen Firewall UTM Sophos Central Endpoint Wireless Analyse Next-Gen Endpoint Web Mobile Email Dateiverschlüsselung Server Festplattenverschlüsselung Sophos Central 2
Sophos Central Web Gateway Email Gateway Managed Wifi Zentraler Standort Zweigniederlassung Managed Firewalls Tele-Arbeiter Reisender Mitarbeiter Server Datacenter Admin (Überall) Zentrales Management der kompletten Unternehmenssicherheit Next-Gen Firewall UTM Sophos Central Endpoint Wireless Analyse Next-Gen Endpoint Web Mobile Email Dateiverschlüsselung Server Festplattenverschlüsselung 3
Warum waren die Krypto-Trojaner so erfolgreich? Aktuell Quelle: https://www.heise.de/security/meldung/wannacry-sony-pictures-hacker-aus-nordkorea-unter-verdacht-3714806.html Infrastruktur - Deutsche Bahn - Krankenhäuser Produktion - Renault - Nissan Verbreitung - Per E-Mail - Automatisch über Windows Dateifreigabe Quelle: https://www.heise.de/newsticker/meldung/ransomware-wannacry-befaellt-rechner-der-deutschen-bahn-3713426.html 4
Gründe für Infektionen trotz Best-of-Breed Security Office-Dokumente und PDFs in E-Mails oft zugelassen Technologisch fortgeschrittene Schädlinge Hochprofessionelle Angreifer Geschicktes Social Engineering Sicherheitssysteme fehlen oder falsch konfiguriert Sicherheitssysteme agieren nicht als System Neue Sicherheitskonzepte sind notwendig 5
Verteidigungslinie 1 Gateway Sicherheitsmaßnahmen am Gateway Next Generation Sandbox Intrusion Prevention Echtzeit-Signaturabgleich Heuristiken Signaturbasierter Anti-Virus Webfilterung Netzwerksegmentierung 6
Verteidigungslinie 2 Endpoint Protection Wo Malware am Endpoint aufgehalten wird 80% 10% 5% 3% 2% Angriffsfläche reduzieren Analyse vor Ausführung Signaturen Laufzeit Exploit Erkennung URL-Filterung Download Reputation Device Control Heuristiken Regelbasiert Bekannte Malware- Familien Verhaltenserkennung Identifizierung von Techniken Traditionelle Malware Moderne Bedrohungen 7
Sophos Erweiterte TATORT- Bereinigung BEREINIGUNG Anti- RANSOMWARE Ransomware ZERO DAY EXPLOITS Anti-Exploit BEGRENZTE SICHTBARKEIT Ursachenanalyse Stoppt Krypto-Trojaner Erkennt und verhindert Verschlüsselung Stellt Originaldateien wieder her Stoppt unbekannte Malware Signaturloser Schutz vor Zero-Day-Angriffen Keine Performanceeinbußen Entfernt die Bedrohung Signaturlose Erkennung und Entfernung von bisher unbekannter Malware Analysiert den Angriff Was ist passiert? Was ist gefährdet? Wie verhindere ich das zukünftig? Anti- Ransomware 8
CryptoGuard - lokale Ransomware Unverschlüsselte Datei vor Schreibvorgang Sicherheitskopien Ursachenanalyse Erweiterte Bereinigung mit Sophos Clean Verschlüsselte Datei nach Schreibvorgang CryptoGuard - Ransomware auf Remote Client X Schreibzugriff Sicherheitskopien 9
Wo lauert die größere Gefahr? Haha! Alle Deine Dateien sind verschlüsselt! Geld her! Mal sehen, was man hier so alles mitbekommt.. Anti-Exploit 10
Erkennung unbekannter Malware über Exploit-Techniken Neue Malware-Varianten pro Jahr 100,000,000+ Exploit-Techniken Etwa 1 neue Exploit-Technik pro Jahr, ~20 Techniken existieren insgesamt. Exploit Schutz Stack Pivot Null Page (Null Dereference Protection) Buffer Overflow Bottom Up ASLR Überwacht Stack-based ProzesseROP und erkennt Versuche, Exploit-Techniken Mitigations anzuwenden (Caller) z.b. Buffer Overflow oder Code-Injection Application Lockdown Dynamic Heap Spray Hollow Process Verhindert das Ausnutzen der Verwundbarkeit in unsicheren Stack Exec / ungepatchten (MemProt) Anwendungen Stoppt den Angriff Signaturlos Squiblydoo AppLocker Bypass Keine Performanceeinbußen WoW64 DLL Hijacking Import Address Table Filtering (IAF) (Hardware Augmented) Branch-based ROP Mitigations (Hardware Augmented) Reflective DLL Injection Heap Spray Allocation Load Library Java Lockdown VBScript God Mode Syscall Mandatory Address Space Layout Randomization (ASLR) Structured Exception Handler Overwrite Protection (SEHOP) Whitepaper zu Exploit-Techniken 22 11
Ursachen- Analyse Ursachenanalyse Was ist passiert? Analyse des Vorfalls Identifikation betroffener Prozesse, Registry-Keys, Dateien, Kommunikation Grafische Darstellung der Ereigniskette Eintrittspunkte der Malware ins Netzwerk Was ist gefährdet? Betroffene Ressourcen Welche Dateien und Systeme sind betroffen? Auf welche Netzlaufwerke oder Wechselmedien wurde zugegriffen? Welche Systeme muss ich noch bereinigen? Wie verhindere ich das zukünftig? Konsequenzen Welche Einfallswege für Malware muss ich schließen? Wie kann ich eine Verbreitung im Netzwerk zukünftig verhindern? 12
Finale Verteidigungslinie Sicherheit als System Synchronized Security Security Heartbeat 13
Security Heartbeat - Vireninfektion Virus gefunden Schlüssel entfernen Client in Netzwerkquarantäne Security Heartbeat Botnet C&C-Verkehr erkannt C&C Komunikation Schlüssel entfernen Prozess beenden Client in Netzwerkquarantäne 14
Security Heartbeat fehlender Heartbeat? Client in Netzwerkquarantäne Security Heartbeat Server Heartbeat Virus gefunden Clients Server in Netzwerkquarantäne Server 15
Demo Synchronized Security Demo Synchronized Security 16
Synchronized Security Teamplay statt Best-of-Breed Next-Gen Firewall UTM Sophos Central Endpoint Wireless Analyse Next-Gen Endpoint Web Mobile Email Dateiverschlüsselung Server Festplattenverschlüsselung Synchronized Security von Sophos Best-of-Breed wird ersetzt durch Security als System Kommunikation aller Security-Lösungen des Sophos-Ökosystems miteinander Erkennung hochentwickelter Bedrohungen Identifizierung kompromittierter Systeme Automatische Reaktion auf Vorfälle Analyse der Infektions- und Verbreitungswege 17