Cybercrime Überblick über die aktuelle Bedrohungslage Sascha Paris Snr. Sales Engineer Michael Kretschmann Channel Account Executive
Sophos Snapshot 1985 in Oxford, UK gegründet $632.1 Millionen Umsatz in FY17 3,000 Mitarbeiter 250,000+ Kunden 100+ Millionen User 90%+ best in class Renewal Rate 26,000+ Channel Partners SophosLabs Channel first -Strategie Organisches Wachstum & Zukäufe Sophos HQ, Abingdon, UK 2
Zeitreise mit Sophos Auf dem Weg zu Complete Security Gegründet in Abingdon (Oxford), GB Zum besten britischen KMU gekürt Übernahme von Astaro Abstoßung des Nicht- Kerngeschäfts Übernahme von Reflexion Übernahme von Invincea Peter Lammer c1985 Jan Hruska c1985 Gründung der Haupt-US-Niederlassung in Boston Launch von Synchronized Security 1985 1988 1989 1996 2007 2008 2011 2012 2013 2014 2015 2016 2017 Übernahme von ENDFORCE Übernahme von DIALOGS Übernahme von Cyberoam IPO London Stock Exchange Übernahme von Phish Threat Erste Antivirus- Software auf Basis von Prüfsummen Erste signaturbasierte Antivirus-Software Übernahme von Utimaco Übernahme von Mojave Networks Übernahme von Surfright Übernahme von Barricade 3
Synchronized Security Plattform und Strategie Administrator Verwaltung aller Sophos-Produkte Self Service Benutzerdefinierbare Benachrichtigungen Partner Verwaltung von Kundeninstallationen Cloud-Version Sophos Central Lokale Version UTM/Next-Gen Firewall Wireless E-Mail Web Endpoint/Next-Gen Endpoint Mobile Geräte Server Verschlüsselung Cloud Intelligence Analysen Analyse von Daten aller Sophos-Produkte für einfachen Zugriff auf konkrete Informationen und automatische Lösungen SophosLabs Rund um die Uhr auf mehreren Kontinenten aktiv URL-Datenbank Malware-Identitäten Dateiüberprüfung Genotypen Reputation Verhaltensregeln APT-Regel-Apps Anti-Spam Data Control Sophos ID Patches Schwachstellen Sandboxing API Everywhere 4
Ransomware eine «never ending story»? 5 Source: nakedsecurity.sophos.com und www.heise.de
2017: Ransomware Heatmap Wo liegt das Geld? ;o) Source: nakedsecurity.sophos.com 6
Ransomware as a Service «RaaS» Malware und Exploits «as a Service» im Baukastenprinzip (Leider) hochprofessionell arbeitende Anbieter im Schwarzmarktsektor Source: Ransomware as a Service (RaaS): Deconstructing Philadelphia https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/raas-philadelphia.pdf 7
2017: Mac OSX Bedrohungen Während bei Mac s «richtige» Schadsoftware verglichen mit Windows und Android nach wie vor relativ selten ist... 8
2017: Mac OSX Bedrohungen...sieht man auf dem Mac vermehrt PUA s (Potential Unwanted Software) wie fake «System Cleaner» oder «TuneUP» Tools Sowohl geläufige Malware, wie auch die steigende Anzahl solcher PUA s lässt sich mit Endpoint AV Lösungen sehr gut vorbeugen 9
2017: Android Bedrohungen Handys, Tablets und sonstige Geräte auf Android Basis sind nach wie vor ein leichtes Ziel für Schadsoftware Die Offenheit des Android Systemes sowie die schlechte Updatepolitik der meisten Android Derivate (oft nur ~18 Monate lang Updates durch Hersteller) sorgen für Einfallstore durch Schwachstellen, welche durch Malware wie z.bsp. Rootnik oder SLocker ausgenutzt wird 10
2017: Android Bedrohungen Und wie auch auf dem Mac ist PUA und Fake Software ein Problem in der Android Landschaft Sowohl gegen Malware, wie auch die steigende Anzahl solcher PUA s lässt sich mit Endpoint AV Lösungen sehr gut vorbeugen 11
Handhabung mobiler Geräte in Unternehmen Die Geräte sollten generell auf aktuellen Firmwareständen gehalten werden Mobilgeräte mit veralteten Firmwares / ausgelaufenem Herstellersuport sind ein Risiko, und sollten in Unternehmen ausgemustert werden Mobile Device Management Software hilft Ihnen u.a. Geräte mit veralteter Software aufzuspüren und ggf. Auszumustern. AV Software unter Android hilft weitgehend Malware und PUA zu erkennen und fernzuhalten 12
Malware Verteilung über Software Schwachstellen Quelle: nakedsecurity.sophos.com und www.heise.de
Why is protecting vulnerabilities against exploits essential? New malware samples / year Stack Pivot Null Page (Null Dereference Protection) Stack-based ROP Mitigations (Caller) Buffer Overflow Bottom Up ASLR Dynamic Heap Spray Branch-based ROP Mitigations (Hardware Augmented) Reflective DLL Injection Heap Spray Allocation 100,000,000+ Application Lockdown APC Violation Exploit Techniques ~25 Exploit techniques are known today. Every 1-2 years a new technique is found. Stack Exec (MemProt) Squiblydoo AppLocker Bypass WoW64 Hollow Process DLL Hijacking Import Address Table Filtering (IAF) (Hardware Augmented) Load Library Java Lockdown VBScript God Mode Syscall Mandatory Address Space Layout Randomization (ASLR) Structured Exception Handler Overwrite Protection (SEHOP)
Why is protecting vulnerabilities against exploits essential? Exploit Prevention Traditional AV Software Timeline Security Patch availability Security Patch deployed 1,000*n /year New vulnerability gets found / disclosed? Zero day exploits targeting vulnerable systems 100*n /year Exploit payloads gets mitigated by traditional AV solutions
Sophos Labs Malware Forecast 2018 Vier Trends haben sich 2017 hervorgetan und werden voraussichtlich auch 2018 wieder dominieren: Krypto Trojaner auf Basis von RaaS ( Ransomware as a Service ) werden vermehrt mit Wurm Eigenschaften ergänzt in Wellen auftreten Häufung von Android Malware in GooglePlay und weiteren Quellen Fortwährende Versuche Mac Computer zu infizieren Windows Malware unterstützt durch do-it-yourself Exploit Kits welche vermehrt auf Microsoft Office Schwachstellen zielt Source: https://www.sophos.com/en-us/en-us/medialibrary/pdfs/technical-papers/malware-forecast-2018.pdf?la=en 16
Sophos TATORT- BEREINIGUNG Anti- RANSOMWARE Ransomware ZERO DAY EXPLOITS Anti-Exploit Advanced Cleanup BEGRENZTE SICHTBARKEIT Root Cause Analytics Protects against Ransomware Behaviour based recognition and prevention of spontaneus file encryption Protects against exploitation of vulnerable systems Prevents exploitation of software vulnerabilities signatureless Threat remnant removal Forensic cleanup tool for malware remnants Signatureless Threat chain analysis Visualization of the threat chain and involved components https://www.sophos.com/de-de/products/intercept-x.aspx
Mobile Device Management
INTEGRATION UND AUTOMATISIERUNG VON SECURITY-LÖSUNGEN SIND SCHLÜSSELELEMENTE JEDER SICHERHEITSARCHITEKTUR
Synchronized Security Teamplay statt Best-of-Breed Next-Gen Firewall UTM Sophos Central Endpoint Wireless Analyse Next-Gen Endpoint Web Mobile Email Benutzer- Training Dateiverschlüsselung Server Festplattenverschlüsselung
Lektüre: Melani Lage in der Schweiz und International Allgemeiner Überblick zur informationssicherheit in der Schweiz und International Zielgruppe: Entscheider, CISO s, CIO s, IT Fachleute Technisches Niveau: Allgemein Verständlich Link: https://www.newsd.admin.ch/newsd/message/attachments/50177.pdf
Lektüre: GovCERT APT Case RUAG Detaillierte technische Analyse des RUAG Cyber Spionage Cases Zielgruppe: CISO s, IT Fachleute Technisches Niveau: Sehr technisch Link: https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case
Lektüre: EU General Data Protection Regulation (GDPR) Die 2018 in Kraft tretende EU GDPR Regelung betrifft auch viele Schweizer Unternehmen «GDPR requires that any company doing business in the EU no matter the size more securely collect, store and use personal information. Like the big guys, smaller companies face fines for violations that might occur. Zielgruppe: Entscheider, CEO s, CISO s, CIO s, IT Fachleute Technisches Niveau: Allgemein Verständlich Link: https://www.sophos.com/en-us/medialibrary/gated%20assets/white%20papers/sophos-eudata-protection-laws.pdf?la=en
Lektüre: IDC Studie zu NextGen Endpoint Security IDC Studie zu NextGen Endpoint Security Zielgruppe: Entscheider, CISO s, CIO s, IT Fachleute Technisches Niveau: Allgemein Verständlich Link: https://www.sophos.com/de-de/medialibrary/pdfs/other/idc-executive- Brief-Next-Gen-Endpoint-Security-in-DE-2017-Sophos-WEB.ashx?la=de- DE bzw. http://idc.de/de/research/multi-client-projekte/next-gen-endpointsecurity-in-deutschland-2017
Lektüre: SophosLabs 2018 Malware Forecast Forecast Malware 2018 was erwartet uns 2018 Zielgruppe: CIO s, CISO s, IT Fachleute Technisches Niveau: Allgemein Verständlich Link: https://news.sophos.com/en-us/2017/11/02/2018-malware-forecast-ransomware-hits-hardcrosses-platforms/
Produktinformation: Sophos Intercept X Informationen zu Sophos Intercept X Lösung zum Schutz von Rechnern gegen Crypto Trojanern «Ransomware» und Ausnutzung von Schwachstellen «Exploits) Kann sowohl parallel mit dem Sophos Central Endpoint wie auch mit vorhandenen Dritthersteller AV Lösungen betrieben werden Zielgruppe: Entscheider, CIO s, CISO s, IT Fachleute Link: https://www.sophos.com/products/intercept-x.aspx