Die moderne BedrohungslageRansomware/Exploits

Michael Kretschmann

Channel Account Executive

Sophos – 30 Jahre Erfahrung

• Business via Channel Partner

• Fokus auf KMU und Enterprises

• Gartner: Marktführer in den Bereichen Endpoint, Verschlüsselung & UTM

1985GRÜNDUNGOXFORD, UK

534.9UMSATZ(FY16)

3.000MITARBEITER

200,000+KUNDEN

100M+ANWENDER

HQABINGDON, UK

20,000+CHANNEL PARTNER

45%Enduser

50%Network

5%Other

400in DACH

Sophos HistoryEvolution to complete security

1985

Founded in Abingdon (Oxford), UK

Peter Lammer

c1985Jan Hruska

c1985

Divested non-core Cyber business

Acquired DIALOGS

Acquired Astaro

2011 2012 2013

Acquired UtimacoSafeware AG

20081988

First checksum-

based antivirus software

1989

First signature-based antivirus software

1996

US presence established in Boston

Voted best small/medium sized company in UK

Acquired ActiveState

2014

Acquired Cyberoam

Acquired Mojave

Networks

AcquiredBarricade

IPO London Stock Exchange

Launched Synchronized Security with Security Heartbeat

2003 2015

Acquired Surfright

2017

AcquiredInvincea

2016

AcquiredPhishThreat

AcquiredReflexion

3

Sophos CentralManagement

UTM

EndpointProtection

Mobile VerschlüsselungWireless

VPN

NextGenFirewall

ServerProtection

Exchange NetzwerkSpeicher

Virtuali-sierung

Web-Gateway

Email-Gateway

Webserver-Schutz

Komplette Sicherheit von Sophos

Sandstorm

Synchronized Security Platform and Strategy

Sophos Central

Cloud Intelligence

Sophos Labs

Analytics | Analyze data across all of Sophos’ products to create simple, actionable insights and automatic resolutions

| 24x7x365, multi-continent operation |URL Database | Malware Identities | File Look-up | Genotypes | Reputation | Behavioural Rules | APT Rules Apps | Anti-Spam | Data Control | SophosID | Patches | Vulnerabilities | Sandboxing | API Everywhere

Admin Self Service Partner| Manage All Sophos Products | User Customizable Alerts | Management of Customer Installations

Endpoint/Next-Gen Endpoint

Mobile

Server

Encryption

UTM/Next-Gen Firewall

Wireless

Email

Web

In Cloud On Prem

5

Sophos Central

Cloud Intelligence

Sophos Labs

Analytics | Analyze data across all of Sophos’ products to create simple, actionable insights and automatic resolutions

| 24x7x365, multi-continent operation |URL Database | Malware Identities | File Look-up | Genotypes | Reputation | Behavioural Rules | APT Rules Apps | Anti-Spam | Data Control | SophosID | Patches | Vulnerabilities | Sandboxing | API Everywhere

Admin Self Service Partner| Manage All Sophos Products | User Customizable Alerts | Management of Customer Installations

In Cloud On Prem

6

Mobile

Server

Wireless

Email

WebEncryption

Endpoint/Next-Gen EndpointUTM/Next-Gen Firewall Security Heartbeat™Connecting Endpoint, Firewall and Encryption

Synchronized Security Today

Automated ResponseHealth Status to block access and remove keys

Instant InsightRoot Cause Analysis Summary and Detail

Encryption

Sophos Central

Cloud Intelligence

Sophos Labs

Analytics | Analyze data across all of Sophos’ products to create simple, actionable insights and automatic resolutions

| 24x7x365, multi-continent operation |URL Database | Malware Identities | File Look-up | Genotypes | Reputation | Behavioural Rules | APT Rules Apps | Anti-Spam | Data Control | SophosID | Patches | Vulnerabilities | Sandboxing | API Everywhere

Admin Self Service Partner| Manage All Sophos Products | User Customizable Alerts | Management of Customer Installations

In Cloud On Prem

Endpoint/Next-Gen EndpointUTM/Next-Gen Firewall

Extending Security Heartbeat™ in 2017

7

Mobile

Server

Wireless

Email

Web

Security Heartbeat™

Encryption

The Next Thing in NextGen Endpoint - ProtectionExploit/Ransomware Prevention mitSophos Intercept X, Endpoint Exploit

Prevention und Phish Threat

Warum sind die Krypto-Trojanerso erfolgreich?

Phishing früher…

10

…. und heute

11

Aktuelle Bedrohung: Goldeneye

Ransomware (http://blogs.systweak.com/)

Melani zu Verschlüsselungstrojaner

Gründe in der Art der Angriffe

•Nutzung häufig zugelassener Technologien

• Technologisch fortgeschrittene Schädlinge

•Hochprofessionelle Angreifero (und Nachahmer)

•Geschicktes Social Engineering

80% 10% 5%

Angriffs-fläche

reduzieren

URL FilterungDownload Reputation

Analysevor der

Ausführung

HeuristikenRegelbasiert

Signaturen

Bekannte Malware-Familien

3% 2%

Laufzeit

Verhaltens-erkennung

Exploit Erkennung

Identifizierung von Techniken

Traditionelle Malware Moderne Bedrohungen

Wo Malware am Endpoint aufgehalten wird

Next Generation EnduserProtection

mit Intercept-X

Next Generation Endpoint

Sophos

RANSOMWAREZERO DAY

EXPLOITS

TATORT-

BEREINIGUNG

BEGRENZTE

SICHTBARKEITAnti-Exploit

Stoppt unbekannte

Malware

• Signaturloser Schutz vorZero-Day-Angriffen

• KeinePerformanceeinbußen

Analysiert den

Angriff

• Was ist passiert?

• Was ist gefährdet?

• Wie verhindere ich daszukünftig?

Ursachenanalyse

Stoppt

Krypto-Trojaner

• Erkennt und verhindertVerschlüsselung

• Stellt Originaldateienwieder her

Anti-

Ransomware

Entfernt die

Bedrohung

• Signaturlose Erkennungund Entfernung von bisher unbekannterMalware

Sophos

Clean

Lizenzierung

Sophos CentralEndpoint Standard

Sophos CentralEndpoint Advanced

Anti-Virus, HIPS,LiveProtection

Sophos Central

Web SecurityWeb Filterung

Application Control

Device Control

Malicious TrafficDetection

Security Heartbeat

Anti-Exploit

Anti-Ransomware

Ursachenanalyse

Sophos CleanSophos Central

Sophos CentralEndpoint Standard

Sophos Central

Sophos Central

Sophos CentralEndpoint Advanced

Mitbewerber Anti-Virus

+

+

+

Upgrade für Sophos Kunden

Kombination mit Mitbewerber-AV

Intercept X kann nicht mit dem Sophos on-premise Endpoint kombiniert werden!

Endpoint Exploit Prevention (EXP)in SEC

Mission

Anti-Ransomware/Exploit-Lösung für Kunden die nicht in Sophos Central migrieren können und

deshalb on-prem. bleibenwollen

Crypto Guard (Anti-Ransomware)

Anti Exploit

Sophos Clean

24

Endpoint Exploit Prevention enthält:

EXP – Endpoint Exploit Prevention

• ist NICHT Intercept X

• bringt Anti-Exploit und Anti-Ransomware Funktionalität für on-premiseWindows-Endpoints, die per SEC verwaltet werden

• hat auf Servern nur Anti-Ransomware Funktionalität

• benötigt Sophos Enterprise Console 5.50

• ist eine Zusatzlizenz zu Endpoint Protection Standard oder Advanced

• kann für eine andere (kleinere) Anzahl von Usern lizensiert werden

• beinhaltet stand-alone-Version von Sophos Clean (zukünftig kann der Sophos Clean-Scan von SEC aus gesteuert werden)

Introducing

SOPHOS PHISH THREAT

Pick a Phishing

Attack

Campaign

#1

• Import End-Users

• Select a Testing

Campaign

• Select an Attack

Email

• Select desired

Training Module

based on

Campaign

Objectives

Pick a Security

Training

Module

#2

• Reporting and

Results

• Security Posture

by Organization,

Department or

Individual

Performance

Manage End-

User Response

& Awareness

#3