Post on 23-May-2020
Die Revolution der IT-Security Sophos Synchronized Security
Michael VeitTechnology Evangelist
Sophos – 30 Jahre Erfahrung
• Akquisition u.a. von Utimaco 2009, Astaro 2011, Dialogs 2012, Cyberoam 2014, Mojave 2014, Reflexion 2015, SurfRight 2015
• Gartner: Marktführer in den Bereichen Endpoint, Verschlüsselung & UTM
1985GRÜNDUNGOXFORD, UK
534.9UMSATZ(FY16)
3.000MITARBEITER
200,000+KUNDEN
100M+ANWENDER
HQABINGDON, UK
20,000+CHANNEL PARTNER
45%Enduser
50%Network
5%Other
400in DACH
Sophos CentralManagement
UTM
EndpointProtection
Mobile VerschlüsselungWireless
VPN
NextGenFirewall
ServerProtection
Exchange NetzwerkSpeicher
Virtuali-sierung
Web-Gateway
Email-Gateway
Webserver-Schutz
Komplette Sicherheit von Sophos
Sandstorm
Warum waren die Krypto-Trojanerso erfolgreich?
Gründe in der Art der Angriffe
•Office-Dokumente und PDFs in E-Mails oft zugelassen
• Technologisch fortgeschrittene Schädlinge
•Hochprofessionelle Angreifer
•Geschicktes Social Engineering
• Updates / Patches nicht (zeitnah) eingespielt
• Mangelhaftes Backupkonzept
• Fehlende Netzwerk-segmentierung
• Mangelhaftes Benutzer-/Rechtekonzept
• Mangelhafte Schulung der Benutzer
• Sicherheitssysteme nicht vorhanden oder falsch konfiguriert
• Sicherheitssysteme agieren nicht als System
Gründe bei den angegriffenen Unternehmen
Neue Sicherheitskonzeptesind notwendig
Gibt es eine
Silver Bulletin der IT Security?
Sandboxing
Whitelisting
Exploit Prevention
SIEM
Verschlüsselung
Anti-Virus
IPS / IDS
Agentenloser Scan
Big Data Analysis
HIPS
AI/Machine Learning
Firewall
Nein!Ein mehrstufiger Ansatz ist notwendig
Verteidigungslinie 1Gateway
Sicherheitsmaßnahmen am Gateway
Webfilterung
Heuristiken
Signaturbasierter Anti-Virus
Echtzeit-Signaturabgleich
Intrusion Prevention
Next Generation Sandbox
Netzwerksegmentierung
Sophos Sandstorm – Sandboxing als Service
• Abgeschottete Umgebung, in der unbekannte Dateien ausgeführtwerden
• Verhaltensbasierte Analyse zur Erkennung von APTs und Zero-Days
• Untersucht über 40 Dateitypen unter Windows, Mac und Android- u.a. Office-Dokumente, PDFs, ausführbare Dateien, FLASH, Java, Javascript, HTML5
• Verfügbar als Security-as-a-Service per Zusatzlizenz in Sophos Web- und Email-Gateways sowie Sophos UTM/NextGen Firewalls
Wie Sophos Sandstorm funktioniert
VerdächtigeDateien
Zulassen/Blockieren
Reporting
Verhaltensanalyse
Web Gateway
Email Gateway
UTMNext-GenFirewall
Sophos Sandstorm
Bekannte Datei ?
Verteidigungslinie 2Endpoint Protection
Verteidigungslinie 2: Endpoint
Applikationskontrolle
Heuristiken
Virensignaturen HIPS
Bereinigung
Device-Kontrolle
Webfilter
Cryptoguard
Botnet-C&C-Erkennung
Echtzeit-Signaturen
Root Cause Analysis
Exploit Prevention
WhitelistingVerhindern
Erkennen
Reagieren
Download Reputation Verschlüsselung
Security Heartbeat
Synchronized Security
Applikationskontrolle
Heuristiken
Virensignaturen HIPS
Bereinigung
Device-Kontrolle
Webfilter
Cryptoguard
Botnet-C&C-Erkennung
Echtzeit-Signaturen
Root Cause Analysis
Exploit Prevention
Whitelisting
Download Reputation Verschlüsselung
Security Heartbeat
Synchronized Security
Verhindern
Erkennen
Reagieren
Verteidigungslinie 2: Endpoint
80% 10% 5%
Angriffsfläche reduzieren
URL-Filterung
Download Reputation
Device Control
Analyse vorAusführung
Heuristiken
Regelbasiert
Signaturen
Bekannte Malware-Familien
3% 2%
Laufzeit
Verhaltens-erkennung
Exploit Erkennung
Identifizierung von Techniken
Traditionelle Malware Moderne Bedrohungen
Wo Malware am Endpoint aufgehalten wird
Sophos Intercept X
RANSOMWARE ZERO DAYEXPLOITS
BEGRENZTESICHTBARKEIT
Anti-Exploit
Stoppt unbekannte Malware
• Signaturloser Schutz vorZero-Day-Angriffen
• Verhindert Angriffstechniken
• Keine Performanceeinbußen
Analysiert den Angriff• Visualisierung der betroffenen
Prozesse, Dateien, Beziehungen
• Ermöglicht schnelle und gezielteReaktion auf Angriffe
• Erweiterte Bereinigung
Ursachenanalyse
Stoppt Krypto-Trojaner• Erkennt und verhindert
Verschlüsselung
• Stellt Originaldateienwieder her
Anti-Ransomware
Installation zusätzlich zu Sophos Central Endpoint Advanced oder Mitbewerber Anti-Virus
ANTI-RANSOMWARE
CryptoGuard
•Überwacht, ob ein Prozess Dateien verändert
•Legt speziell geschützte Kopien der Originaldateien an
•Wenn ein nicht-autorisierter Prozess Dateien verschlüsselt, dannowird dem Prozess der Zugriff aufs Dateisystem entzogenowerden die Original-Dateien wiederhergestelltowerden Informationen zur Ursachenanalyse gesammelt
ANTI-EXPLOIT
Erkennung unbekannter Malware über Exploit-Techniken
?
Exploit-Techniken
Etwa 1 neue Exploit-Technik pro Jahr, ~20 Techniken existieren insgesamt.
Neue Malware-Varianten pro Jahr
100,000,000+
Exploit Schutz
• Überwacht Prozesse und erkennt Versuche, Exploit-Techniken anzuwendenz.B. Buffer Overflow oder Code-Injection
• Stoppt den Angriff
• Verhindert das Ausnutzen der Verwundbarkeit
• Signaturlos
• Keine Performanceeinbußen
URSACHEN-ANALYSE
Was ist passiert?
• Ursachenanalyse
• Automatisches Reporting der Aktivität eines Prozesses (Dateizugriffe, Kommunikation, Starten von Prozessen, Registry-Veränderungen, sonstige Aktivitäten im System)
• Detaillierte grafische Darstellung der Aktivitäten/Interaktionen
Was ist gefährdet?• Betroffene Ressourcen
• Liste der zugegriffenen/veränderten Dokumente, Executables, Libraries, Registry-Einträge und anderer Dateien
• Angeschlossene Geräte (z.B. Mobilgeräte) oder zugegriffene Netzwerkressourcen
Zukünftige Schutzmaßnahmen
• Konsequenzen
• Empfehlungen basierend auf Sicherheitsvorfällen
• Maßnahmen, um zukünftige Vorfälle zu verhindern
Ursachenanalyse
Sophos CentralEndpoint Standard
Sophos CentralEndpoint Advanced
Sophos CentralIntercept X
Sophos Clean
Viren/Trojaner
Web-Bedrohungen
Ursachenanalyse
Office-ExploitsViren/Makros
Zero-Days/APTsViren/Trojaner
Viren/Makros
Was ist passiert?
Wie lief die Infektion ab?
Was ist gefährdet?
Wie verhindere ich das zukünftig?
Gefährliche URLs Gefährliche URLs Browser-Exploits
Apps
USB-Sticks
Malware
PDF/MS Office
Krypto-Trojaner
Bedrohungen
Apps
USB-Sticks
Krypto-Trojaner
Bereinigung
Finale VerteidigungslinieSicherheit als System
Synchronized Security
Synchronized Security – Teamplay statt Best-of-Breed
Analyse
Next-Gen Firewall
Wireless
Web
Festplattenverschlüsselung
UTM
Dateiverschlüsselung
Endpoint
Next-Gen Endpoint
Mobile
Server
Sophos Central
Security Heartbeat
Synchronized Security
Endpoints
SophosXG Firewall
Server DMZ
InternetCompliant
Nichtcompliant
Nichtcompliant
Rechner, die nichtcompliant sind, werdengeblockt und identifiziert
Teilweisecompliant
Rechner, die teilweisecompliant sind, werdenidentifiziert und dürfen nur auf bestimmte Ziele zugreifen
Security Heartbeat – Zugriff basierend auf Client-Status
Security Heartbeat - Vireninfektion
Virus gefunden
Schlüsselentfernen
Client in Netzwerkquarantäne
Security Heartbeat – Botnet C&C-Verkehr erkannt
C&C Komunikation
Schlüsselentfernen
Client in NetzwerkquarantäneProzessbeenden
Security Heartbeat – fehlender Heartbeat
Client in Netzwerkquarantäne
?
1. Admin sieht verdächtigen/unbekannten Traffic
?
VerdächtigerEndpoint Firewall
2. Firewall fordert Kontext vom Endpoint an
3. Information über Applikation wird ausgetauscht
Admin kann gezielte Maßnahmenergreifen (block, shape, throttle)
Security Heartbeat – ApplikationskontextInformationen und Kontrolle über unbekannte Apps
Security Heartbeat – Abfrage des Clients von der Firewall aus bei erkannter APT-Kommunikation
Security Heartbeat
• Status des Clients wird erfasst, u.a.o User-Informationo Health-Statuso Applikations-/Netzwerkverbindungskontexto Quarantäne
• Kommunikation mit der XG-Firewallo Verschlüsselte, authentisierte, persistente Verbindung zum Cliento Bidirektionaler Austausch von Informationen, u.a. Client-Statuso Automatische Abfrage des Clients von der Firewall bei APT-Kommunikationo Erkennung von fehlendem Heartbeat o Manuelle Abfrage durch Firewall nach Applikations-Kontext
• Automatisches Entfernen von SafeGuard-Schlüsselmaterial aus dem Speicher bei kritischem Client-Status
Synchronized Security – Teamplay statt Best-of-Breed
Analyse
Next-GenFirewall
Wireless
Web
Festplattenverschlüsselung
UTM
Dateiverschlüsselung
Endpoint
Next-Gen Endpoint
Mobile
Server
Sophos Central
Sophos Central
Sophos Central
Admin(Überall)
Zentraler Standort
Zweigniederlassung
Tele-Arbeiter
ReisenderMitarbeiter
Server
Web Gateway
EmailGateway
Managed Wifi
Managed Firewalls
Datacenter
Verwaltung aller Kunden• Lizenzen• Administration• Ereignisse
Endpoint
Email Security
Web Gateway
Server
Verschlüsselung
Mobile
Wireless Benutzer-Zugriff• Quarantäne• Verschlüsselungs-
Recovery
Sophos Central
Partner Dashboard Admin Self Service
Vorteile für Unternehmen
•Einheitliches Management und Reportingfür die gesamte IT-Security
•Kein eigener Managementserver benötigt
•Komplette Sicherheit schnell und einfach ausgerollt
•Schutz aller Mitarbeiter auf allen Geräten – überall
•Stapelbare Lizenzen
•Einfache Evaluation neuer Funktionen
Sophos Central – typische Kunden
55
• SMB und Großunternehmen mit vielen mobilen MA
• Unternehmen o die keine Server-Infrastruktur bereitstellen können/wollen
o die Microsoft-CALs sparen möchten (kein Windows-Managementserver)
o die Einsparpotential bei Infrastruktur sehen
o die schon im Bereich Email (z.B. Office 365), CRM (z.B. Salesforce), ERP (z.B. Oracle), Storage (z.B. OneDrive for Business) u.ä. auf Cloud basierende Produkte setzen
o die Auslagerung der IT (Security) an ein Systemhaus bevorzugen
• Ersetzen von Mitbewerber-Installationen
• Strategiewechsel – lokale Installation zu Cloud
Sophos CentralFunktionen
Sophos Central
57
Verteilte Update Infrastruktur
Zentrale Administration Schnelle Bereitstellung
Dynamische Lizenzierung
Vorteile• Keine lokalen Server & Infrastruktur benötigt• Flexibilität – User & Maschinen-Richtlinien• Lokale Update Quellen
Lösung von Herausforderungen• Lösung für alle Security-Herausforderungen• Schutz aller Geräte mit einer Lösung• Schutz der mobilen Endgeräte
Features• Zentrales Management für Sophos Produkte• Intuitives und einfaches Management• Umfassendes Reporting
Sophos Central
58
Verteilte Update Infrastruktur
Zentrale Administration Schnelle Bereitstellung
Dynamische Lizenzierung
Vorteile• Keine lokalen Server & Infrastruktur benötigt• Flexibilität – User & Maschinen-Richtlinien• Lokale Update Quellen
Lösung von Herausforderungen• Lösung für alle Security-Herausforderungen• Schutz aller Geräte mit einer Lösung• Schutz der mobilen Endgeräte
Features• Zentrales Management für Sophos Produkte• Intuitives und einfaches Management• Umfassendes Reporting
Zentrales Dashboard
Ereignis- und Protokollansicht
Benutzerbasierte Richtlinien und Verwaltung
Sophos Central Endpoint
62
Device Control
Advanced Threat Protection
Application Control
Web Control
Vorteile• Reduzierte Angriffsoberfläche• Umfangreiche Kontrollmechanismen• Richtlinien auf Benutzer oder Gruppen-Ebene
Lösung von Herausforderungen• Schutz vor Advanced Threats• Kontrolle von Applikationen & Peripherie• Sicheres Surfen für Außendienstmitarbeiter
Features• AV mit HIPS & NextGen Technologien• Verhindert Zugriff auf schadhafte Webseiten• Schützt Windows & Mac Clients
Sophos Central Endpoint
63
Device Control
Advanced Threat Protection
Application Control
Web Control
Vorteile• Reduzierte Angriffsoberfläche• Umfangreiche Kontrollmechanismen• Richtlinien auf Benutzer oder Gruppen-Ebene
Lösung von Herausforderungen• Schutz vor Advanced Threats• Kontrolle von Applikationen & Peripherie• Sicheres Surfen für Außendienstmitarbeiter
Features• AV mit HIPS & NextGen Technologien• Verhindert Zugriff auf schadhafte Webseiten• Schützt Windows & Mac Clients
NextGen Endpoint Protection
Ursachenanalyse
Sophos Endpoint – Präventive Massnahmen
66
Application Control
• Blockieren von unerwünschten Applikationen
• 1.000+ Applikationen in 50+ Kategorien
Device Control
• Blockieren von unerwünschter Peripherie
• Ausnahmen basierend auf Seriennummer oder Modell
Web Control
• Kontrolliert Web Zugriff
• URL- basierter Kategorie & Dateityp Filter
Sophos Endpoint – Advanced Protection
67
Malicious Traffic Detection
• Überwacht Netzwerkverkehr auf Kommunikation mit C2C Servern
• Schutz vor Advanced Threats
• Kommunikation wird blockiert & Administrator benachrichtigt
• Detektion von schadhaften Netzwerkverkehr - überall
Download Reputation
• Warnt Benutzer vor Downloads mit niedriger Reputation
• Reputationsdaten werden von den Sophos Labs bereitgestellt
• Reputation basierend auf Verbreitung, Alter & URL Quelle
100110010111110110100
C2C Traffic
Sophos Central Disk Encryption *
68
Schnell und verlässlich
Full Disk Encryption Self Service Portal
Compliance Reporting
Vorteile• Report entspricht Gesetzgebungen• Niedrige TCO durch Self-Service-Portal• Keine Probleme mit Hardware- Kompatibilitäten
Lösung von Herausforderungen• SMB halten Verschlüsselung für zu teuer• Administratoren fürchten die Komplexität• Benutzer und Admin Akzeptanz ist niedrig
Features• Einfaches Full Disk Encryption Management• Schützt Daten bei Geräteverlust / Manipulation• Schnelle und verlässliche Verschlüsselung als Teil
des Betriebssystems
* Verfügbar Mitte September 2016
Central Device Encryption
Sophos Central Disk Encryption
70
Schnell und verlässlich
Full Disk Encryption Self Service Portal
Compliance Reporting
Vorteile• Report entspricht Gesetzgebungen• Niedrige TCO durch Self-Service-Portal• Keine Probleme mit Hardware- Kompatibilitäten
Lösung von Herausforderungen• SMB halten Verschlüsselung für zu teuer• Administratoren fürchten die Komplexität• Benutzer und Admin Akzeptanz ist niedrig
Features• Einfaches Full Disk Encryption Management• Schützt Daten bei Geräteverlust / Manipulation• Schnelle und verlässliche Verschlüsselung als Teil
des Betriebssystems
Central Device Encryption - Festplattenverschlüsselung
Sophos Central Server
72
Automatische Ausnahmen
Advanced Threat Protection
Server Lockdown
Vorteile• Einfacher Deployment Prozess• Automatische Ausnahmen• Automatisches Whitelisting
Lösung von Herausforderungen• Schützt Unternehmensdaten• Härtung von kritischen Servern• Unterstützung von Terminal Servern
Features• Bewährter und ausgezeichneter AV • Optimiert für Server – Linux & Windows• Schutz von DMZ Servern mit „Lockdown”
Terminal Server Support
Sophos Central Server
73
Automatische Ausnahmen
Advanced Threat Protection
Server Lockdown
Vorteile• Einfacher Deployment Prozess• Automatische Ausnahmen• Automatisches Whitelisting
Lösung von Herausforderungen• Schützt Unternehmensdaten• Härtung von kritischen Servern• Unterstützung von Terminal Servern
Features• Bewährter und ausgezeichneter AV • Optimiert für Server – Linux & Windows• Schutz von DMZ Servern mit „Lockdown”
Schutz virtuellerUmgebungen
Central Server Advanced – inkl. Server Lockdown
Sophos for Virtual Environments
75
Sophos Server - Lockdown
76
• „One-Click-Whitelisting“ von Server
Applikationen
• Automatische Analyse und Generierung der
Whitelist mit Vertrauensstellung für alle
installierten Applikationen, DLLs,
Systemdateien, Skripte, etc.
• Verhindert die Ausführung von
unautorisierten Applikationen und
Änderungen an Software und Systemdateien
• Unterstützung von automatische Updates
Sophos for Virtual Environments
77
Sophos Central Mobile & Security
78
Email & Wi-Fi Management
Mobile SecurityMobile Device Management
Vorteile• Einfache Provisionierung auch ohne IT• Entfernen von sensitiven Daten bei Verstößen• Sichere Integration von BYOD Clients
Lösung von Herausforderungen• Compliance auf mobilen Geräten erzwingen• Aktionen bei Verlust & Diebstahl• Administration bereits ausgegebener Geräte
Features• Zentrales Management mobiler Geräte• Verteilung von Einstellungen (E-Mail & WiFi)• Virenschutz für Android-Geräte
Einfache Provisionierung
Sophos Central Mobile & Security
79
Email & Wi-Fi Management
Mobile SecurityMobile Device Management
Vorteile• Einfache Provisionierung auch ohne IT• Entfernen von sensitiven Daten bei Verstößen• Sichere Integration von BYOD Clients
Lösung von Herausforderungen• Compliance auf mobilen Geräten erzwingen• Aktionen bei Verlust & Diebstahl• Administration bereits ausgegebener Geräte
Features• Zentrales Management mobiler Geräte• Verteilung von Einstellungen (E-Mail & WiFi)• Virenschutz für Android-Geräte
Einfache Provisionierung
Mobile Device Management für iOS und Android
Sophos Central Mobile Control
81
Sophos Central Mobile Security
82
Sophos Wireless
83
Integrierter Netzwerk-Planer
Central Wireless Management
Sophos Access Points
Application Awareness
Vorteile• Plug & Play Hardware• Baupläne hochladen & Bereitstellung planen• Anzeige der Standorte auf Google Maps
Lösung von Herausforderungen• Management mehrere Standorte• Sichtbarkeit der Applikationen inkl. Statistiken• Planungswerkzeug für die Bereitstellung
Features• Einfache Verwaltung der Wi-Fi Infrastruktur• Bewährte Sophos Wireless Hardware• Zentrales Management APs & Netzwerke
Sophos Wireless
84
Integrierter Netzwerk-Planer
Central Wireless Management
Sophos Access Points
Application Awareness
Vorteile• Plug & Play Hardware• Baupläne hochladen & Bereitstellung planen• Anzeige der Standorte auf Google Maps
Lösung von Herausforderungen• Management mehrere Standorte• Sichtbarkeit der Applikationen inkl. Statistiken• Planungswerkzeug für die Bereitstellung
Features• Einfache Verwaltung der Wi-Fi Infrastruktur• Bewährte Sophos Wireless Hardware• Zentrales Management APs & Netzwerke
Wireless-Management
Sophos Wireless - Deployment
86
• Access Point mit dem Netzwerk verbinden
• Seriennummer lokalisieren
• Seriennummer in Sophos Central registrieren
• Access Point konfigurieren
o Band (2,4 GHz, 5 GHz)
o Kanäle
o Netzwerke
Sophos Wireless – Planungswerkzeug
87
• Integriertes Planungswerkzeug
• Bereitstellung in wenigen Schritten planen
• Upload des Bauplans
• Auswählen der gewünschten APs und
platzieren auf dem Plan
• Evaluation der optimalen Positionierung
Sophos Central Email*
88
Email Continuity
Antivirus & Antispam Office365 Integration
Self-Service Portal
Vorteile• Einfaches Setup• Self-Service Portal• Notfall-Posteingang
Lösung von Herausforderungen• Fängt schadhafte Inhalte ab• Reduziert das Nachrichtenvolumen• Email Continuity
Features • Bewährtes Anti-Virus und Anti-SPAM• Kontinuierliche Sophos Labs Updates• Office365 Integration
• Verfügbar Q3 2016
Sophos Central Email
89
Email Continuity
Antivirus & Antispam Office365 Integration
Self-Service Portal
Vorteile• Einfaches Setup• Self-Service Portal• Notfall-Posteingang
Lösung von Herausforderungen• Fängt schadhafte Inhalte ab• Reduziert das Nachrichtenvolumen• Email Continuity
Features • Bewährtes Anti-Virus und Anti-SPAM• Kontinuierliche Sophos Labs Updates• Office365 Integration
Sophos Central Email – Schutz für Office365 & Co.
Kommend in Sophos Central
•Dateiverschlüsselung
•Hypervisor-unabhängiger Scan in virtuellen Umgebungen
•Analyse von Hacker-Aktivitäten
•SIEM-Integration
•Erweitertes Management und Reporting
• ...
Synchronized Security von Sophos
•Best-of-Breed wird ersetzt durch Security als System
•Kommunikation von Netzwerk-, Endpoint-und Verschlüsselungslösungen
•Erkennung hochentwickelter Bedrohungen
• Identifizierung kompromittierter Systeme
•Automatische Reaktion auf Vorfälle
•Analyse der Infektions- und Verbreitungswege
98