Post on 06-Oct-2019
Schutz vor Ransomware und Cyber-Angriffen von morgen
Exploit Prevention mit Sophos Intercept X
Michael VeitTechnology Evangelist
Sophos – mehr als 30 Jahre Erfahrung
• Akquisition u.a. von Utimaco 2009, Astaro 2011, Dialogs 2012, Cyberoam 2014, Mojave 2014, Reflexion 2015, SurfRight 2015, Barricade 2016, Invincea 2017
• Gartner: Marktführer in den Bereichen Endpoint, Verschlüsselung & UTM
1985GRÜNDUNGOXFORD, UK
534.9UMSATZ(FY16)
3.000MITARBEITER
200,000+KUNDEN
100M+ANWENDER
HQABINGDON, UK
20,000+CHANNEL PARTNER
45%Enduser
50%Network
5%Other
400in DACH
Sophos CentralManagement
UTM
EndpointProtection
Mobile VerschlüsselungWireless
VPN
NextGenFirewall
ServerProtection
Exchange NetzwerkSpeicher
Virtuali-sierung
Web-Gateway
Email-Gateway
Webserver-Schutz
Komplette Sicherheit von Sophos
Sandstorm
Warum waren die Krypto-Trojanerso erfolgreich?
Gründe für Infektionen trotz Best-of-Breed Security
•Office-Dokumente und PDFs in E-Mails oft zugelassen
•Technologisch fortgeschrittene Schädlinge
•Hochprofessionelle Angreifer
•Geschicktes Social Engineering
• Sicherheitssysteme fehlen oderfalsch konfiguriert
• Sicherheitssysteme agierennicht als System
Neue Sicherheitskonzeptesind notwendig
80% 10% 5%
Angriffsfläche reduzieren
URL-Filterung
Download Reputation
Device Control
Analyse vorAusführung
Heuristiken
Regelbasiert
Signaturen
Bekannte Malware-Familien
3% 2%
Laufzeit
Verhaltens-erkennung
Exploit Erkennung
Identifizierung von Techniken
Traditionelle Malware Moderne Bedrohungen
Wo Malware am Endpoint aufgehalten wird
Sophos
RANSOMWAREZERO DAYEXPLOITS
TATORT-BEREINIGUNG
BEGRENZTESICHTBARKEITAnti-Exploit
Stoppt unbekannteMalware
• Signaturloser Schutz vorZero-Day-Angriffen
• KeinePerformanceeinbußen
Analysiert den Angriff
• Was ist passiert?
• Was ist gefährdet?
• Wie verhindere ich daszukünftig?
Ursachenanalyse
StopptKrypto-Trojaner
• Erkennt und verhindertVerschlüsselung
• Stellt Originaldateienwieder her
Anti-Ransomware
Entfernt die Bedrohung
• Signaturlose Erkennungund Entfernung von bisher unbekannterMalware
ErweiterteBereinigung
Sicherheitskopie
CryptoGuard – Schutz vor lokaler Ransomware (1)
Unverschlüsselte Datei vor Schreibvorgang
Verschlüsselte Datei nach Schreibvorgang
1. Prozess öffnet Datei zum Schreiben2. CryptoGuard legt Sicherheitskopie an3. Nach Ende des Schreibvorgangs werden Datei und Sicherheitskopie verglichen4. Bei wesentlicher Veränderung der Datei -> Verschlüsselung wird erkannt
Sicherheitskopie
CryptoGuard – Schutz vor lokaler Ransomware (2)
5. Wenn mehrere Dateien innerhalb eines Zeitfensters verschlüsselt werden ->6. Prozess wird als neuer Verschlüsselungstrojaner erkannt7. Prozess wird in Quarantäne genommen -> kein Zugriff aufs Dateisystem mehr8. Sicherheitsstatus ändert sich von grün in rot -> SecurityHeartbeat wird rot
Sicherheitskopie
CryptoGuard – Schutz vor lokaler Ransomware (3)
9. Sicherheitskopien werden zurückgespielt, Originaldateien wiederhergestellt10. Bedrohung wird ans zentrale Management gemeldet11. Informationen zur Ursachenanalyse werden zusammengestellt12. Erweiterte Bereinigung mit Sophos Clean wird durchgeführt13. Nach erfolgreicher Bereinigung wird der Sicherheitsstatus wieder grün
Ursachenanalyse
Erweiterte Bereinigung
Schreibzugriff
CryptoGuard – Schutz vor Clients mit Ransomware (1)
Sicherheitskopie
1. Remote Client öffnet Datei zum Schreiben2. CryptoGuard legt Sicherheitskopie an3. Nach Ende des Schreibvorgangs werden Datei und Sicherheitskopie verglichen4. Bei wesentlicher Veränderung der Datei -> Verschlüsselung wird erkannt
CryptoGuard – Schutz vor Clients mit Ransomware (2)
X
Sicherheitskopien
5. Wenn mehrere Dateien innerhalb eines Zeitfensters verschlüsselt werden ->6. Remote Client wird als mit Verschlüsselungstrojaner infiziert erkannt7. Remote Client ist infiziert -> kein Zugriff aufs Dateisystem mehr
CryptoGuard – Schutz vor Clients mit Ransomware (3)
X
Sicherheitskopien
9. Sicherheitskopien werden zurückgespielt, Originaldateien wiederhergestellt10. Bedrohung wird ans zentrale Management gemeldet
Haha! Alle Deine Dateien sind
verschlüsselt! Geld her!
Mal sehen, was man hier so alles
mitbekommt..
Wo lauert die größere Gefahr?
Buffer Overflow
Mandatory Address Space Layout Randomization (ASLR)
Bottom Up ASLR
Null Page (Null Dereference Protection)
Heap Spray Allocation Dynamic Heap Spray
Stack Pivot
Stack Exec (MemProt)
Stack-based ROP Mitigations (Caller)
Branch-based ROP Mitigations (Hardware Augmented)
Structured Exception Handler Overwrite Protection (SEHOP)
Import Address Table Filtering(IAF) (Hardware Augmented)
Reflective DLL Injection
VBScript God Mode
Syscall
Hollow Process Load Library
WoW64
DLL Hijacking
Application Lockdown
Java Lockdown
Squiblydoo AppLocker Bypass
Erkennung unbekannter Malware über Exploit-Techniken
Exploit-Techniken
Etwa 1 neue Exploit-Technik pro Jahr, ~20 Techniken existieren insgesamt.
Neue Malware-Varianten pro Jahr
100,000,000+
Exploit Schutz
• Überwacht Prozesse und erkennt Versuche, Exploit-Techniken anzuwendenz.B. Buffer Overflow oder Code-Injection
• Verhindert das Ausnutzen der Verwundbarkeitin unsicheren / ungepatchten Anwendungen
• Stoppt den Angriff
• Signaturlos
• Keine Performanceeinbußen
Ursachenanalyse
Was ist gefährdet?
Betroffene Ressourcen
• Welche Dateien und Systeme sind betroffen?
• Auf welche Netzlaufwerkeoder Wechselmedienwurde zugegriffen?
• Welche Systeme muss ichnoch bereinigen?
Konsequenzen
• Welche Einfallswege fürMalware muss ichschließen?
• Wie kann ich eineVerbreitung im Netzwerkzukünftig verhindern?
Wie verhindere ichdas zukünftig?
Analyse des Vorfalls
• Identifikation betroffenerProzesse, Registry-Keys, Dateien, Kommunikation
• Grafische Darstellungder Ereigniskette
• Eintrittspunkte der Malware ins Netzwerk
Was ist passiert?
Sophos Clean – der „Tatortreiniger“
• Signaturloser on-demand Malwarescanner
• Forensische Erkennung bisher unbekannter Malware
•Nutzt Verhaltensanalyse und Cloud-Intelligenz (Internet-Verbindung notwendig)
• Entfernt persistente Malware
• Ersetzt infizierte Windows-Resourcen durch sichere Originalversionen
Sophos CentralEndpoint Standard
Sophos CentralEndpoint Advanced
Sophos CentralIntercept X
Sophos Clean
Viren/Trojaner
Web-Bedrohungen
Ursachenanalyse
Office-ExploitsViren/Makros
Zero-Days/APTsViren/Trojaner
Viren/Makros
Was ist passiert?
Wie lief die Infektion ab?
Was ist gefährdet?
Wie verhindere ich das zukünftig?
Gefährliche URLs Gefährliche URLs Browser-Exploits
Apps
USB-Sticks
Malware
PDF/MS Office
Krypto-Trojaner
Bedrohungen
Apps
USB-Sticks
Krypto-Trojaner
Bereinigung
Synchronized Security – Teamplay statt Best-of-Breed
Analyse
Next-GenFirewall
Wireless
Web
Festplattenverschlüsselung
UTM
Dateiverschlüsselung
Endpoint
Next-Gen Endpoint
Mobile
Server
Sophos Central
Security Heartbeat – Beispiel Vireninfektion (1)
Virus gefunden
1. Sophos Endpoint Protection oder Intercept X erkennt eine Bedrohung2. Der Sicherheitsstatus des Clients ändert sich auf rot – der Endpoint ist
momentan nicht sicher
Security Heartbeat – Beispiel Vireninfektion (2)
Schlüsselentfernen
3. Über den internen SecurityHeartbeat wird der Verschlüsselungsclient informiert, dass der Endpoint momentan nicht sicher ist
4. Die Schlüssel werden entfernt, damit keine Daten gestohlen werden können
Security Heartbeat – Beispiel Vireninfektion (3)
Client in Netzwerkquarantäne
5. Über den SecurityHeartbeat erfährt die NextGen-Firewall, dass der Endpoint nicht sicher ist6. Die NextGent-Firewall nimmt den Endpoint solange in Netzwerkquarantäne, bis die
Bedrohung beseitigt ist
Synchronized Security von Sophos
•Best-of-Breed wird ersetzt durch Security als System
•Kommunikation von Netzwerk-, Endpoint-und Verschlüsselungslösungen
•Erkennung hochentwickelter Bedrohungen
• Identifizierung kompromittierter Systeme
•Automatische Reaktion auf Vorfälle
•Analyse der Infektions- und Verbreitungswege
Intercept X + Synchronized Security in Aktion
https://youtu.be/dEyUGn-qtTw