Post on 01-Sep-2019
1
Michael Veit Technology Evangelist
Security Heartbeat - Endpoint und Gateway im Zusammenspiel
michael.veit@sophos.de
5
Sophos – 30 Jahre Erfahrung
• Größter europäischer Security-Hersteller (Zentrale in GB)
• Komplette Security Lösungen und Support nur für Unternehmen
• 2.700 Mitarbeiter weltweit
• Akquisition u.a. von Utimaco 2009, Astaro 2011, Dialogs 2012,
Cyberoam 2014, Mojave 2014, Reflexion 2015, SurfRight 2015
• Mitarbeiter in DACH: > 400
• Gartner: Marktführer in den Bereichen
Endpoint, Mobile Data Prot. & UTM
• Umsatz in GJ15: > 480 Mio. US$
• 200.000 Kunden (>100 Mio. User)
• Vertrieb über zertifizierte Partner
6
VPN & ActiveSync
Dateizugriff
WiFi
Managed
WiFi/VPN/Verschlüsselungs- Konfiguration
Sophos Mobile Control Server
Sophos UTM
Server mit verschlüsselten Unternehmensdokumenten
Sophos Lösungen im Zusammenspiel: UTM, MDM und Verschlüsselung – zentrales Management und Konfigurationsverteilung
WiFi/VPN- Konfig
7
Managed
Sophos Mobile Control Server
Sophos UTM
Verstoß gegen Compliance-Richtlinie
VPN
WiFi
Dateizugriff
VPN & ActiveSync
WiFi
Server mit verschlüsselten Unternehmensdokumenten
Sophos Lösungen im Zusammenspiel: UTM, MDM und Verschlüsselung – automatische Reaktion bei Richtlinienverstößen
8
Sophos Central – Security as a Service
Analyse/ Korrelation
Next-Gen Firewall
Wireless
Web
Festplattenverschlüsselung
UTM
Dateiverschlüsselung
Endpoint
Next-Gen Endpoint
Mobile
Server
Zentrales Management
9
Security Heartbeat - Überblick
• Status des Clients wird erfasst, u.a. • User-Information
• Health-Status
• Applikations-/Netzwerkverbindungskontext
• Quarantäne
• Kommunikation mit der XG-Firewall • Verschlüsselte, authentisierte, persistente Verbindung zum Client
• Bidirektionaler Austausch von Informationen, u.a. Client-Status
• Automatische Abfrage des Clients von der Firewall bei APT-Kommunikation
• Erkennung von fehlendem Heartbeat
• Manuelle Abfrage durch Firewall-Admin nach Applikations-Kontext
• Automatisches Entfernen von SafeGuard-Schlüsselmaterial aus dem Speicher bei kritischem Client-Status
10
SOPHOS SYSTEM PROTECTOR
Beispiel: Erkennung neuartiger Malware
SOPHOS FIREWALL OPERATING SYSTEM
Application Tracking
Threat Engine
Application Control
Reputation
Emulator HIPS/
Runtime Protection
Device Control
Malicious Traffic
Detection
Web Protection
IoC Collector
Live Protection
Security Heartbeat
Web Filtering
Intrusion Prevention
System Routing
Email Security
Security Heartbeat
Selective Sandbox
Application Control
Data Loss Prevention
ATP Detection
Proxy
Threat Engine
User | System | File
Infektion
Firewall
Rechner in Netzwerkquarantäne Schlüsselmaterial entfernen Malware beenden/bereinigen Weitere infizierte Systeme identifizieren/bereinigen
11
SOPHOS SYSTEM PROTECTOR
Management
Beispiel: “Heart Attack”-Erkennung
SOPHOS FIREWALL OPERATING SYSTEM
Application Tracking
Threat Engine
Application Control
Reputation
Emulator HIPS/
Runtime Protection
Device Control
Malicious Traffic
Detection
Web Protection
IoC Collector
Live Protection
Security Heartbeat
Web Filtering
Intrusion Prevention
System Routing
Email Security
Security Heartbeat
Selective Sandbox
Application Control
Data Loss Prevention
ATP Detection
Proxy
Threat Engine
Rechner in Netzwerkquarantäne Schlüsselmaterial entfernen Malware beenden/bereinigen Weitere infizierte Systeme identifizieren/bereinigen
User | System | File
Infektion
Firewall
13
Endpoints
Sophos XG Firewall
Server DMZ
Internet Compliant
Nicht compliant
Nicht compliant
Rechner, die nicht compliant sind, werden geblockt und identifiziert
Teilweise compliant
Rechner, die teilweise compliant sind, werden identifiziert und dürfen nur auf bestimmte Ziele zugreifen
Security Heartbeat – Zugriff basierend auf Client-Status (1)
21
1. Admin sieht verdächtigen/unbekannten Traffic
? Verdächtiger
Endpoint Firewall
Informationen und Kontrolle über unbekannte Apps
2. Firewall fordert Kontext vom Endpoint an
3. Information über Applikation wird ausgetauscht
Admin kann gezielte Maßnahmen ergreifen (block, shape, throttle)
Security Heartbeat – Applikationskontext
22
SafeGuard Enterprise – Verschlüsselung überall
Zentrale
Unterwegs und zu Hause Niederlassung
Daten überall
23
Austausch des Security Heartbeat Client Status mit SafeGuard Enterprise 8
• Endpoint Client Status rot -> Schlüsselring wird gelöscht
• Endpoint Client Status wird wieder gelb/grün -> Schlüsselring wird vom SGN Server neu geladen
25
80% 10% 5%
Exposure Prevention
URL Blocking Web Scripts
Download Rep
Pre-Exec Analytics
Generic Matching
Heuristics Core Rules
Signatures
Known Malware Malware Bits
3% 2%
Run-Time
Behavior Analytics
Runtime Behavior
Exploit Detection
Technique
Identification
Traditional Malware Advanced Threats
Wo Malware aufgehalten wird
26
Neue Software-Verwundbarkeiten und Exploits pro Jahr
Neue Malware-Varianten pro Jahr
100,000,000+
1,000’s
Exploit-Techniken
Malware-Techniken
Etwa 1 neue Exploit-Technik pro Jahr, ~20 Techniken existieren insgesamt.
Einige Dutzend neue Varianten von Malware-Techniken pro Jahr
Erweiterung der Erkennung auf Exploit-Technologien
28
Root Cause Analysis (RCA) Verstehen des Wer, Was, Warum, Wann und Wie
Was ist passiert?
• Root Cause Analysis
• Automatisches Reporting der Aktivität eines Prozesses (Dateizugriffe, Kommunikation, Starten von Prozzesen, Registry-Veränderungen, sonstige Aktivitäten im System)
• 30 Tage Speicherung der Protokolldaten
• Detaillierte grafische Darstellung der Aktivitäten/Interaktionen
Was ist gefährdet?
• Betroffene Ressourcen
• Liste der zugegriffenen/veränderten von Dokumenten, Executables, Libraries und anderen Dateien
• Angeschlossene Geräte (z.B. Mobilgeräte) oder zugegriffene Netzwerkressourcen
Zukünftige Schutzmaßnahmen
• Konsequenzen
• Empfehlungen basierend auf Sicherheitsvorfällen
• Maßnahmen, um zukünftige Vorfälle zu verhindern
• Umfangreiches Reporting des Sicherheitsstatus
30
Conviction: Free-Reports.exe C2 to IP:10.x.y.z
Assets potentially impacted: 8 files…
Source of infection: Chrome: www.free-reports-russ.com
Root Cause Analysis
32
Synchronized Security von Sophos • Best of breed wird ersetzt durch Security als System
• Erhöhte Sicherheit durch Kommunikation von Netzwerk-, Endpoint- und Verschlüsselungslösungen
• Schnellere Erkennung hochentwickelter Bedrohungen
• Aktive Identifizierung kompromittierter Systeme
• Automatische Reaktion auf Vorfälle
• Analyse der Infektions- und Verbreitungswege
• Zukünftig • Integration weiterer Plattformen und Technologien
• Verbesserte Erkennung und Verhinderung von APT-Aktivitäten