1 name des vortragenden funktion des vortragenden synchronized security advanced threat protection...

1

Name des VortragendenFunktion des Vortragenden

Synchronized SecurityAdvanced Threat Protection neu definiert

2

Agenda

• Wo liegt das Problem?• IT-Sicherheit muss neu definiert werden• Funktionsweise der neu definierten IT-Sicherheit• Synchronized Security 2015–2016• Wege zur Implementierung von Synchronized Security

33

Wo liegt das Problem?

4

Bedrohungslandschaft

5

Immer mehr und immer raffiniertere Angriffe

Größere Angriffsfläche

Laptops/DesktopsMobiltelefone/Tablets

Virtuelle Server/DesktopsCloud-Server/-Speicher

Raffiniertere Bedrohungen

Angriffe sind koordinierter als

Abwehrmaßnahmen

77

IT-Sicherheit muss neu definiert werden

8

Generationen der IT-Sicherheit

Insellösungen

Antivirus

IPS

Firewall

Sandbox

Mehrschichtige Lösungen

Bundles

Suites

UTM

EMM

Synchronized Security

Security Heartbeat™

9

Umfassender Schutz • Malware abwehren• Kompromittierungen

erkennen• Bedrohungen beseitigen• Problemen auf den Grund

gehen • Daten verschlüsselnMAC

ANDROID

WINDOWS

iOS

UNTERNEHMENS-DATEN

WINDOWSPHONE

LINUX


10

Integration auf einer neuen EbeneSynchronized Security Alternative

• Datenaustausch auf Systemebene• Automatische Korrelation• Schnellerer Entscheidungsprozess• Schnellere Erkennung von

Bedrohungen• Automatische Reaktion auf Vorfälle• Einfache zentrale Verwaltung

• Ressourcenintensiv• Manuelle Korrelation• Abhängig von menschlichen Analysen• Manuelle Reaktion auf

Bedrohungen/Vorfälle• Zusätzliche Produkte• Endpoint/Netzwerk agieren

unabhängig voneinander

Verwaltung

Enduser Netzwerk

SIEM

Endpoint-Verwaltg.

Netzwerk-Verwaltg.

Endpoint Netzwerk

11


Sicherheit muss umfassend seinAlle Funktionen, die Kunden benötigen

Sicherheit kann einfach seinBereitstellung, Lizenzierung, Bedienung & Verwaltung

Sicherheit ist effektiver als SystemNeue Möglichkeiten durch Technologie-Kooperation

Synchronized Security Integrierte, kontext-sensitive Sicherheit, die mittels Austausch wichtiger Informationen zwischen Enduser- und Netzwerktechnologien besseren Schutz liefert SOPHOSLABS

Sophos Cloud

Next-Gen Network Security

Next-Gen Enduser Security

Heartbeat

1212

Funktionsweise der neu definierten IT-Sicherheit

13

3 Säulen der Advanced Threat Protection

Identifizierung auf Gerätebasis spart Zeit, da infizierte oder

gefährdete Geräte/Hosts nicht mehr manuell und

ausschließlich anhand der IP-Adresse identifiziert werden

müssen.

Kompromittierte Endpoints werden von der Firewall

automatisch isoliert und der Endpoint beendet und entfernt

die Schadsoftware.

Durch die Kombination von Endpoint- und

Netzwerksicherheit können unbekannte Bedrohungen

schneller identifiziert werden. Sophos Security Heartbeat™

überträgt Echtzeit- Informationen zu verdächtigen

Verhaltensweisen.


Schnellere Erkennung von Bedrohungen

Aktive Identifizierungdes Ursprungs

Automatische Reaktion auf

Vorfälle

Schnellere, bessere Entscheidungen

Schnellere, einfachere Analyse

Weniger Beeinträchtigungen durch Bedrohungen

14

Systeminitialisierung

RegistrierungNGEP & NGFW registrieren sich bei Sophos Cloud und erhalten Zertifikat-/Sicherheitsinformationen von Sophos Cloud.

VerbindungEndpoints bauen eine Verbindung zur vertrauenswürdigen Firewall auf.

PrüfungFirewall und Endpoints prüfen die von Sophos Cloud an sie gesendeten Sicherheitsinformationen auf ihre Gültigkeit.

SOPHOSLABS

Sophos Cloud



Heartbeat

Unterstützung mehrerer StandorteEndpoints können sich mit Firewallsan allen Standorten des Kunden verbinden, da die Sophos Cloud Registrierung von allen Firewalls mit Galileo-Funktionalität gemeinsam genutzt werden kann.

15


Security HeartbeatAlle 15 Sekunden werden Informationen (nur wenige Bytes) zwischen Endpoints und Netzwerk ausgetauscht.

EreignisseSicherheitsinformationen über erkannte Elemente (z. B. Malware und PUAs) werden zwischen Endpoints und Netzwerk übertragen.

SicherheitsstatusEndpoints senden roten, gelben oder grünen Sicherheitsstatus an das Netzwerk.

SOPHOSLABS

Sophos Cloud



Heartbeat

VPN-UnterstützungGalileo unterstützt Endpoints, die innerhalb des lokalen Netzwerks oder über VPN angebunden sind. Voraussetzung ist lediglich, dass sich die Endpoints mit der Firewall verbinden.

16

Aktive Identifizierung des Ursprungs

Security Heartbeat Der Computer wird eindeutig identifiziert und die IP-Adresse wird einem bestimmten Endpoint zugeordnet.

Hochentwickelter AngriffWenn die Netzwerk-Firewall einen hochentwickelten Angriff erkennt, den Ursprung jedoch nicht ermitteln kann, fordert sie von den Endpoints genauere Informationen an.

Identifizierung des UrsprungsDer Endpoint sendet Details zum Computernamen, Benutzer, Prozess und der IP-Adresse.

SOPHOSLABS

Sophos Cloud



Heartbeat

17

Automatische Reaktion auf Vorfälle

GrünEndpoints haben vollständigen Zugriff auf interne Anwendungen und Daten sowie auf das Internet.

GelbBetroffene Endpoints können von internen/sensiblen Anwendungen und Daten isoliert werden, haben jedoch nach wie vor Zugriff auf das Internet.

RotBetroffene Endpoints werden vom Netzwerk isoliert und haben keinen Zugriff auf interne Systeme oder das externe Internet.

SOPHOSLABS

Sophos Cloud



Heartbeat

Standardeinstellungen und individuelle GestaltungsmöglichkeitenEs gibt keine auf dem Sicherheitsstatus basierenden Standardrichtlinien. So können Administratoren Reaktionen individuell nach Bedarf gestalten. In Kürze wird auch ein Best Practices Guide verfügbar sein, der Ihnen Hilfestellung beim Einrichten bewährter Richtlinien gibt.

1818

Synchronized Security 2015

19

Umfassende Next-Gen Endpoint Protection

SOPHOS SYSTEMPROTECTOR

ApplicationTracking

Threat Engine

Application Control Reputation

EmulatorHIPS/

Laufzeit-schutz

DeviceControl

MaliciousTraffic

Detection

Web Protection

IoCCollector

Live Protection


20

Umfassende Next-Gen Network Protection

SOPHOS FIREWALLBETRIEBSSYSTEM

Web-Filterung

IntrusionPrevention

SystemRouting Email

Security

SecurityHeartbeat

SelektiveSandbox

ApplicationControl

Data LossPrevention

ATP-ErkennungProxy

ThreatEngine

Firewall

21


Sophos Cloud

Bedrohungserkennung der nächsten Generation

Heartbeat


ApplicationTracking

Threat Engine


EmulatorHIPS/

Laufzeit-schutz

DeviceControl

MaliciousTraffic

Detection

Web Protection

IoCCollector

Live Protection

SecurityHeartbeat™

Web-Filterung

IntrusionPrevention

SystemRouting Email

Security


SelektiveSandbox

ApplicationControl

Data LossPrevention

ATP-ErkennungProxy

ThreatEngine

Subnetz und WAN-Zugriff isolierenMalware blockieren/entfernenAndere infizierte Systeme identifizieren und bereinigen

Benutzer | System | Datei

Kompromittierung

Firewall

2222

Synchronized Security 2016

23


Sophos Cloud

Noch bessere Bedrohungserkennung

Heartbeat


ApplicationTracking

Threat Engine


EmulatorHIPS/

Laufzeit-schutz

DeviceControl

MaliciousTraffic

Detection

Web Protection

IoCCollector

Live Protection


Web-Filterung

IntrusionPrevention

SystemRouting Email

Security


SelektiveSandbox

ApplicationControl

Data LossPrevention

ATP-ErkennungProxy

ThreatEngine

Lokalen Netzwerkzugriff sperrenDateischlüssel entfernenMalware beenden/entfernenAndere infizierte Systeme identifizieren und bereinigen


Kompromittierung

Firewall

24


Sophos Cloud

Automatischer Schutz für Endpoints

Heartbeat


ApplicationTracking

Threat Engine


EmulatorHIPS/

Laufzeit-schutz

DeviceControl

MaliciousTraffic

Detection

Web Protection

IoCCollector

Live Protection


Web-Filterung

IntrusionPrevention

SystemRouting E-Mail-

Sicherheit


SelektiveSandbox

ApplicationControl

Data LossPrevention

ATP-ErkennungProxy

ThreatEngine

Nicht verwaltete Endpoints ermittelnVerwaltung möglich?Set-up des Self-Service-PortalsBenutzerauthentifizierungSicherheitsprofil-Verteilung

Win | Mac | Mobile

Endpoint

Firewall

25


Sophos Cloud

Erkennen und Beseitigen von Kompromittierungen

Heartbeat


ApplicationTracking

Threat Engine


EmulatorHIPS/

Laufzeit-schutz

DeviceControl

MaliciousTraffic

Detection

Web Protection

IoCCollector

Live Protection


Web-Filterung

IntrusionPrevention

SystemRouting Email

Security


SelektiveSandbox

ApplicationControl

Data LossPrevention

ATP-ErkennungProxy

ThreatEngine

Kompromittierung identifizierenUrsprung erkennenAuswirkungen bewertenMalware blockieren/entfernenAndere infizierte Systeme identifizieren und bereinigen


Kompromittierung

Firewall

2626

Implementierung von Synchronized Security

27

NEXT-GENENDUSER SECURITY

NEXT-GENNETWORK SECURITY

SOPHOS UTM

• NETWORK-PROTECTION-MODUL

SOPHOS CLOUD ENDPOINT

• CLOUD ENDUSER PROTECTION

• CLOUD ENDPOINT ADVANCED

Endpoint und Netzwerk arbeiten zusammen

• FULLGUARD-LIZENZ

• TOTALPROTECT BUNDLE

NEXT-GEN FIREWALL

• NETWORK-PROTECTION-MODUL

• NEXT-GENGUARD-LIZENZ

• NEXT-GENPROTECT BUNDLE

28

Migration bei bereits genutzten Sophos-Lösungen

* Für Cloud Endpoint ist eine Subscription von Sophos Cloud Endpoint Protection Advanced oder Sophos Cloud Enduser Protection erforderlich.

2929

Fazit

30

Alleinstellungsmerkmal Synchronized SecuritySophos Wettbewerb

Synchronisierte Sicherheit Insellösungen

Einfach Kompliziert

Umfassend Unvollständig

Abwehr, Erkennung, Analyse, Bereinigung, Verschlüsselung Abwehr

Endbenutzer, Netzwerk, Server, mobile Geräte, Web, E-Mails,

VerschlüsselungEndpoint oder Netzwerk

Automatisiert Manuell

Blockieren bekannter, unbekannter, hochentwickelter, koordinierter

AngriffeTeilweise Abwehr

31

Advanced Threat Protection neu definiert



Aktive Identifizierung des

UrsprungsAutomatische

Reaktion auf Vorfälle

Schnellere, bessere Entscheidungen

Schnellere, einfachere Analyse

Weniger Beeinträchtigungen durch

Bedrohungen

1 name des vortragenden funktion des vortragenden synchronized security advanced threat protection...

Documents