Sophos what's new: Intercept X, ML & Co.

Stefan ScheckSales Engineer

Sophos – 30 Jahre Erfahrung

• Akquisition u.a. von Utimaco 2009, Astaro 2011, Dialogs 2012, Cyberoam 2014, SurfRight 2015, invincea 2017

• Gartner: Marktführer in den Bereichen Endpoint, Verschlüsselung & UTM

1985GRÜNDUNGOXFORD, UK

$ 632UMSATZ(FY17)

ca. 3.500MITARBEITER

250,000+KUNDEN

100M+ANWENDER

HQABINGDON, UK

26,000+CHANNEL PARTNER

45%Enduser

50%Network

5%Other

400in DACH

Synchronized Security

3

Wireless

Web

Email

Disk Encryption

Endpoint

Next-Gen Endpoint

Mobile

Server

Analytics

Next-Gen Firewall

UTM

File Encryption

Sophos Central

RANSOM ATTACKS ARE

EVOLVING

Image credit: 123-stickers.com

5

Spotting the Phish Is Getting HarderPhish Genuine

Ransomware: Quick Facts

Source: Ponemon Institute

48%der Betroffenen

bezahlen

$2500durchschnittliche

Auszahlung

7%bezahlen $10,000 und

mehr

30%haben keinenRecovery Key bekommen

72%keinen Datenzugriff

für 2 Tage oder länger

58%Mitarbeiter als

Infektionsquelle

Die Bedrohung hat sich verändert

Ransomware26%

Advanced Malware 20%

Email Malware20%

Web Malware

12%

Generic Malware

12%

Cryptocurrency/Financial Malware

8%

Privilege Escalation

1%Bots1%

Ransomware

54% der Unternehmenwurden durchschnittlich 2 x

infiziert in 2017^

^Source: The State of Endpoint Security Today SurveySource: SophosLabs

Generic Malware

12 % wird durch AV geschützt^

88 % werden durch ?? geschützt^

Advanced Threats

Intercept X Comprehensive Endpoint Protection

ANTI-EXPLOIT

MACHINE LEARNING

ANTI-RANSOMWARE

MALWARE REMOVAL ROOT CAUSE ANALYSIS

Was sind die Neuerungen in V2

Deep Learning • Mit künstlicher Intelligenz neue Malware vor der Ausführung erkennen• Extrem performante Erkennung bei minimalem Speicherbedarf• Sehr zuverlässig – extrem geringe False Positive Rate

Zusätzliche Anti-Hacker Technologien • Schutz von Prozessen und der Registry• Einschränken von Prozessen und Verhinderung von Rechteausweitung• Modernste Anti-Exploit-Technologien gegen WannaCry & Co

Schutz von Passwörtern und vertraulichen Daten• Schutz vor Passwortdiebstahl im Speicher und in der Registry• Verhindert Datendiebstahl und Datenabfluss• Erweiterte Verhaltenserkennung und Schutz des MBR

Machine Learning vs. SOPHOS Deep Learning

12

konventionelles Machine Learning

Deep Learning

• Analyst identifiziert Merkmaleund definiert deren Beziehungen

• Manuell erstelltes ML-Modellwird mit Daten trainiert

• Neuronales Netz lernt vergleichbar dem menschlichen Gehirn

• lernt selbstständig dazu• Hohe Erkennungsrate, weniger

False-Positives• Profitiert stark von großer Menge

an DatenOUTPUT

Decision Tree

INPUT

INPUT OUTPUT

Machine Learning / Deep Learning

• Sehr effektiv, um Programmdateien vor der Ausführung zu untersuchen

• Ca. 50% aller Malware kommt aktuell als Programmdatei

• Schützt nicht vor Infektionen per Exploit und speicherbasierter Malware

• Ist ein Element des Schutzes in der Infektionskette

MalwareProgrammdateien Dokumente, Mediendateien, Skripte,

Java, Webseiten,rein speicherbasierte Angriffe

50% 50%

SFOS 17.1

14

Synchronized AppControl

15

Das Problem derApplikationskontrolle

16

• In einer Firewall basiertdie Applikationskontrolleauf Signaturen

• Einige Apps haben keineSignaturen

• Einige Apps verhinderndie Erkennung

• Mancher App Verkehr istzu unspezifisch(HTTP/HTTPS)

Synchronized App Control in Action

Security Heartbeat™Synchronized App Control

Unknown ApplicationXG Firewall sees app traffic that does not match a signature

Endpoint Shares App InfoSophos Endpoint passes app name, path and even category to XG Firewall for classification

Internet

XG Firewall

Sophos Endpoints

1 2

Application is Classified & ControlledAutomatically categorize and control where possible or admin can manually set category or policy to apply.

3

Weitere Funktionen XG v17.1

18

Exceptions für SMTP MTA Policies

19

Exceptions für SMTP MTA Policies

20

Ausnahmen Spam, Malware und weitere Sicherheitsfunktionen erstellbar für:

Source Hosts

Absender Adressen oder ganze Sender Domains mittels Wildcard «*»

Empfängeradressen oder ganze Empfänger Domains mittels Wildcard «*»

Userbasierte White-, und Blacklists

21

• Benutzer können im Benutzer Portal persönliche White-, und Blacklists für deren eingehende E-Mails anlegen.

• Black-, und Whitelists können für einzelne Mailadressen, oder mittels Wildcard «*» auch für komplette Senderdomains eingepflegt werden

SSL VPN – Konfigurierbarer Port

Zukünftige XG v17 Releases

23

Upcoming v17.x Releases

24

CASB VisibilityA light CASB implementation offering shadow ITdetection, SaaS grouping, basic firewall controls

Device Discovery and IOTDevice detection and identification withDeep Learning

User Identity, StonewallingAbility for EP and FW to stop lateral and exploit propagation within bcast domains.Gain User Identity Information from EP.

Synchronized Security

v17.1 v17.2*

Clarity and Control

Other Enhancements

Migration ToolSG to XG Migration Tool

Email Protection Per-user controls over block/allow lists & exceptions

New Hardware SupportXG Series desktop refresh and new Wi-Fi APs

Email ProtectionBATV/SPF/AD user verifications

v17.3*

Lateral Movement DetectionLeverage FW to detect lateral movement attempts from Eps.

SAC EnhancementsEvolve SAC to incorporate more app control scenarios,

Web & FirewallSupport classroom-wide URL overrides, Automatic firewall rule groupings

Central Mgmt. & ReportingCloud Management and Reporting of Firewalls

Air Gap Licensing SupportSupport for environment where Internet access is limited for Firewall licensing and synchronization

APX Wireless Support

SFOS OEM SupportCore capability to skin SFOS andVarioSecure skinning

IPS TALOS CategorizationExpansion of XG IPS Categorization using Talossignature sets. Industry grade IPS categories –similar to SourceFire/Cisco

Email ProtectionDKIM Protection

Installationsarten der XG Firewall

Security Heartbeat™ & Synchronized App Control

Security Heartbeat™ & Synchronized App Control

Security Heartbeat™ & Synchronized App Control

Gateway Mode / Ersatz der vorhandenenFirewall

Inline Mode

Discover / TAPMode

PhishThreat 2

Was ist Sophos Phish Threat?

Benutzer-Training

Überprüfung Reporting

Sophos Phish Threat

• Integriert in Sophos Central

• Phishing-Vorlagen in neun Sprachen, ca. 40 in Deutsch

• Test-Vorlagen inkl. DHL, Office365-Migration, LinkedIn, OneDrive etc.

• Automatische Benutzertrainings bei nicht bestandenen Phishing-Tests

• Benutzer-/Gruppenauswahl einzeln, per CSV-Import oder aus dem AD

• Leistungsfähiges Monitoring und Reporting von Test- und Trainings-Kampagnen

• Lizensierung nach teilnehmenden Benutzern

• Test-Vorlageauswählen

• Test-Vorlageanpassen

NeueKampagne

1

29

• Training beiNicht-Bestehenauswählen

Trainings-module

auswählen

2

• Benutzerauswählen

• Zeitraum der Kampagnewählen

Benutzer-Auswahl und Planung der Kampagne

3

• Benutzer-Verhalten

• Email geöffnet

• Link geklickt

• Training gestartet

BenutzerbekommenTest-Emails

4

• Training-Videos

• Abschlusstest

Benutzer-Training

5

• Kampagnen-Fortschrittnachverfolgen

• Benutzer-Trainings überprüfen

Reporting und

Monitoring

6

Wie geht es weiter?

•Weitere Trainings-Kampagnen

•Weitere Angriffsvorlagen

• Zugangsdatendiebstahl-Simulation

•Dynamische Gruppen

•Melde-als-Phishing-Plugin für Outlook