sophos what's new: intercept x, ml & co. · sophos –30 jahre erfahrung •akquisition...
TRANSCRIPT
Sophos – 30 Jahre Erfahrung
• Akquisition u.a. von Utimaco 2009, Astaro 2011, Dialogs 2012, Cyberoam 2014, SurfRight 2015, invincea 2017
• Gartner: Marktführer in den Bereichen Endpoint, Verschlüsselung & UTM
1985GRÜNDUNGOXFORD, UK
$ 632UMSATZ(FY17)
ca. 3.500MITARBEITER
250,000+KUNDEN
100M+ANWENDER
HQABINGDON, UK
26,000+CHANNEL PARTNER
45%Enduser
50%Network
5%Other
400in DACH
Synchronized Security
3
Wireless
Web
Disk Encryption
Endpoint
Next-Gen Endpoint
Mobile
Server
Analytics
Next-Gen Firewall
UTM
File Encryption
Sophos Central
Ransomware: Quick Facts
Source: Ponemon Institute
48%der Betroffenen
bezahlen
$2500durchschnittliche
Auszahlung
7%bezahlen $10,000 und
mehr
30%haben keinenRecovery Key bekommen
72%keinen Datenzugriff
für 2 Tage oder länger
58%Mitarbeiter als
Infektionsquelle
Die Bedrohung hat sich verändert
Ransomware26%
Advanced Malware 20%
Email Malware20%
Web Malware
12%
Generic Malware
12%
Cryptocurrency/Financial Malware
8%
Privilege Escalation
1%Bots1%
Ransomware
54% der Unternehmenwurden durchschnittlich 2 x
infiziert in 2017^
^Source: The State of Endpoint Security Today SurveySource: SophosLabs
Generic Malware
12 % wird durch AV geschützt^
88 % werden durch ?? geschützt^
Advanced Threats
Intercept X Comprehensive Endpoint Protection
ANTI-EXPLOIT
MACHINE LEARNING
ANTI-RANSOMWARE
MALWARE REMOVAL ROOT CAUSE ANALYSIS
Was sind die Neuerungen in V2
Deep Learning • Mit künstlicher Intelligenz neue Malware vor der Ausführung erkennen• Extrem performante Erkennung bei minimalem Speicherbedarf• Sehr zuverlässig – extrem geringe False Positive Rate
Zusätzliche Anti-Hacker Technologien • Schutz von Prozessen und der Registry• Einschränken von Prozessen und Verhinderung von Rechteausweitung• Modernste Anti-Exploit-Technologien gegen WannaCry & Co
Schutz von Passwörtern und vertraulichen Daten• Schutz vor Passwortdiebstahl im Speicher und in der Registry• Verhindert Datendiebstahl und Datenabfluss• Erweiterte Verhaltenserkennung und Schutz des MBR
Machine Learning vs. SOPHOS Deep Learning
12
konventionelles Machine Learning
Deep Learning
• Analyst identifiziert Merkmaleund definiert deren Beziehungen
• Manuell erstelltes ML-Modellwird mit Daten trainiert
• Neuronales Netz lernt vergleichbar dem menschlichen Gehirn
• lernt selbstständig dazu• Hohe Erkennungsrate, weniger
False-Positives• Profitiert stark von großer Menge
an DatenOUTPUT
Decision Tree
INPUT
INPUT OUTPUT
Machine Learning / Deep Learning
• Sehr effektiv, um Programmdateien vor der Ausführung zu untersuchen
• Ca. 50% aller Malware kommt aktuell als Programmdatei
• Schützt nicht vor Infektionen per Exploit und speicherbasierter Malware
• Ist ein Element des Schutzes in der Infektionskette
MalwareProgrammdateien Dokumente, Mediendateien, Skripte,
Java, Webseiten,rein speicherbasierte Angriffe
50% 50%
Das Problem derApplikationskontrolle
16
• In einer Firewall basiertdie Applikationskontrolleauf Signaturen
• Einige Apps haben keineSignaturen
• Einige Apps verhinderndie Erkennung
• Mancher App Verkehr istzu unspezifisch(HTTP/HTTPS)
Synchronized App Control in Action
Security Heartbeat™Synchronized App Control
Unknown ApplicationXG Firewall sees app traffic that does not match a signature
Endpoint Shares App InfoSophos Endpoint passes app name, path and even category to XG Firewall for classification
Internet
XG Firewall
Sophos Endpoints
1 2
Application is Classified & ControlledAutomatically categorize and control where possible or admin can manually set category or policy to apply.
3
Exceptions für SMTP MTA Policies
20
Ausnahmen Spam, Malware und weitere Sicherheitsfunktionen erstellbar für:
Source Hosts
Absender Adressen oder ganze Sender Domains mittels Wildcard «*»
Empfängeradressen oder ganze Empfänger Domains mittels Wildcard «*»
Userbasierte White-, und Blacklists
21
• Benutzer können im Benutzer Portal persönliche White-, und Blacklists für deren eingehende E-Mails anlegen.
• Black-, und Whitelists können für einzelne Mailadressen, oder mittels Wildcard «*» auch für komplette Senderdomains eingepflegt werden
Upcoming v17.x Releases
24
CASB VisibilityA light CASB implementation offering shadow ITdetection, SaaS grouping, basic firewall controls
Device Discovery and IOTDevice detection and identification withDeep Learning
User Identity, StonewallingAbility for EP and FW to stop lateral and exploit propagation within bcast domains.Gain User Identity Information from EP.
Synchronized Security
v17.1 v17.2*
Clarity and Control
Other Enhancements
Migration ToolSG to XG Migration Tool
Email Protection Per-user controls over block/allow lists & exceptions
New Hardware SupportXG Series desktop refresh and new Wi-Fi APs
Email ProtectionBATV/SPF/AD user verifications
v17.3*
Lateral Movement DetectionLeverage FW to detect lateral movement attempts from Eps.
SAC EnhancementsEvolve SAC to incorporate more app control scenarios,
Web & FirewallSupport classroom-wide URL overrides, Automatic firewall rule groupings
Central Mgmt. & ReportingCloud Management and Reporting of Firewalls
Air Gap Licensing SupportSupport for environment where Internet access is limited for Firewall licensing and synchronization
APX Wireless Support
SFOS OEM SupportCore capability to skin SFOS andVarioSecure skinning
IPS TALOS CategorizationExpansion of XG IPS Categorization using Talossignature sets. Industry grade IPS categories –similar to SourceFire/Cisco
Email ProtectionDKIM Protection
Installationsarten der XG Firewall
Security Heartbeat™ & Synchronized App Control
Security Heartbeat™ & Synchronized App Control
Security Heartbeat™ & Synchronized App Control
Gateway Mode / Ersatz der vorhandenenFirewall
Inline Mode
Discover / TAPMode
Sophos Phish Threat
• Integriert in Sophos Central
• Phishing-Vorlagen in neun Sprachen, ca. 40 in Deutsch
• Test-Vorlagen inkl. DHL, Office365-Migration, LinkedIn, OneDrive etc.
• Automatische Benutzertrainings bei nicht bestandenen Phishing-Tests
• Benutzer-/Gruppenauswahl einzeln, per CSV-Import oder aus dem AD
• Leistungsfähiges Monitoring und Reporting von Test- und Trainings-Kampagnen
• Lizensierung nach teilnehmenden Benutzern
• Benutzer-Verhalten
• Email geöffnet
• Link geklickt
• Training gestartet
BenutzerbekommenTest-Emails
4
Wie geht es weiter?
•Weitere Trainings-Kampagnen
•Weitere Angriffsvorlagen
• Zugangsdatendiebstahl-Simulation
•Dynamische Gruppen
•Melde-als-Phishing-Plugin für Outlook