Synchronized Security: Branchenführende Abwehr, die koordinierter ist als moderne Angriffe



Werbung:

otelo_Freikarte_728x90




page1image1000page1image1160page1image1320page1image1480page1image1640page1image1800page1image1960page1image2120page1image2280page1image2440page1image2600page1image2760page1image3184page1image3344page1image3504page1image3664page1image3824page1image3984page1image4144page1image4304page1image4464page1image4624page1image4784page1image4944page1image5104

Synchronized Security:

Branchenführende Abwehr, die koordinierter ist als moderne Angriffe

Synchronized Security: Branchenführende Abwehr, die koordinierter ist als moderne Angriffe

Heutzutage implementieren viele Unternehmen mehrere Schichten verschiedener Sicherheitsprodukte in ihrem Netzwerk und auf ihren Endpoints: host- und netzwerkbasierte Firewalls, Einrichtungen zur Überprüfung von Inhalten, Malware-Analyzer, Ereignis-Manager u.v.m. Diese „Defense-in-Depth“-Strategie soll vor bekannten und neuen Bedrohungen schützen. Die Idee dahinter: An irgendeinem Punkt der Angriffskette wird eines der Produkte in der Lage sein, den Angriff zu neutralisieren.

Einzelprodukte haben für sich genommen zwar ihre Daseinsberechtigung, jedoch hat eine solche „Silo-Architektur“ entscheidende Nachteile. Erstens arbeiten die Produkte oft isoliert voneinander, d. h. Informationen werden nicht untereinander ausgetauscht. Dadurch wird eine wichtige Chance vertan: Firewalls und Endpoints könnten in Echtzeit Kontextinformationen auf Netzwerk- und Prozessebene austauschen, um so Infektionen zu isolieren und zu beseitigen.

Zweitens: Je weitreichender die „Defense-in-Depth“-Strategie eines Unternehmens ist, desto umständlicher wird die Verwaltung. Die Folge sind hohe Personalkosten, denn Warnmeldungen müssen manuell korreliert, verschiedene Bedienober ächen verwaltet und Ereignisse überwacht werden. Auch die Performance kann beeinträchtigt werden, wenn mehrere Software-Agenten um Systemressourcen konkurrieren.

Drittens: Zwar wurden SIEM(Security Information and Event Management)-Tools entwickelt, um die Kommunikationslücken zwischen verschiedenen Einzelprodukten zu überbrücken. Die Hauptaufgabe solcher Tools besteht jedoch darin, Daten zentral und sinnvoll aufzubereiten. Die Möglichkeiten der Tools zum Extrahieren aussagekräftiger Informationen sind in der Regel begrenzt und vergangenheitsbezogen. Zudem müssen die Informationen zunächst von erfahrenen Mitarbeitern gründlich analysiert werden.

Die aktuelle Situation der meisten Unternehmen lässt sich gut an folgendem Beispiel illustrieren: Stellen Sie sich
vor, Sie platzieren in und vor Ihrem Firmengebäude jeweils einen Wachmann. Die beiden erhalten jedoch keine Funkgeräte, mit denen sie kommunizieren könnten. Stattdessen erhalten die Wachleute die Anweisung, ihre Informationen getrennt voneinander an ein zentrales System zu senden. Dieses zentrale System wird von einer weiteren Person auf eingehende Informationen überprüft, die für die jeweils anderen Wachleute wichtig sein könnten. Gehen solche Informationen ein, werden diese jedem einzelnen Wachmann separat mitgeteilt. Erweitern Sie dieses Beispiel nun auf mehrere Gebäude mit einer Vielzahl von Wachleuten drinnen und draußen. Alle Wachleute schicken Ihre Informationen an ein zentrales System – ein System, das nicht kohärent erkennen kann, welcher Wachmann welche Nachricht sendet. Um das Ganze noch zu erschweren, probieren Angreifer immer neue Wege und Ablenkungsmanöver aus, um diese Patchwork-Abwehr zu überlisten.

Herkömmliche Sicherheit

SIEM

Abbildung 1: Herkömmliche Lösungen versuchen, Daten zu korrelieren und zu analysieren. Dazu sind Personal und spezielle Fachkenntnisse erforderlich, über die nur wenige verfügen.

page2image21008page2image21432

Endpoint-Verwaltg.

Netzwerk-Verwaltg.

page2image23432page2image23856

Endpoint

Netzwerk

Sophos-Whitepaper August 2017 2

Synchronized Security: Branchenführende Abwehr, die koordinierter ist als moderne Angriffe

Abwehr von gestern gegen Angriffe von heute

Bei frühen Cyberangriffen ging es den Angreifern oft vor allem darum, mit relativ einfachen Methoden Chaos zu stiften. Bei heutigen Angriffen geht es um weitaus mehr. Hinter ihnen stecken in der Regel nanzielle oder politische Motive. Ihre Taktiken sind ausgeklügelt, initiiert werden sie von Verbrechersyndikaten, Hacktivisten oder sogar Staaten. Mit überzeugend echt erscheinenden Phishing-Nachrichten bringen die Angreifer Enduser dazu, Zugangsdaten herauszugeben, Berechtigungen auszuweiten und Daten zu übertragen. Sie nutzen Schwachstellen in Software aus, bevor diese behoben werden können, sie in ltrieren Netzwerke mit speicherbasierter Malware und sie bewegen sich rasend schnell lateral vorwärts, wobei sie andere Systeme in zieren.

74 %

aller Datenpannen bleiben 6 Monate oder länger unbemerkt.

46 %

aller Unternehmen haben nicht genügend auf Cybersecurity spezialisierte Mitarbeiter.

Die IT-Security-Branche hat Probleme, mit diesem Tempo Schritt zu halten, und
so sind die Cyberkriminellen ihr oft einen Schritt voraus – dank Kommunikationen
im Untergrund, untereinander ausgetauschten Techniken und Codes, anonymen Währungen, intelligenter, wandlungsfähiger Malware und gezielter Ausnutzung von Netzwerken vorin zierter Geräte. Es gibt sogar voll funktionsfähige, intelligente, cloudbasierte Angriffs-Services, die praktisch von jedem in Anspruch genommen werden können – man kann auch von App Stores für kriminelle Aktivitäten sprechen – komplett mit Umsatzströmen zurück an die Programmierer im Falle eines erfolgreichen Angriffs.

Gleichzeitig übertragen Enduser immer mehr Daten in die Public Cloud, speichern Unternehmensdaten auf Privatgeräten und erwarten, auch außerhalb des Büros problemlos auf das Unternehmensnetzwerk zugreifen zu können – und zwar überall und jederzeit.

Die Flut moderner Bedrohungen stellt selbst die weltweit größten und innovativsten Unternehmen vor schier unüberwindbare Herausforderungen. Angriffe werden immer komplizierter und koordinierter. Die Einzelprodukte, die vor ihnen schützen sollen, arbeiten jedoch in den meisten Fällen immer noch isoliert voneinander. Gleichzeitig wächst die Angriffs äche immer weiter, da Enduser Smartphones, Cloud-Anwendungen und verschiedene tragbare Geräte nutzen. Und IT-Abteilungen fehlen die nanziellen Mittel, um ihre Einzelprodukte entsprechend aufzustocken. Dem Ponemon Institute zufolge bleiben 74 % aller Datenpannen mehr als sechs Monate lang unbemerkt.

Laut ESG Group sind 46 % aller Unternehmen zudem der Auffassung, dass sie nicht genügend auf Cybersecurity spezialisierte Mitarbeiter haben.

Synchronized Security – eine einfache Lösung

für ein komplexes Problem

Erstmals können Endpoint und Network Protection als ein integriertes Sicherheitssystem agieren. Dieses System setzt sich aus branchenführenden Produkten zusammen, die über eine zentrale Ober äche verwaltet werden und bidirektional Echtzeit-Informationen austauschen, um automatisch auf Bedrohungen reagieren zu können.

Sophos-Whitepaper August 2017

3

Synchronized Security: Branchenführende Abwehr, die koordinierter ist als moderne Angriffe

Synchronized Security

Zentrale Verwaltung

page4image2328page4image2752page4image3496

Enduser

Netzwerke

Abbildung 2: Synchronized Security vereinfacht und zentralisiert die Kommunikation und Verwaltung.

Dank einfachem Management lässt sich das Framework problemlos einrichten und verwalten – ohne zusätzliche Analysten und Ereignis-Manager. Erkennungs-, Isolierungs- und Bereinigungsergebnisse werden im Falle eines Angriffs innerhalb von Sekunden – nicht innerhalb von Stunden oder Tagen –neutralisiert. Das Ergebnis ist besserer Schutz, der außerdem auch kosten- und zeitef zienter ist.

Synchronized Security

Herkömmliche Sicherheit

Übergreifend verfügbar

page4image10488

Automatisiert

page4image11416

Kontextgestützt

page4image12344

Sehr gezielt

page4image13312

page4image14240

Einfach und zentral

Informationen Korrelation

Erkennung unbekannter Bedrohungen
Reaktion auf Vorfälle Zusätzliche Investitionen in Produkte und Personal Verwaltung

Isoliert
Manuell und teilweise automatisiert
Nicht kontextgestützt

Unpräzise Erheblich

Kompliziert und auf Silo- Infrastruktur basierend

page4image19280page4image19440page4image19600page4image19760page4image19920page4image20080page4image20240page4image20400page4image20560page4image20720

Tabelle 1: Eigenschaften von Synchronized Security im Vergleich zu herkömmlicher IT-Security

Die Kommunikation zwischen Firewalls und Endpoints wird durch den Sophos Security Heartbeat ermöglicht – einem einfach bereitzustellenden Feature, das einen sicheren bidirektionalen Kanal aufbaut, der von der cloudbasierten Sophos Central Management-Konsole gesteuert wird.

page4image23912

Sophos-Whitepaper August 2017 4

Synchronized Security: Branchenführende Abwehr, die koordinierter ist als moderne Angriffe

Für die Einrichtung müssen Sie lediglich Ihre Sophos Central Admin Zugangsdaten im Bereich „Security Heartbeat“ der Sophos XG Firewall Ober äche eingeben. Anschließend erscheint die Firewall in Sophos Central und alle über Sophos Central verwalteten Computer beginnen, eine Heartbeat-Verbindung an verbundene Firewalls zu senden. Verbundene Firewalls senden zudem einen Heartbeat zurück an die Computer.

Computer verbinden sich automatisch mit der nächstgelegenen Firewall und Firewalls überprüfen eingehende Verbindungsanfragen von Computern, um sicherzustellen, dass diese über Sophos Central geschützt werden. Im Gegenzug veri zieren auch die Computer die Firewall, indem sie überprüfen, ob deren Sicherheitsinformationen mit Sophos Central übereinstimmen. Alles funktioniert automatisch: keine komplexen Regeln, Kon gurationen oder Updates.

Synchronized Security in Aktion:

Die Grundlagen

Durch die Verbindung zwischen Firewall- und Endpoint-Clients beginnen Informationen zur Systemintegrität über Sophos Central von den Endpoints zur Firewall zu ießen. Im Dashboard der XG Firewall zeigt das Sophos Security Heartbeat Widget den Integritätsstatus aller Sophos-Central-verwalteten Endpoints an. Systeme, auf denen unerwünschte Anwendungen ausgeführt werden oder bei denen eine Infektion vorliegt, werden hier als gelb oder rot angezeigt. Auf rote Anzeigen sollte sofort reagiert werden, gelbe Anzeigen weisen auf ein Risiko hin, sind jedoch weniger dringlich.

Um je nach Sicherheitsstatus unterschiedliche Maßnahmen zu ergreifen, können Firewall-Regeln eingerichtet werden. Beispielsweise können Sie

Sophos Security Heartbeat Widget im XG Firewall Dashboard

page5image13344page5image13776

Sophos-Whitepaper August 2017

5

Synchronized Security: Branchenführende Abwehr, die koordinierter ist als moderne Angriffe

Computern mit gelbem Status den Zugriff aufs Internet prinzipiell erlauben, den Zugriff auf Seiten, die sensible Unternehmensinformationen enthalten könnten (z. B. Salesforce oder Dropbox), hingegen sperren. Bei einem
roten Status können Sie den Internet-Zugang der betroffenen Systeme komplett sperren und, sofern Sie unser Dateiverschlüsselungsprodukt SafeGuard lizenziert haben, die Dateischlüssel entziehen, bis die Systeme wieder über einen grünen Status verfügen. Ist der Status wieder grün, wird der Internet-Zugriff automatisch wiederhergestellt und die Dateischlüssel werden wieder ausgegeben.

page6image5152

Firewall-Regel in der Ober äche der XG Firewall verwehrt riskanten Benutzern den Netzwerkzugriff, sofern diese sich nicht in einem sicheren Zustand be nden

Die Sophos XG Firewall kann auch erkennen, ob ein ehemals sicherer Endpoint Netzwerkverkehr generiert, ohne einen Heartbeat zu senden. Ein fehlender Security Heartbeat kann darauf hindeuten, dass die Anti-Malware-Software des Endpoints von einem Eindringling manipuliert oder deaktiviert wurde. In einem solchen Fall wird der Endpoint vom übrigen Netzwerk isoliert, bis die Bereinigung erfolgt ist und der Heartbeat wiederhergestellt wurde.
Dank Security Heartbeat werden betroffene Systeme klar identi ziert – in der Ober äche der XG Firewall und in der Ober äche von Sophos Central Admin. Der Computername, der angemeldete Benutzer und der Prozessname, der einen Warnhinweis ausgelöst hat, werden angezeigt, sodass Bedrohungen schneller erkannt, analysiert und beseitigt werden können. In herkömmlichen Silo-Infrastrukturen kann es Stunden oder Tage dauern, an diese Informationen zu gelangen, da dem Ermittler lediglich die vorübergehende IP-Netzwerkadresse vorliegt, um dem Problem auf den Grund zu gehen.

page6image13424

Seite mit roten Warnhinweisen in Sophos Central Admin

Sophos-Whitepaper August 2017 6

Synchronized Security: Branchenführende Abwehr, die koordinierter ist als moderne Angriffe

Synchronized Security – mehr Sicherheit für Server

Auf Servern sind die wertvollsten Daten von Unternehmen gespeichert. Sie sind daher lukrative Ziele für Malware- Autoren und sollten unbedingt vor direkten Angriffen geschützt werden. Darüber hinaus müssen jedoch auch laterale Bewegungen von Enduser-Computern abgewehrt werden, die mit den Servern verbunden sind.

Im Falle eines Angriffs kann Sophos Server Protection die XG Firewall über eine Änderung des Integritätsstatus benachrichtigen. Zu diesem Zeitpunkt kann die Firewall den Server sowohl vom Internet als auch von anderen Systemen im Netzwerk isolieren, um das Abschöpfen von Daten und eine Verbreitung der Infektion zu verhindern. Eingehende Verbindungen zum Server werden von der Firewall abgelehnt und der Server wird vor anderen Geräten im Netzwerk verborgen („Destination Heartbeat“). Nach erfolgter Bereinigung können der Netzwerkzugriff und die Sichtbarkeit des Servers automatisch wiederhergestellt werden.

Mit der bidirektionalen Kommunikation zwischen Firewalls, Servern und Endpoints sorgt Sophos Synchronized Security für eine sofortige Koordination und wehrt auf diese Weise selbst besonders raf nierte Angriffe ab. Außerdem spart die automatische Identi zierung und Isolierung von Servern auf Grundlage des Sophos Security Heartbeat auch wertvolle Zeit beim Reagieren auf Sicherheitsvorfälle. In Kombination mit der kontinuierlichen Durchsetzung von Heartbeat-Richtlinien lässt sich ein kompromittiertes System effektiv isolieren – sowohl eingehend als auch ausgehend.

Ein neues Konzept: Synchronized Encryption

Die Verschlüsselung von Dateien war bislang ein umständlicher Prozess – sowohl für Administratoren, die die Verschlüsselung einrichten mussten, als auch für Enduser, die mit der Verschlüsselung arbeiten mussten. Sophos SafeGuard Encryption bietet nun jedoch ein neues Konzept für die Sicherheitsstrategien von Unternehmen: Alle Dateien werden standardmäßig verschlüsselt. Bevor eine Datei auf einem Gerät entschlüsselt werden darf, erfolgt zunächst eine Überprüfung des Benutzers, der Anwendung und des Sicherheitsstatus. Nur Anwendungen, die als sicher eingestuft wurden, dürfen unverschlüsselte Daten aufrufen, sodass Malware keine Chance hat, auf sensible Daten zuzugreifen. Der gesamte Vorgang ist transparent für den Enduser: Inhalte werden sofort bei ihrer Erstellung verschlüsselt und bleiben verschlüsselt, wenn sie innerhalb des Unternehmens ausgetauscht oder auf Cloud-Sites hochgeladen werden. Optional kann mit nur einem Klick ein Passwortschutz für den externen Austausch eingerichtet werden.

Nachricht, dass SafeGuard während eines Angriffs Dateischlüssel entzogen hat

Sophos SafeGuard Encryption ist vollständig Synchronized-Security-kompatibel. Wenn ein Sophos-geschützter Endpoint der XG Firewall meldet, dass er angegriffen wurde, isoliert die Firewall nicht nur den Endpoint vom

page7image20288

Sophos-Whitepaper August 2017 7

Synchronized Security: Branchenführende Abwehr, die koordinierter ist als moderne Angriffe

Netzwerk, sondern entfernt auch die SafeGuard-Dateischlüssel von diesem Computer. So werden alle Daten, die ggf. abgeschöpft werden, für die Angreifer unbrauchbar. Sobald der sichere Status des Endpoints wiederhergestellt wurde, darf dieser wieder auf das Netzwerk zugreifen und er erhält wieder Schlüssel. Der gesamte Vorgang – von der Isolierung über die Bereinigung bis hin zur Wiederherstellung – läuft automatisch und innerhalb weniger Sekunden ab, nicht innerhalb von Stunden oder Tagen wie bei Angriffen gegen ein Patchwork von Einzelprodukten.

Der Ursache eines Angriffs auf den Grund gehen

Die automatische Isolierung, Bereinigung und Wiederherstellung von Synchronized Security und der bidirektionale Security Heartbeat revolutionieren zweifellos die IT-Security-Branche. Um zukünftige Angriffe abwehren zu können, sind aber auch einfach verwertbare Analysen vergangener Angriffe von entscheidender Bedeutung.

Die Ursachenanalyse in Sophos Intercept X liefert eine detaillierte, forensikbasierte Darstellung des Infektionswegs eines Angriffs – mit Informationen über betroffene Dateien, Prozesse und Registry-Schlüssel. Dazu gibt sie Empfehlungen, wie ein solcher Angriff in Zukunft verhindert werden kann.

Ursachenanalyse in Sophos Intercept X

Dank der Ursachenanalyse können Sie nachvollziehen, wie die Malware in Ihr System gelangt ist und was die Malware getan hat, bevor sie entdeckt und entfernt wurde. Außerdem können Sie sicherstellen, dass die Malware komplett entfernt wird, und Maßnahmen treffen, um ähnliche Angriffe in Zukunft zu vermeiden.

page8image12048

Sophos-Whitepaper August 2017 8

Synchronized Security: Branchenführende Abwehr, die koordinierter ist als moderne Angriffe

Synchronized Security:

Einfach bessere IT-Security

Synchronized Security ist ein branchenführendes Sicherheitssystem, das Ihren Abwehrmaßnahmen ermöglicht, so koordiniert zu agieren wie die Angriffe, vor denen sie schützen. Synchronized Security kombiniert eine intuitive Security-Plattform mit preisgekrönten Produkten, die aktiv zusammenarbeiten, um komplexe Bedrohungen zu blockieren und Sie optimal zu schützen – mit automatischer Reaktion auf Vorfälle sowie Echtzeit-Transparenz und -Kontrolle.

Im Gegensatz zu separaten Einzelprodukten, deren Komplexität mit jeder zusätzlichen Schutzschicht zunimmt, wird Synchronized Security mit jeder weiteren Sophos– Lösung leistungsstärker.

page9image6368

Sales DACH (Deutschland, Österreich, Schweiz) Tel.: +49 611 5858 0 | +49 721 255 16 0
E-Mail: sales@Sophos.de

© Copyright 2017. Sophos Ltd. Alle Rechte vorbehalten.
Eingetragen in England und Wales, Nr. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, GB Sophos ist die eingetragene Marke von Sophos Ltd. Alle anderen genannten Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken ihres jeweiligen Inhabers.

2017-05 WP-DE (NP)

page9image10848page9image11008page9image11168page9image11328page9image11488page9image11648page9image11808page9image11968page9image12128page9image12288page9image12448page9image12608

Mehr erfahren und selbst testen unter

www.Sophos.de/synchronized











Werbung:







Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.