Synchronized Security: Eine revolutionäre Technologie



Werbung:





Firewall Web Wireless Email

Endpoint Encryption Mobile Server

Synchronized Security: Eine revolutionäre Technologie

Sophos-WhitepaperJuni 2017

Synchronized Security: Eine revolutionäre Technologie

1) Heutige Cyber-Risiken

Größere Angriffs äche, immer komplexere und raf niertere Angriffe

Unternehmen jeder Größe müssen heute lernen, wie sie in einer Welt mit immer weiter wachsendem Cyber-Risiko überleben und wachsen können. Dieses Risiko steigt aus mehreren Gründen immer weiter, unter anderem aufgrund der größer werdenden Angriffs äche und der wachsenden Komplexität und Raf nesse der Angriffe.

Mitarbeiter nutzen immer mehr mobile Geräte und Cloud-Services und Unternehmen setzen zunehmend virtuelle und Cloud-Infrastrukturen ein. Die sogenannte „Angriffs äche“ hat sich dadurch dramatisch vergrößert.

Bedenken Sie folgende Fakten:

  • Ì  Geräte: Der durchschittliche digitale Konsument besitzt mittlerweile drei verbundene Geräte.1
  • Ì  Anwendungen: Mitarbeiter nutzen beru ich im Durchschnitt 16 Cloud-Anwendungen – Box, SalesForce und Microsoft Of ce 365 stehen auf der Beliebtheitsskala ganz oben.
  • Ì  Internet der Dinge: Prognosen von Gartner zufolge werden bis 2020 fast 21 Mrd. „Dinge“ mit dem Internet verbunden sein.3

    Aufgrund dieser wachsenden Angriffsvektoren werden wir mit einer steigenden Anzahl von Angriffen, Sicherheitsverletzungen und Datenverlusten konfrontiert.

    Außerdem sind dank kommerziell unterstützten Malware-Toolkits, die auf den Grau- und Schwarzmärkten angeboten werden, immer weniger Fachkenntnissen notwendig, um im großen Stil immer raf niertere Angriffe durchzuführen.

    Zudem kopieren Cyberkriminelle die cloudbasierten Geschäftsmodelle seriöser Unternehmen und bieten „Malware-as-a-Service“ an (z. B. Ransomware als Serviceleistung) – komplett mit Geld-zurück-Garantie. Damit sind für Cyber-Angriffe noch weniger Fachkenntnisse erforderlich und die Hacker können sich darauf verlassen, dass die Tools laufend aktualisiert werden.

    All diese Entwicklungen haben dazu geführt, dass Cyberkriminelle nun in der Lage sind, schneller zu agieren als die meisten Unternehmen Schritt halten können. Dies zeigen die Ergebnisse des Verizon 2016 Data Breach Investigation Report:

  • Ì  Hacking und Malware sind die beiden Hauptgründe für Datenpannen.
  • Ì  Angreifern gelingt es immer schneller, ihre Opfer zu kompromittieren – die Zeitspanne bis zur Kompromittierung beträgt in fast allen Fällen höchstens ein paar Tage, oft sogar nur Minuten oder noch weniger.
  • Ì  Das Erkennungsde zit (die Zeitspanne zwischen Kompromittierung und Erkennung) erhöht sich und es dauert länger, bis die Angriffe erkannt werden.

    Außerdem kommt der Verizon-Report zu dem Schluss, dass nanzielle Bereicherung bei mehr als 80 % dieser Angriffe das Hauptmotiv darstellt. Für kleine und mittelständische Unternehmen können die nanziellen Folgen verheerend sein.

    Immer mehr Angriffe, immer komplexere Angriffsszenarien und zunehmende Datenverluste. Die Frage ist: Was müssen wir anders machen, um uns zu schützen?

Bedrohungs- landschaft

page2image22432

Sophos-WhitepaperJuni 2017

2

Mirai AdfraudDownloaderTrojaner

Ransomware

IdD Locky BackdoorKeylogger Banken

Cerber SpywareKovter DDoS

Botnets

Synchronized Security: Eine revolutionäre Technologie

Kleine Teams, knappe Ressourcen, wenig Spezialisten

Wenn die Anzahl der Angriffe steigt, wird man in der Regel versuchen, zusätzliche Mitarbeiter auf das Problem anzusetzen. Da die meisten Unternehmen jedoch nur kleine IT-Security-Abteilungen haben, ist eine Erweiterung oder Neuzuweisung von Ressourcen gerade für viele kleine und mittlere Unternehmen keine realistische Option.

Wie Sie in Abbildung 1 sehen können, sind IT-Sicherheitsteams mit Ausnahme von Großunternehmen in Bezug auf Größe und Ressourcen sehr begrenzt:

page3image6432page3image6592page3image6752page3image6912page3image7072page3image7232page3image7392page3image7552page3image7712page3image7872page3image8032page3image8192page3image8352page3image8512page3image8672page3image8832page3image8992page3image9152page3image9312page3image9472page3image9632page3image9792page3image9952page3image10112page3image10272page3image10432page3image10592page3image10752page3image10912page3image11072page3image11232page3image11392page3image11552page3image11712page3image11872page3image12032page3image12192page3image12352page3image12512page3image12672page3image12832page3image12992page3image13152page3image13312page3image13472page3image13632page3image13792page3image13952page3image14112page3image14272page3image14432page3image14592page3image14752page3image14912page3image15072page3image15232page3image15392page3image15552page3image15712page3image15872page3image16032page3image16192page3image16352page3image16512page3image16672page3image16832page3image16992page3image17152page3image17312page3image17472page3image17632page3image17792page3image17952page3image18112page3image18272page3image18432page3image18592page3image18752page3image18912page3image19072page3image19232page3image19392page3image19552page3image19712page3image19872page3image20032page3image20192page3image20352page3image20512page3image20672page3image20832page3image20992page3image21152page3image21312page3image21472page3image21632page3image21792page3image21952page3image22112page3image22272page3image22432page3image22592page3image22752page3image22912page3image23072page3image23232page3image23392page3image23552page3image23712page3image23872page3image24032page3image24192page3image24352page3image24512page3image24672page3image24832page3image24992page3image25152page3image25312page3image25472page3image25632page3image25792page3image25952page3image26112page3image26272page3image26432page3image26592page3image26752page3image26912page3image27072page3image27232page3image27392page3image27552page3image27712page3image27872page3image28032page3image28192page3image28352page3image28512page3image28672page3image28832page3image28992page3image29152page3image29312page3image29472page3image29632page3image29792page3image29952page3image30112page3image30272page3image30432page3image30592page3image30752page3image30912page3image31072page3image31232page3image31392page3image31552page3image31712page3image31872page3image32032page3image32192page3image32352page3image32512page3image32672page3image32832

100–500 500–1.000 1.000–5.000 5.000–20.000 20.000+ MITARBEITER MITARBEITER MITARBEITER MITARBEITER MITARBEITER

Abbildung 1: IT-Sicherheitsabteilungen in mittleren Unternehmen sind klein und haben nur begrenzte Ressourcen (Quelle: US Dept of Homeland Security, 2014)

Und selbst wenn beschlossen wird, das interne IT-Sicherheitsteam zu vergrößern,
ist es gar nicht so einfach, geeignete Mitarbeiter für diesen Bereich zu nden. Forschungsergebnissen der Enterprise Strategy Group zufolge räumen ganze 46 % der Unternehmen ein, nicht genügend auf Cybersecurity spezialisierte Mitarbeiter zu haben.4 Dies wiederum erhöht den Druck auf bestehende IT-Abteilungen, mit weniger Ressourcen mehr zu erreichen.

Wir werden mit einer weit größeren Anzahl von Angriffen konfrontiert, die raf nierter (und erfolgreicher) sind als je zuvor, und es gibt einfach nicht genügend quali zierte Mitarbeiter, um die Gefahren hinreichend einzudämmen. Unternehmen, die sich einfach darauf verlassen, dass ihre Mitarbeiter mit dem Problem schon fertigwerden, gehen ein extrem hohes Risiko ein.

Sophos-WhitepaperJuni 2017 3

AUF IT-SICHERHEIT SPEZIALISIERTE MITARBEITER

Synchronized Security: Eine revolutionäre Technologie

2) Herkömmliche Sicherheitskonzepte

Architektur mit mehreren Schichten und schlechter Integration. Komplex und kurzsichtig. Kontextunabhängig. Isolierte Entscheidungen. Diese Beschreibungen treffen auf die meisten aktuellen Sicherheitslösungen zu.

Wenn wir uns vor Augen führen, wie sich die IT-Security-Branche entwickelt hat, verwundert das kaum. Anstatt eine übergreifende Lösung für die wachsende Gefahr
durch Cyber-Bedrohungen zu nden, haben sich IT-Security-Anbieter auf die Entwicklung von Einzelprodukten konzentriert, die jeweils nur auf ganz bestimmte Punkte in der Angriffskette eingehen. Daher mussten überlastete IT-Abteilungen bislang mühselig verschiedene Insellösungen zu einem System integrieren. Das ist so, als würden Autohersteller einzelne Autoteile liefern und es dem Kunden überlassen, die Teile zu einem Auto zu montieren.

IT-Sicherheitsexperten haben versucht, die „Punkte“ zwischen den Datenquellen zu verbinden, indem sie Correlation Engines, große Datenbanken, Security Information
and Event Management-Systeme (SIEMs), aufkommende Programmiersprachen zum Datenaustausch wie STIX und OpenIOC sowie zahlreiche Analysten einsetzten. Doch
auch mit den fortschrittlichsten Tools ist es nahezu unmöglich, die Daten vieler einzelner Produkte so zu erfassen und zu verstehen, dass sich Risiken schnell erkennen und beheben lassen und Datenverluste gestoppt werden können.

Die Event- und Log-Korrelation hängt noch immer von komplexen Korrelationsregeln, endlosem Field-Mapping und Filterde nitionen sowie von stundenlanger Arbeit
durch hochquali zierte, schwer zu ndende Analysten ab. SIEMs erfordern zudem
hohe Kapitalinvestitionen und sorgen für kontinuierliche Betriebsausgaben. Der Informationsaustausch, in dem sicherlich der Schlüssel für die Zukunft der Sicherheit liegt, ist für eine breite und einfache Adaption noch nicht ausgereift genug.

Die Ergebnisse, oder vielmehr die fehlenden Ergebnisse, sprechen für sich. Datenverluste und Datenpannen sind weiter auf dem Vormarsch und IT-Abteilungen sind heillos überlastet. Laut einem neuen Bericht des Ponemon Institute bleiben 74 % der Sicherheitsverletzungen länger als sechs Monate unentdeckt. Mittlere Unternehmen
haben in der Regel noch größere Schwierigkeiten mit dem Umgang dieses Risikos als ihre größeren Konkurrenten, die über bessere Ressourcen verfügen. Ganz klar kann die Antwort auf dieses Problem nicht die Bereitstellung eines weiteren nicht integrierten Einzelprodukts, weiterer Konsolen, weiterer Mitarbeiter oder schwerfälliger SIEMs sein. Diese Ansätze sind nicht erfolgreich. Gefunden werden muss ein neuer, effektiverer Ansatz.

Angreifer starten koordinierte Angriffe auf
ein gesamtes IT-Ökosystem, nicht auf einzelne Produkte.

page4image20160

Sophos-WhitepaperJuni 2017

4

Synchronized Security: Eine revolutionäre Technologie

3) Revolutionäre IT-Sicherheit

Jahrzehntelang hat die IT-Sicherheitsbranche Netzwerk-, Endpoint- und Datensicherheit als komplett unterschiedliche Bereiche betrachtet. Das ist so, als würde man einen Mitarbeiter für Gebäudesicherheit außerhalb des Gebäudes, einen anderen im Gebäude und einen dritten vor dem Safe positionieren, ohne dass die drei miteinander kommunizieren können – ein absurder Gedanke.

Da Bedrohungen immer komplexer werden und IT-Abteilungen zunehmend an ihre Grenzen stoßen, ist dieses veraltete Konzept immer weniger praktikabel.

Synchronized Security ist ein branchenführendes Sicherheitssystem, bei dem integrierte Produkte dynamisch Bedrohungs-, Integritäts- und Sicherheitsinformationen austauschen. Das Ergebnis: schnellerer, besserer Schutz vor hochentwickelten Bedrohungen. Um bei unserem Beispiel zu bleiben: Man stattet alle drei Mitarbeiter für Gebäudesicherheit mit einem Funkgerät aus, damit sie miteinander kommunizieren und ihre Maßnahmen zur Gefahrenabwehr koordinieren können.

Dieses Konzept ist im Grunde ganz einfach, und dennoch revolutionär. Um Synchronized Security zu erreichen, sind drei Dinge erforderlich:

1. Ein zentrales Sicherheitssystem
Den Kernpunkt unseres Synchronized-Security-Konzepts bildet eine zentrale Security-Plattform, die über Bedrohungs- und Sicherheitskontextdaten für alle Geräte und Datenbestände verfügt. Diese muss einfach bedienbar sein und Ihnen ermöglichen, Ihren gesamten Schutz an einem Ort zu verwalten. So müssen Sie nicht mehr von einer Konsole zur nächsten springen und sparen viel Zeit.

2. Next-Gen-Technologie
Eine Synchronisierung darf nicht zu Lasten des Schutzes gehen. In jede Sicherheitskomponente muss die neueste Anti-Malware-Technologie integriert sein, damit Sie immer den bestmöglichen Schutz erhalten.

3. Intelligenter Schutz
Das Sicherheitssystem muss den Sicherheitstechnologien ermöglichen, Informationen auszutauschen und Reaktionsmaßnahmen zu automatisieren. Hierzu zählt u. a. das Isolieren aller in zierten Geräte in Echtzeit, wodurch der Verlust von Daten und weitere Infektionen innerhalb Ihres Unternehmens verhindert werden. Das Ergebnis ist einzigartiger Schutz vor hochentwickelten, komplexen Bedrohungen.

Heutige, mehrschichtige Lösungen

Synchronized Security

Auf Bedrohungen konzentriert, operieren unabhängig von umgebenden Objekten und Ereignissen

Getrennt voneinander arbeitende Produkte

Erfolgreicher Einsatz ist abhängig von der Anzahl der verfügbaren Mitarbeiter

Unabhängige Verschlüsselungsverwaltung

Kompliziert

Auf das gesamte Ökosystem konzentriert, operiert in vollem Bewusstsein umgebender Objekte und Ereignisse

Produkte, die koordiniert zusammenarbeiten

Arbeitet erfolgreich durch automatisierte, innovative Technologie; keine zusätzlichen Mitarbeiter erforderlich

Integrierter Verschlüsselungsschutz, der automatisch auf Bedrohungen reagiert

Einfach

page5image23760page5image23920page5image24240page5image24400page5image24720page5image24880page5image25200page5image25360page5image25680page5image25840

Abbildung 2: Die heutigen Lösungen müssen erheblich verändert werden

Sophos-WhitepaperJuni 2017 5

Synchronized Security: Eine revolutionäre Technologie

4) Das etwas andere Konzept von Sophos

Der Synchronized-Security-Ansatz von Sophos ist einmalig. IDG zufolge kann kein anderes Unternehmen auch nur ansatzweise eine vergleichbare Kommunikation zwischen Endpoint- und Netzwerksicherheitsprodukten bieten. Aber wie gelingt uns das?

Mit unserer preisgekrönten Security-Plattform Sophos Central können Sie Ihre gesamte Sophos-Sicherheit an einem zentralen Ort verwalten: Endpoint, Mobile, Server, Web, Email, Wireless und Firewall Security sowie Verschlüsselung. Dabei handelt es sich nicht bloß um eine zentrale Management-Konsole. Synchronized Security bietet wesentlich mehr. Wie Gartner beschreibt, handelt es sich bei „Synchronized Security“ um eine „Integration auf Richtlinienebene“, während es bei einer zentralen Konsole lediglich eine „Integration der Benutzerober äche“ gibt.

page6image7184page6image44232page6image44392page6image44552page6image44712page6image44872page6image45032page6image45792page6image46216page6image46640page6image46800page6image47392

Firewall Web Wireless Email

Endpoint Encryption Mobile Server

Abbildung 3: Synchronized Security mit Sophos

Next-Gen-Technologie ist in unsere Produkte integriert. Ihr Schutz vor Ransomware, Exploits, Malware und ATPs ist also immer und für alle Geräten und Datenbestände topaktuell. Die Leistungsstärke unserer Technologie wird regelmäßig durch Branchenexperten und -auszeichnungen bestätigt:

  • Ì  Als einziger Anbieter sind wir Leader in den Gartner Magic Quadrants für Endpoint Protection Platforms und UTM
  • Ì  Computing’s Best Firewall 2016
  • Ì  „Breakout Star“ in Forrester Encryption Wave 2016
  • Ì  SC Magazine Excellence Award for Encryption and Network Firewall
  • Ì  AV-Test Best Android Security 2016

    Synchronized Security basiert auf unserem patentierten Security HeartbeatTM,
    einer sicheren Kommunikationsverbindung zwischen Sophos-Produkten, über die Bedrohungs-, Integritäts- und Sicherheitsinformationen ausgetauscht und im Falle von Kompromittierungen automatische Reaktionsmaßnahmen eingeleitet werden können. Dutzende Technologien arbeiten auf koordinierte Weise zusammen, um weltbesten Schutz vor koordinierten Angriffen zu bieten. Sophos Security Heartbeat reduziert den Zeitaufwand für Bedrohungserkennung, Schutz und Reaktion von Stunden, Tagen oder sogar Wochen auf Sekunden.

Sophos-WhitepaperJuni 2017 6

Synchronized Security: Eine revolutionäre Technologie

5) Synchronized Security:

Stoppen moderner Bedrohungen

Um die Effektivität von Synchronized Security besser zu veranschaulichen, sollten wir uns ansehen, wie die Technologie bei zwei der aktuell besonders verbreiteten Bedrohungen funktioniert: Botnets und Ransomware.

Botnets

Botnets, d. h. Netzwerke „unschuldiger“ Geräte, die von Hackern übernommen wurden,
um koordinierte Cyber-Angriffe auszuführen, sind mittlerweile eine der fünf größten Sicherheitsbedrohungen weltweit. Sie werden für viele verschiedene Angriffe genutzt, u. a.:

  • Ì  Cryptocoin Mining
  • Ì  Datenhacks über Point-of-Sale-Systeme wie im Fall des US-Einzelhändlers Target
  • Ì  DDoS- oder erweiterte DNS-Angriffe wie das Mirai- Botnet, das weltweit Websites lahmlegte
  • Ì  Brute-Force-Passwort-Hacks und Spamming

    Der Integritätsstatus und die Botnet-Bedrohungsinformationen werden per Security Heartbeat an die Sophos XG Firewall gesendet, die das kompromittierte Gerät isoliert, indem sie ihm den Netzwerkzugriff entzieht. Auf diese Weise wird verhindert, dass Botnet- Malware mit ihrem Command-and-Control-Server kommuniziert und weitere Anweisungen entgegennimmt. Zudem werden weitere Infektionen durch dieses Ausgangsgerät unterbunden.

    Der Security Heartbeat tauscht diese Informationen auch mit der Sophos Encryption aus, die dem betroffenen System zur Verhinderung von Datendiebstahl die Schlüssel entzieht, bis das Problem behoben wurde.

    Der gesamte Prozess, von der Erkennung über die Isolierung bis hin zum Schlüsselentzug, läuft praktisch in Echtzeit ab und verkürzt die Reaktion auf Vorfälle von Stunden auf Sekunden.

    Sobald alle betroffenen Systeme isoliert wurden und nicht mehr vom Botnet genutzt werden können, entfernt unsere Endpoint Protection die Botnet-Malware automatisch.

    Nachdem die Systeme automatisch in ihren „sauberen“ Ausgangszustand zurückgekehrt sind, kann der IT-Administrator den Integritätsstatus des Endpoints wieder auf GRÜN stellen. Diese Informationen werden per Security Heartbeat sofort mit dem Rest des Sicherheitssystems ausgetauscht. Die XG Firewall stellt den Netzwerkzugriff des Geräts wieder her, die Schlüssel werden zurückgegeben und Ihr Netzwerk ist Botnet-frei.

Sophos-WhitepaperJuni 2017 7

Synchronized Security: Eine revolutionäre Technologie

Ransomware

Ransomware ist ein äußerst lukratives Geschäft. Weltweit ist sie für bis zu 35 % aller IT- Bedrohungen verantwortlich und ein erfolgreicher Angreifer kann mit ihr bis zu 400.000 USD im Monat verdienen.

Ransomware wird in der Regel per E-Mail in Umlauf gebracht. Sobald ein nichtsahnender Benutzer eine in zierte E-Mail öffnet und die Ransomware aktiviert, stoppt die Anti- Ransomware-Technologie von Sophos Intercept X den Angriff auf Desktops, Laptops und Server; Sophos Mobile Security schützt mobile Geräte.

Synchronized Security stellt den Integritätsstatus gefährdeter Geräte in Sophos Central auf ROT. Diese Statusänderung und zugehörige Bedrohungsinformationen werden per Security Heartbeat an die Sophos XG Firewall gesendet, die das in zierte Gerät durch Entzug des Netzwerkzugriffs automatisch isoliert. So wird verhindert, dass Ransomware Informationen zurück an einen Command-and-Control-Server melden und weitere Infektionen verursachen kann.

Der Security Heartbeat kontaktiert gleichzeitig Sophos Encryption, damit dem betroffenen System bis zur Behebung des Problems die Schlüssel entzogen werden. Ähnlich wie beim Botnet-Prozess erfolgt unmittelbar nach der Erkennung die Isolierung des Systems und der Einzug der Schlüssel, wodurch die Reaktionszeit bei Vorfällen von Stunden auf Sekunden reduziert wird.

Nach erfolgter Bereinigung kann der IT-Administrator den Integritätsstatus des Endpoints wieder auf GRÜN stellen. Dieses Statusupdate wird per Security Heartbeat sofort an das übrige Sicherheitssystem übertragen. Die XG Firewall stellt den Netzwerkzugriff des Geräts wieder her, die Schlüssel werden zurückgegeben und der Benutzer kann wieder wie gewohnt arbeiten.

All dies geschieht automatisch und ohne jede Zeitverzögerung. Sie müssen nicht selbst aktiv werden.

Zusammenfassung

Immer mehr Unternehmen sind von der wachsenden Flut komplexer und koordinierter Angriffe überfordert. Überlastete IT-Abteilungen tun sich schwer, schnell genug auf Bedrohungen zu reagieren, die sich auf ihre stetig weiterwachsende IT-Infrastruktur Zugriff verschaffen.

Unternehmen, die weiterhin versuchen, diesem Problem mit verschiedenen Insellösungen Herr zu werden, gehen ein extrem hohes Risiko ein. Sollte sich die Herangehensweise an IT- Sicherheit nicht grundlegend verändern, wird sich diese Situation noch verschärfen.

Synchronized Security ist ein branchenführendes Sicherheitssystem, bei dem integrierte Produkte dynamisch Bedrohungs-, Integritäts- und Sicherheitsinformationen austauschen, um schneller und besser vor komplexen Bedrohungen schützen zu können. Das Ergebnis ist bester Schutz und maximale Benutzerfreundlichkeit, sodass IT-Sicherheitsexperten ihre Arbeit einfacher erledigen können.

Sie möchten mehr erfahren und Synchronized Security selbst testen? Besuchen Sie www.Sophos.de/synchronized-security.

Sophos-WhitepaperJuni 2017 8

Synchronized Security: Eine revolutionäre Technologie

1 Global Web Index, 18. Februar 2016
2 UK Business Insider, August 2015
3 CNBC, Februar 2016
4 ESG Brief, Cybersecurity Skills Shortage: A State of Emergency, Februar 2016

Sales DACH (Deutschland, Österreich, Schweiz) Tel.: +49 611 5858 0 | +49 721 255 16 0
E-Mail: sales@Sophos.de

© Copyright 2016–17. Sophos Ltd. Alle Rechte vorbehalten.
Eingetragen in England und Wales, Nr. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, GB Sophos ist die eingetragene Marke von Sophos Ltd. Alle anderen genannten Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken ihres jeweiligen Inhabers.

17-02-15 WPDE (DD-2560)

page9image7208page9image7368page9image7528page9image7688page9image7848page9image8008page9image8168page9image8328page9image8488page9image8648page9image8808page9image8968

Synchronized Security

Weitere Infos unter www.Sophos.de/synchronized-security











Werbung:







Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.