“análisis de riesgos en el puesto de trabajo” · capacidad de análisis forense de causa raíz...

“Análisis de riesgos en el puesto de trabajo”

Sergio MendozaTerritory Account ManagerSergio Mendoza@sophos.com

+34 606 504 249

75%

75% of the malicious files SophosLabs detects are found

only within a single organization.

400,000

SophosLabs receives and processes 400,000 previously unseen malware

samples each day.

Source: SophosLabs

Cryptomining / Cryptojacking

3

5

6https://www.revistabyte.es/actualidad-byte/wannacry-sigue-vivo/

7

8

El Panorama de las amenazas ha cambiado

Ransomware26%

Advanced Malware 20%

Email Malware20%

Web Malware

12%

Generic Malware

12%

Cryptocurrency/Financial Malware

8%

Privilege Escalation

1%Bots1%

Exploits

La mayor parte de las empresas no cuenta con

protección contra exploits^

83% está de acuerdo en que esmuy difícil detener estas

amenazas^

Advanced Threats

Ransomware

54% de las organizacionesha sufrido ramsomware al menos 2 veces en 2017^

^Source: The State of Endpoint Security Today SurveySource: SophosLabs

Actions onObjective

Command& Control

InstallationExploitationDeliveryWeaponizationRecon

Threat LifecycleAttack Kill Chain

PRE-BREACH POST-BREACH

Harvesting e-mail addresses, conference

information, etc.

With ‘hands on keyboard’ access,

intruders accomplish their goal

Command channel for remote

manipulation of victim

Coupling exploit with backdoor into deliverable payload

Delivering weaponized bundle to victim via email,

web …

Leveraging a vulnerability to

execute code on victim’s machine

Installing malware on the asset

ATTACKERS USE SYSTEM TOOLS FOR LATERAL MOVEMENT

¿Cómo podemos defendernos?

11

Solución de Seguridad Next-Gen

Sencilla Robusta

ProactivaAutoRespuesta

MobileEncryptionServerWeb Wireless Email EndpointFirewall SophosCentral

Protección Endpoint Tradicional

Script-based Malware

Malicious URLs

Phishing Attacks

RemovableMedia

.exe Malware

Non-.exe Malware

UnauthorizedApps

Conociendo el origen/reputación de un fichero, URL, email, etc… previene ataques antes que sucedan. Incluye tecnologías como MTD, reputación de descarga, filtrado URL, email, etc…

Para servidores o puestos, App Control previene de la ejecución de aplicaciones no

deseadas o desconocidas

Control de políticas para dispositivos extraíbles para que

éstos no pongan en riesgo la corporación.

Detección de scripts, macros, documentos y malware como primera línea eficiente de defensa contra variantes conocidas,

Synchronized Security

Sophos Central Mgmt..doc.xls.pdf

13

Protección EndPoint de Nueva Generación

Hacking

Privilegios

Credenciales

Ramsomware

CodeCaves

Tools

Exploits

A través de Invincea, en pre-ejecución, detección de amenazas no conocidas gracias a su tecnología líder de ML con baja tasa de falso positivo, haciéndola única.

Detección en tiempo de ejecución contra exploits y ransomware basándose en

comportamiento. Proporciona características NextGen con

capacidad de análisis forense de Causa Raíz (RCA).

Detección heurística basada en el comportamiento de ejecución para eludir técnicas evasivas antes de que ocurra

un daño

Protección contra técnicas post-explotación

Synchronized Security

Sophos Central Mgmt.

.doc

.xls

.pdf

14

15

16

¿Qué hacer frente los Exploits y el Ransomware?

CryptoGuard – Interceptando Ransomware

Monitorización de acceso a ficheros

• Creación de copias ante modificaciones sospechosas

Detección de Ataque

• Paralización del proceso malicioso e investigación

Rollback

• Restauración de ficheros originales

• Ficheros maliciososeliminados

Visibilidad forense

• Mensaje al usuario

• Alerta al admin

• Análisis de Causa Raíz

Se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.

18

Esquema Nacional de Seguridad

Análisis de causa raizEntendiendo el Quién, Qué, Cuándo, Dónde, Por qué y Cómo

19

Endpoint Detection and Response (EDR)

Visibilidad

Contextual, Sencilla, Recomendaciones

Exploración

Búsquedas, IOCs, Diagnóstico bajo demanda

Datos

Correlados, Libres de ruido, Maxima Integración entre productos.

20

Demo - Central

21

¿Y si todo falla?

23

Me encanta que los planes

salgan bien

2424

CIFRADO DE FICHEROS

Protege contra pérdida o robo

Asegura datos en la nube

Asegura los datos incluso ante filtraciones

Asegura emails confidenciales

Asegura los datos en caso de hacking o compromiso

Protege contra atacantes internos

Asegura datos en móviles o pendrives

CIFRADO DE DISCO COMPLETO

Dos tipos de cifrado, ambos necesarios

Sophos Central Device Encryption

25

Sophos Central Device Encryption es la forma más sencilla de gestionar de forma centralizada el cifrado completo de disco de

Windows BitLocker y MacOS FileVault mediante la intuitiva consola de administración central de Sophos, basada en la Web.

SafeGuard Enterprise

26

• Device Encryptiono Cifrado de disco duro y carpetas

• Data Exchangeo Cifrado de dispositivos extraíbles (USB,

HD extraíble, etc.)

• File Share o Cifrado de archivos compartidos en red

o servidores

• Native device Encryptiono Control de soluciones de seguridad de

terceros (Ej. Bitlocker)

• Cloud Encryptiono Cifrado de archivos almacenados en la

nube

Cómo pierden datos las empresas

27

57%

22%

10%

7%4% Hacking or Malware

Unintended Disclosure

Portable Devices

Physical loss

Other

2016 Data Breaches – Privacy Rights Clearinghouse

60 %

Malware, unauth. access

Lost or stolen

laptops/ drives

Lost or stolen

phones/tablets

Loss via email

Loss via cloud

storage

Human error

Malicious insider

28

Hacking or malware Physical loss Portable devices Unintended disclosure

¿Hasta dónde quiere llegar para gestionar el riesgo?

Other

57% 7% 10% 22% 4%

DATA SECURITY SCALE

Sophos Central Sophos SafeGuard

¿ Y los dispositivos Móviles ?

29

Gestión Unificada de Dispositivos

30

Gestión y seguridad universales para dispositivos, aplicaciones y datos

EMM UEMMDM2010 2014

Mobiles + Apps+ Content

+ Laptops + IoT+ Security

31

Unified Endpoint Management

DISPOSITIVOS

iOS, Android, Windows, macOSConfiguración y políticasInventario e informe de administración de activos

APPS

Instalación, eliminación, vista appsEnterprise app storeApp control Whitelist/blacklist

CONTENIDO

Contenedor de Email y documentosPublica contenidoAdministración solo de ContenedorContenerización nativa de OS

SEGURIDAD

Reglas de cumplimiento y remediaciónDetección de Deep Learning Malware & ransomware, detección de PUA Anti-phishing, Web protection, web filtering, detección MiTM

Sophos Mobile

32

La única solucion UEM que se integranativamente en una plataforma de seguridadlider

Consolidación de la consola- Administra y securiza endpoints tradicionales y móviles bajo la misma consola

Sophos Mobile

No hay una sola tecnología que no pueda ser superada por la

Ingeniería SocialFrank Abagnale, security consultant

Evitar errores humanos

34

Seleccione unacampaña de

Phishing

#1

• Importa losusuarios

• Selecciona la campaña de prueba

• Selecciona el email de ataque

• Seleccionar el módulo de formación que más se adecúe a la campaña realizada

Seleccione un módulo de formación

#2

• Reportes y resultados

• Resultados por organización, departamento o individual

Evalúe el nivelde

concienciación

#3

Ejemplo de ataque

Al hacer clic…

DIPLOMA

Resumen

41

PROTECCIÓN DE NUEVA GENERACIÓNAntiExploits & AntiRansomwareAnálisis de Causa Raíz & Cryptoguard & EDRMachine & Deep Learning

CIFRADO:Cifrado de Disco – Central Device EncryptionCifrado de Archivos – Safeguard

CONCIENCIACIÓN DEL USUARIOCursos de Phising y Evaluación continua

Solución de Seguridad Next-Gen

Sencilla Robusta

ProactivaAutoRespuesta

MobileEncryptionServerWeb Wireless Email EndpointFirewall SophosCentral

Sophos

• Fundada en 1985 en Oxford, UK

• 769M$ de facturación en FY18, 22% YoY

• 46,1M$ Beneficio Operativo

• Net Cash Flow 147,7M$

• 3,000 employees

• 300.000+ Clientes a finales de FY18, 10.000 nuevos Clientes por Trimestre

• Crecimiento orgánico y por adquisiciones(11 empresas en 10 años)

• SophosLabs

• Iberia: Crecimiento >40%, 25 empleados, 7.000 Clientes, Soporte local en Castellano

Sophos Headquarters, Abingdon, UK

45