“Análisis de riesgos en el puesto de trabajo”
Sergio MendozaTerritory Account ManagerSergio [email protected]
+34 606 504 249
75%
75% of the malicious files SophosLabs detects are found
only within a single organization.
400,000
SophosLabs receives and processes 400,000 previously unseen malware
samples each day.
Source: SophosLabs
Cryptomining / Cryptojacking
3
5
6https://www.revistabyte.es/actualidad-byte/wannacry-sigue-vivo/
7
8
El Panorama de las amenazas ha cambiado
Ransomware26%
Advanced Malware 20%
Email Malware20%
Web Malware
12%
Generic Malware
12%
Cryptocurrency/Financial Malware
8%
Privilege Escalation
1%Bots1%
Exploits
La mayor parte de las empresas no cuenta con
protección contra exploits^
83% está de acuerdo en que esmuy difícil detener estas
amenazas^
Advanced Threats
Ransomware
54% de las organizacionesha sufrido ramsomware al menos 2 veces en 2017^
^Source: The State of Endpoint Security Today SurveySource: SophosLabs
Actions onObjective
Command& Control
InstallationExploitationDeliveryWeaponizationRecon
Threat LifecycleAttack Kill Chain
PRE-BREACH POST-BREACH
Harvesting e-mail addresses, conference
information, etc.
With ‘hands on keyboard’ access,
intruders accomplish their goal
Command channel for remote
manipulation of victim
Coupling exploit with backdoor into deliverable payload
Delivering weaponized bundle to victim via email,
web …
Leveraging a vulnerability to
execute code on victim’s machine
Installing malware on the asset
ATTACKERS USE SYSTEM TOOLS FOR LATERAL MOVEMENT
¿Cómo podemos defendernos?
11
Solución de Seguridad Next-Gen
Sencilla Robusta
ProactivaAutoRespuesta
MobileEncryptionServerWeb Wireless Email EndpointFirewall SophosCentral
Protección Endpoint Tradicional
Script-based Malware
Malicious URLs
Phishing Attacks
RemovableMedia
.exe Malware
Non-.exe Malware
UnauthorizedApps
Conociendo el origen/reputación de un fichero, URL, email, etc… previene ataques antes que sucedan. Incluye tecnologías como MTD, reputación de descarga, filtrado URL, email, etc…
Para servidores o puestos, App Control previene de la ejecución de aplicaciones no
deseadas o desconocidas
Control de políticas para dispositivos extraíbles para que
éstos no pongan en riesgo la corporación.
Detección de scripts, macros, documentos y malware como primera línea eficiente de defensa contra variantes conocidas,
Synchronized Security
Sophos Central Mgmt..doc.xls.pdf
13
Protección EndPoint de Nueva Generación
Hacking
Privilegios
Credenciales
Ramsomware
CodeCaves
Tools
Exploits
A través de Invincea, en pre-ejecución, detección de amenazas no conocidas gracias a su tecnología líder de ML con baja tasa de falso positivo, haciéndola única.
Detección en tiempo de ejecución contra exploits y ransomware basándose en
comportamiento. Proporciona características NextGen con
capacidad de análisis forense de Causa Raíz (RCA).
Detección heurística basada en el comportamiento de ejecución para eludir técnicas evasivas antes de que ocurra
un daño
Protección contra técnicas post-explotación
Synchronized Security
Sophos Central Mgmt.
.doc
.xls
14
15
16
¿Qué hacer frente los Exploits y el Ransomware?
CryptoGuard – Interceptando Ransomware
Monitorización de acceso a ficheros
• Creación de copias ante modificaciones sospechosas
Detección de Ataque
• Paralización del proceso malicioso e investigación
Rollback
• Restauración de ficheros originales
• Ficheros maliciososeliminados
Visibilidad forense
• Mensaje al usuario
• Alerta al admin
• Análisis de Causa Raíz
Se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.
18
Esquema Nacional de Seguridad
Análisis de causa raizEntendiendo el Quién, Qué, Cuándo, Dónde, Por qué y Cómo
19
Endpoint Detection and Response (EDR)
Visibilidad
Contextual, Sencilla, Recomendaciones
Exploración
Búsquedas, IOCs, Diagnóstico bajo demanda
Datos
Correlados, Libres de ruido, Maxima Integración entre productos.
20
Demo - Central
21
¿Y si todo falla?
23
Me encanta que los planes
salgan bien
2424
CIFRADO DE FICHEROS
Protege contra pérdida o robo
Asegura datos en la nube
Asegura los datos incluso ante filtraciones
Asegura emails confidenciales
Asegura los datos en caso de hacking o compromiso
Protege contra atacantes internos
Asegura datos en móviles o pendrives
CIFRADO DE DISCO COMPLETO
Dos tipos de cifrado, ambos necesarios
Sophos Central Device Encryption
25
Sophos Central Device Encryption es la forma más sencilla de gestionar de forma centralizada el cifrado completo de disco de
Windows BitLocker y MacOS FileVault mediante la intuitiva consola de administración central de Sophos, basada en la Web.
SafeGuard Enterprise
26
• Device Encryptiono Cifrado de disco duro y carpetas
• Data Exchangeo Cifrado de dispositivos extraíbles (USB,
HD extraíble, etc.)
• File Share o Cifrado de archivos compartidos en red
o servidores
• Native device Encryptiono Control de soluciones de seguridad de
terceros (Ej. Bitlocker)
• Cloud Encryptiono Cifrado de archivos almacenados en la
nube
Cómo pierden datos las empresas
27
57%
22%
10%
7%4% Hacking or Malware
Unintended Disclosure
Portable Devices
Physical loss
Other
2016 Data Breaches – Privacy Rights Clearinghouse
60 %
Malware, unauth. access
Lost or stolen
laptops/ drives
Lost or stolen
phones/tablets
Loss via email
Loss via cloud
storage
Human error
Malicious insider
28
Hacking or malware Physical loss Portable devices Unintended disclosure
¿Hasta dónde quiere llegar para gestionar el riesgo?
Other
57% 7% 10% 22% 4%
DATA SECURITY SCALE
Sophos Central Sophos SafeGuard
¿ Y los dispositivos Móviles ?
29
Gestión Unificada de Dispositivos
30
Gestión y seguridad universales para dispositivos, aplicaciones y datos
EMM UEMMDM2010 2014
Mobiles + Apps+ Content
+ Laptops + IoT+ Security
31
Unified Endpoint Management
DISPOSITIVOS
iOS, Android, Windows, macOSConfiguración y políticasInventario e informe de administración de activos
APPS
Instalación, eliminación, vista appsEnterprise app storeApp control Whitelist/blacklist
CONTENIDO
Contenedor de Email y documentosPublica contenidoAdministración solo de ContenedorContenerización nativa de OS
SEGURIDAD
Reglas de cumplimiento y remediaciónDetección de Deep Learning Malware & ransomware, detección de PUA Anti-phishing, Web protection, web filtering, detección MiTM
Sophos Mobile
32
La única solucion UEM que se integranativamente en una plataforma de seguridadlider
Consolidación de la consola- Administra y securiza endpoints tradicionales y móviles bajo la misma consola
Sophos Mobile
No hay una sola tecnología que no pueda ser superada por la
Ingeniería SocialFrank Abagnale, security consultant
Evitar errores humanos
34
Seleccione unacampaña de
Phishing
#1
• Importa losusuarios
• Selecciona la campaña de prueba
• Selecciona el email de ataque
• Seleccionar el módulo de formación que más se adecúe a la campaña realizada
Seleccione un módulo de formación
#2
• Reportes y resultados
• Resultados por organización, departamento o individual
Evalúe el nivelde
concienciación
#3
Ejemplo de ataque
Al hacer clic…
DIPLOMA
Resumen
41
PROTECCIÓN DE NUEVA GENERACIÓNAntiExploits & AntiRansomwareAnálisis de Causa Raíz & Cryptoguard & EDRMachine & Deep Learning
CIFRADO:Cifrado de Disco – Central Device EncryptionCifrado de Archivos – Safeguard
CONCIENCIACIÓN DEL USUARIOCursos de Phising y Evaluación continua
Solución de Seguridad Next-Gen
Sencilla Robusta
ProactivaAutoRespuesta
MobileEncryptionServerWeb Wireless Email EndpointFirewall SophosCentral
Sophos
• Fundada en 1985 en Oxford, UK
• 769M$ de facturación en FY18, 22% YoY
• 46,1M$ Beneficio Operativo
• Net Cash Flow 147,7M$
• 3,000 employees
• 300.000+ Clientes a finales de FY18, 10.000 nuevos Clientes por Trimestre
• Crecimiento orgánico y por adquisiciones(11 empresas en 10 años)
• SophosLabs
• Iberia: Crecimiento >40%, 25 empleados, 7.000 Clientes, Soporte local en Castellano
Sophos Headquarters, Abingdon, UK
45