Comment Acropolis et Sophos sécurisent votre Cloud ? Présentation de Ludovic Peny, Sales Engineer, Sophos.

1. Comment Acropolis et
Sophos sécurisent votre
Cloud ?
Ludovic Peny
Consultant Sécurité - Sophos France
1

2. Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud
￮
L’antivirus
￮
Les mobiles
￮
Le réseau
• Conclusion
2

3. Introduction
3

4. Sophos en quelques chiffres
• 1er éditeur européen de solutions de sécurité pour les entreprises
￮
￮
Fondé en 1985, à Oxford, Royaume-Uni (siège social)
Plus de 300 M€ de revenus (400 MUS$)
• Couverture mondiale et présence locale
￮
￮
100 millions d’utilisateurs
4 SophosLabs dont 2 en Europe
Oxford, Budapest, Vancouver, Sydney
￮
8 centres de R&D dont 7 en Europe
Allemagne: Aix-la-Chapelle, Dortmund, Karslruhe, Munich
Autriche: Linz, Canada: Vancouver, Hongrie: Budapest, UK: Oxford
￮
￮
20+ bureaux dans le monde
1 650 employés dont 50 en France
• Plus de 12 000 partenaires dans le monde
• Dédié 100% à la sécurité des entreprises
Sophos Oxford, UK
4

5. Un peu d’histoire
Fondé à Abingdon
(Oxford), UK
Fournit le
logiciel de
sécurité pour
les forces
britanniques
durant la
1ère guerre
du Golfe
Acquisition
Utimaco
Safeware AG
Acquisition
ActiveState
Acquisition
Astaro
Peter Lammer Jan Hruska
c.1985
c.1985
1985
1988
Premier
logiciel
d’antivirus à
base de
checksum
1989
1991
1996
Elue meilleure
entreprise
TPE/PME au
Royaume-Uni
Premier logiciel
antivirus à base
de signatures
Siège social
Américain
établi à
Boston
2003
2008
2010
Queen’s Awards
for Enterprise,
Innovation and
International Trade
Décerné 3 fois
2011
2012
Participation
majoritaire vendue
à Apax Partners
2013
Acquisition
DIALOGS
5

6. Principaux sites en Europe et dans le monde
Dortmund
Allemagne
28
Aix-la-Chapelle
Wiesbaden
Allemagne
101
Budapest
Hongrie
64
Allemagne
96
Breda
Pays Bas
14
Vancouver
Oxford
Canada
UK
153
San Francisco
Santa Clara
15
Boston
MA
240
423
Tokyo
Japon
Paris
40
France
50
Manille
Madrid
Espagne
12
Autres
Monde
35
Philippines
Linz
30
Autriche
Milan
Italie
28
60
Karlsruhe
Allemagne
167
Singapour
50
Sydney
Australie
Total
Employés Sophos
50
1 656
6

7. Sophos en quelques analyses
Seul éditeur de l’Union Européenne reconnu comme Leader mondial
Magic Quadrant du Gartner
Endpoint
Magic Quadrant for
Endpoint Protection Platforms
Chiffrement
Magic Quadrant for
Mobile Data Protection
UTM
Magic Quadrant for
Unified Threat Management
Sources: Gartner: Magic Quadrants for Endpoint Protection Platforms (8 Jan 2014) , Mobile Data Protection (9 Sep 2013), and UTM (19 July 2013).
The Magic Quadrant graphic was published by Gartner, Inc. as part of a larger research note and should be evaluated in the context of the entire report.
7

8. Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud
￮
L’antivirus
￮
Les mobiles
￮
Le réseau
• Conclusion
8

9. Etat des lieux sur
l’évolution des menaces
9

10. Plus malins
Chiffrement
DGAs
Proxies
Botnets Web
Algorithmes de génération de domaines (DGA)
Crée des noms de domaines apparemment
aléatoires pour les utiliser comme redirecteurs
de trafic ou serveurs de Contrôle et Commande
10

11. Ransomware
Multi-factor
Bitcoin mining
Adware Android
Plus dangereux
Ransomware – bloque l’accès aux données
puis exige le paiement d’une rançon
11

12. Plus discrets
Tor
Polymorphisme
Modules Apache
Botnets Web
Signatures électroniques
Malvertising
Polymorphisme – change le code d’une app
à chaque téléchargement ou installation
12

13. 2010-08
2010-09
2010-10
2010-11
2010-12
2011-01
2011-02
2011-03
2011-04
2011-05
2011-06
2011-07
2011-08
2011-09
2011-10
2011-11
2011-12
2012-01
2012-02
2012-03
2012-04
2012-05
2012-06
2012-07
2012-08
2012-09
2012-10
2012-11
2012-12
2013-01
2013-02
2013-03
2013-04
2013-05
Axis Title
Malwares pour Android
Depuis un an, les applications malveillantes pour Android explosent
Nombre cumulatif d'échantillons détectés
350000
300000
250000
200000
150000
Samples
100000
50000
0
13

14. Cloud
Blured
Lines
Connexions
Objets
connectés
14

15. Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud
￮
L’antivirus
￮
Les mobiles
￮
Le réseau
• Conclusion
15

16. L’utilisation du Cloud
16

17. Un usage souvent incontrôlé du Cloud
Données stockées en clair dans le Cloud … souvent hors du contrôle du DSI
Quelle solution autre que la messagerie électronique utilisez-vous
pour échanger des données professionnelles ?
Périphériques de stockage amovibles (clé USB…) 77%
Une solution mise en place par l’entreprise (serveur FTP …) 38%
Services de stockage de fichiers en ligne (Dropbox…) 27%
Solution d’accès distant (VPN …) 16%
Autre 4%
1 005 réponses (sondage en ligne - France)
Lorsque vous faîtes appel à votre service informatique, combien de temps êtes-vous prêt à
attendre leur réponse avant de chercher une solution par vos propres moyens ?
Moins de 5 minutes 22%
Entre 5 et 30 minutes 40%
Entre 30 minutes et 1 heure 13%
Entre 1 heure et 1 journée 14%
1 journée 5%
Je n’agis pas sans leur réponse, peu importe le temps d’attente 7%
1 005 réponses (sondage en ligne – France)
17

18. Prolifération des périphériques et des usages
La consumérisation de l’IT (BYOD) introduit des risques supplémentaires
Mobiles de l’entreprise
Mobiles des employés
PC et portables de l’entreprise
Serveurs
Ordinateurs des employés
Systèmes virtualisés
18

19. Protection des données en tous lieux …
Au bureau
En déplacements
Au café
A la maison
19

20. … sous toutes leurs formes
Stockage
Les données stockées sont toujours chiffrées
Systèmes administrés
Chiffrement / déchiffrement transparents
Systèmes non administrés
Utilisation de passphrases
Gestion des clés par SafeGuard
20

21. Sophos SafeGuard Entreprise
Chiffrement des données en tous lieux
Chiffrement
des systèmes
Chiffrement
des médias
amovibles
Chiffrement
de fichiers
partagés
Chiffrement
dans le Cloud
Gestion
de Bitlocker
21

22. Protéger les données dans le Cloud
Sécuriser l’usage de Dropbox & autres services de stockage en ligne
22

23. Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud
￮
L’antivirus
￮
Les mobiles
￮
Le réseau
• Conclusion
23

24. L’antivirus dans le
Cloud
24

25. Externalisation de l’antivirus
CLOUD ACROPOLIS
Serveurs
physiques
et virtuels
INFRA CLIENTE
Sécurité du poste
Chiffrement
Mobile Control
25

26. Protéger les serveurs
26

27. Sophos antivirus pour vShield
• Antivirus pour vShield
￮
￮
￮
￮
Antivirus sans agent pour
les machines virtuelles
Windows sur vSphere
Aucun client antivirus à installer
sur les machines virtuelles
Scan centralisé
Protection automatique
Bénéfices
(vs. agent sécu. sur chaque VM)
• 1 seul scanner par machine physique
￮
Un seul scanner à mettre à jour
￮
Nouvelles VMs protégées automatiquement
• Planification automatique des analyses
￮
Spécifiant le nombre de scans simultanés
• Reporting des détections virales par VM
• Même console que EndUser et Server Protection
Limitations
(vs. agent secu. sur chaque VM)
• Uniquement Antivirus
￮
Pas de HIPS, DLP, Filtrage Web, etc ...
• Pas de désinfection centralisée
• Pas de reporting par VM
27

28. Vue d’ensemble
28

29. Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud
￮
L’antivirus
￮
Les mobiles
￮
Le réseau
• Conclusion
29

30. Protection des mobiles
et gestion du BYOD
30

31. Les terminaux personnels des utilisateurs
• Que se passe-t-il en cas de perte ou de vol ?
• Pouvez-vous effacer le terminal ?
• Que pouvez-vous imposer ?
• Pouvez-vous bloquer des applications ?
• Comment garantir la sécurité des données ?
31

32. La politique d’acceptation de l’usage
• Périmètre
￮ Quels terminaux doivent être pris en compte ?
￮ Terminaux pro ou perso
• Besoins techniques
￮ Version d’OS minimum
￮ Chiffrement natif
￮ Mot de passe
￮ Protection anti-malware
• Besoins utilisateurs
￮ Que se passe-t-il quand …
￮ Sauvegarder des données personnelles
32

33. Vérifier la conformité
33

34. Enregistrement des terminaux
Enregistrement pour Android via le portail en libre service
34

35. SMC : portail en libre service
• Le Service Informatique sélectionne les fonctions autorisées
pour les utilisateurs
• Permet aux utilisateurs de :
￮
￮
￮
￮
￮
￮
￮
Enregistrer leurs propres terminaux
Bloquer le terminal
Réinitialiser leur mot de passe
Effacer complètement le terminal
Reconfigurer le terminal
Décommissionner le terminal
Visualiser les violations de conformité
• Idéal pour les approches BYOD
• Réduit la charge du Service Informatique
35

36. Exemple d’architecture en mode SaaS
LAN
MS SQL/MySQL
(local or remote)
HTTPS
Admin GUI & SSP
Required
Trigger
TCP:3306 or TCP:1433
Optional
HTTPS
SMTP
SMTP Server
SMS,
MPNS,
iOS App Push
VPP
SMC Server
HTTPS
SMC service center
services.sophosmc.com
HTTPS
LDAPS
LDAP Server
HTTPS
Apple Volume Purchase Program
vpp.itunes.apple.com
Exchange Server
or
Traveler Server
DMZ
GCM
HTTPS
Google GCM
android.googleapis.com
EAS Proxy
APNs
TCP:2195
Apple Push Notification service
gateway.push.apple.com
17.*.*.*:2195
36

37. Sophos Mobile Security
Moteur d'analyse des malwares & PUA
sur demande ou programmé
Protection contre les fuites de données
et le vol Effacement, verrouillage, localisation, ale
rte etc. à distance
Protection contre le spam
SMS/MMS et appels
Protection USSD
Restez à l'abri des codes spécifiques
Assistant de confidentialité
Classe les applications en fonction des
risques (ex. les apps payantes, etc)
Assistant de sécurité
Aide à réaliser une configuration
plus sure du mobile
37

38. Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud
￮
L’antivirus
￮
Les mobiles
￮
Le réseau
• Conclusion
38

39. Protection réseau Next-Gen
et gestion unifiée UTM
39

40. Sophos UTM
ENDPOINT PROTECTION
Antivirus/HIPS
Contrôle des périphériques
Filtrage Web
NETWORK PROTECTION
Prévention des intrusions
RED/IPSec/SSL VPN
Advanced Threat
Protection
WIRELESS PROTECTION
WEB PROTECTION
Contrôleur pour AP Sophos
Support multi-SSID
Hotspots personnalisables
Filtrage URL
Antivirus et antispyware
Contrôle des applications
WEBSERVER
PROTECTION
Reverse Proxy
Pare-feu applicatif Web
Antivirus
EMAIL PROTECTION
Antispam et antiphishing
Double protection antivirus
Chiffrement des emails
40

41. Web, nouveaux usages et mobilité
41

42. Advanced Threats
1 Attaques Ciblées
Les Advanced Persistent Threats
(APTs) sont ciblées sur tout type
d’industries, ou même des
particuliers afin de réaliser des
recherches sur le personnel, les
bureaux, utilisation du SI, les
opérations, et bien plus pour aider à
mettre le pied dans l’entreprise
2
Point d’entrée
ciblé ou pas, le système d’origine
est en général infecté par :
Serveur
Command & Control
3
Call Home discret
Le système infecté se connecte vers le
serveur command & control (C&C)
pour d’autres instructions ou pour
envoyer des données sensibles
4
Se propager en secret
Le malware peut décider de rester
furtif et de bouger lentement ou peut
tenter de se propager sur d’autres
systèmes en exploitant les
vulnérabilités non patchées ou en
utilisant des comptes piratés
• La visite d’un site web infecté
• Une pièce jointe d’email ouverte
• Branchement de clé USB
5
Extraire les données
Le malware peut tenter de voler
l’information depuis des
emails, documents, Skype ou
messagerie instantanée, ou même des
webcams en fonction de ses
intentions
42

43. Advanced Threat Protection dans l’UTM 9.2
Prévenir, Blocage, Identification, Sandboxing
6
Sandboxing Sélectif
Echantillons suspects représentant
des menaces inconnues potentielles
envoyés aux SophosLabs pour analyse.
Nouvelles connaissances renvoyées à
l’UTM.
3
Attaques Réseau Bloquées
Firewall et l’IPS optimisé bloquent les
attaques réseau et empêchent les
brèches sur la passerelle
X
4 Bloque les Calls-Home
Avec l’ATP en 9.2, le DNS, l’App
control, et le Web proxy travaillent
ensemble pour identifier le trafic C&C
et le bloquer
X
1
Protection Multi-niveaux
La protection Sophos Web, Email et
Endpoint empêche les infections
initiales sur le réseau
2
Détection Malware Web
X
X
X
!!
!
5
Identifie Systèmes Infectés
Avec l’ATP en 9.2 les postes tentant de
communiquer avec un serveur C&C
sont immédiatement identifiés et
bloqués
La détection des récents malwares
avancés en 9.2 peut émuler le
JavaScript pour intercepter les plus
sophistiqués des menaces
polymorphiques, même les plus furtives
43

44. Déployez une protection complète
Données de Réputation
• Protection Active
SophosLabs
• Classification de Contenu
SITE DISTANT 2
SITE DISTANT 1
DOMICILE ET DEPLACEMENTS
Sécurité du poste
Chiffrement
UTM
Sécurité du poste
Chiffrement
Mobile Control
Corrélation
Firewall NextGen
Protection Web
Protection Email
WAF
Mobile Control
Sécurité du poste
Chiffrement
VPN RED sécurisé
Client VPN sécurisé
Mobile Control
Wi-Fi sécurisé
SOPHOS CLOUD
SITE PRINCIPAL
Wi-Fi sécurisé
Antivirus sur baie de stockage
Sécurité du serveur
Administration
Protection
Reporting
Administration
Web Application Firewall (WAF)
Mobile Control
Wi-Fi sécurisé
Passerelle Web
sécurisée
Firewall NextGen
Passerelle Email
sécurisée
Sécurité du poste
Chiffrement
Wi-Fi invité
44

45. Différentes options de déploiements
Pour sécuriser les clients
• Les UTMs peuvent être soit :
(1) sur le site client
(2) dans le cloud Amazon avec
des tunnels REDs
(3) ou dans le datacenter
3. MSPs Data Center
2. Amazon
Cloud
• Libre choix d’équipements
matériels, logiciels et virtuels
• Toutes les fonctionnalités
disponibles sur toute la gamme
1. Site client
Site client
• Configuration des services pour
chaque besoin client
￮
UTM
RED
Administration
￮
Accès au monitoring
￮
Protection messagerie
￮
Accès Reverse Proxy
￮
Endpoints
￮
Gestion du Wifi
￮
…
45

46. Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud
￮
L’antivirus
￮
Les mobiles
￮
Le réseau
• Conclusion
46

47. Conclusions
47

48. Restez en contact avec Sophos et sa communauté
Vous pouvez rester en contact avec nous sur tous les canaux de communication
• Le blog – www.sophosfranceblog.fr
• Les réseaux sociaux
￮
FaceBook – Twitter (@sophosfrance) – LinkedIn – Viadeo – RSS 2.0 –
YouTube – iTunes
• Le portail des fonctionnalités – http://feature.astaro.com
• Le forum UTM – www.astaro.org
￮
Lieu d’échange et d’annonces, beta…
48

49. © Sophos Ltd. All rights reserved.
49

50. Protection réseau étendue
Boîtiers RED : Remote Ethernet Device
• Simples à déployer et à administrer
￮
Câble Ethernet virtuel
Peut être envoyé d’usine
Connexion en 2 minutes sur le site
￮
Configuration centralisée
￮
Initialisation avec le site central
à travers LiveConnect
￮
￮
Sophos
LiveConnect
• Protection complète
￮
￮
Connexion chiffrée (OpenSSL)
Protection complète par
l’appliance du site central
50