2. Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud
○
L’antivirus
○
Les mobiles
○
Le réseau
• Conclusion
2
4. Sophos en quelques chiffres
• 1er éditeur européen de solutions de sécurité pour les entreprises
○
○
Fondé en 1985, à Oxford, Royaume-Uni (siège social)
Plus de 300 M€ de revenus (400 MUS$)
• Couverture mondiale et présence locale
○
○
100 millions d’utilisateurs
4 SophosLabs dont 2 en Europe
Oxford, Budapest, Vancouver, Sydney
○
8 centres de R&D dont 7 en Europe
Allemagne: Aix-la-Chapelle, Dortmund, Karslruhe, Munich
Autriche: Linz, Canada: Vancouver, Hongrie: Budapest, UK: Oxford
○
○
20+ bureaux dans le monde
1 650 employés dont 50 en France
• Plus de 12 000 partenaires dans le monde
• Dédié 100% à la sécurité des entreprises
Sophos Oxford, UK
4
5. Un peu d’histoire
Fondé à Abingdon
(Oxford), UK
Fournit le
logiciel de
sécurité pour
les forces
britanniques
durant la
1ère guerre
du Golfe
Acquisition
Utimaco
Safeware AG
Acquisition
ActiveState
Acquisition
Astaro
Peter Lammer Jan Hruska
c.1985
c.1985
1985
1988
Premier
logiciel
d’antivirus à
base de
checksum
1989
1991
1996
Elue meilleure
entreprise
TPE/PME au
Royaume-Uni
Premier logiciel
antivirus à base
de signatures
Siège social
Américain
établi à
Boston
2003
2008
2010
Queen’s Awards
for Enterprise,
Innovation and
International Trade
Décerné 3 fois
2011
2012
Participation
majoritaire vendue
à Apax Partners
2013
Acquisition
DIALOGS
5
6. Principaux sites en Europe et dans le monde
Dortmund
Allemagne
28
Aix-la-Chapelle
Wiesbaden
Allemagne
101
Budapest
Hongrie
64
Allemagne
96
Breda
Pays Bas
14
Vancouver
Oxford
Canada
UK
153
San Francisco
Santa Clara
15
Boston
MA
240
423
Tokyo
Japon
Paris
40
France
50
Manille
Madrid
Espagne
12
Autres
Monde
35
Philippines
Linz
30
Autriche
Milan
Italie
28
60
Karlsruhe
Allemagne
167
Singapour
50
Sydney
Australie
Total
Employés Sophos
50
1 656
6
7. Sophos en quelques analyses
Seul éditeur de l’Union Européenne reconnu comme Leader mondial
Magic Quadrant du Gartner
Endpoint
Magic Quadrant for
Endpoint Protection Platforms
Chiffrement
Magic Quadrant for
Mobile Data Protection
UTM
Magic Quadrant for
Unified Threat Management
Sources: Gartner: Magic Quadrants for Endpoint Protection Platforms (8 Jan 2014) , Mobile Data Protection (9 Sep 2013), and UTM (19 July 2013).
The Magic Quadrant graphic was published by Gartner, Inc. as part of a larger research note and should be evaluated in the context of the entire report.
7
8. Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud
○
L’antivirus
○
Les mobiles
○
Le réseau
• Conclusion
8
15. Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud
○
L’antivirus
○
Les mobiles
○
Le réseau
• Conclusion
15
17. Un usage souvent incontrôlé du Cloud
Données stockées en clair dans le Cloud … souvent hors du contrôle du DSI
Quelle solution autre que la messagerie électronique utilisez-vous
pour échanger des données professionnelles ?
Périphériques de stockage amovibles (clé USB…) 77%
Une solution mise en place par l’entreprise (serveur FTP …) 38%
Services de stockage de fichiers en ligne (Dropbox…) 27%
Solution d’accès distant (VPN …) 16%
Autre 4%
1 005 réponses (sondage en ligne - France)
Lorsque vous faîtes appel à votre service informatique, combien de temps êtes-vous prêt à
attendre leur réponse avant de chercher une solution par vos propres moyens ?
Moins de 5 minutes 22%
Entre 5 et 30 minutes 40%
Entre 30 minutes et 1 heure 13%
Entre 1 heure et 1 journée 14%
1 journée 5%
Je n’agis pas sans leur réponse, peu importe le temps d’attente 7%
1 005 réponses (sondage en ligne – France)
17
18. Prolifération des périphériques et des usages
La consumérisation de l’IT (BYOD) introduit des risques supplémentaires
Mobiles de l’entreprise
Mobiles des employés
PC et portables de l’entreprise
Serveurs
Ordinateurs des employés
Systèmes virtualisés
18
20. … sous toutes leurs formes
Stockage
Les données stockées sont toujours chiffrées
Systèmes administrés
Chiffrement / déchiffrement transparents
Systèmes non administrés
Utilisation de passphrases
Gestion des clés par SafeGuard
20
21. Sophos SafeGuard Entreprise
Chiffrement des données en tous lieux
Chiffrement
des systèmes
Chiffrement
des médias
amovibles
Chiffrement
de fichiers
partagés
Chiffrement
dans le Cloud
Gestion
de Bitlocker
21
22. Protéger les données dans le Cloud
Sécuriser l’usage de Dropbox & autres services de stockage en ligne
22
23. Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud
○
L’antivirus
○
Les mobiles
○
Le réseau
• Conclusion
23
27. Sophos antivirus pour vShield
• Antivirus pour vShield
○
○
○
○
Antivirus sans agent pour
les machines virtuelles
Windows sur vSphere
Aucun client antivirus à installer
sur les machines virtuelles
Scan centralisé
Protection automatique
Bénéfices
(vs. agent sécu. sur chaque VM)
• 1 seul scanner par machine physique
○
Un seul scanner à mettre à jour
○
Nouvelles VMs protégées automatiquement
• Planification automatique des analyses
○
Spécifiant le nombre de scans simultanés
• Reporting des détections virales par VM
• Même console que EndUser et Server Protection
Limitations
(vs. agent secu. sur chaque VM)
• Uniquement Antivirus
○
Pas de HIPS, DLP, Filtrage Web, etc ...
• Pas de désinfection centralisée
• Pas de reporting par VM
27
29. Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud
○
L’antivirus
○
Les mobiles
○
Le réseau
• Conclusion
29
31. Les terminaux personnels des utilisateurs
• Que se passe-t-il en cas de perte ou de vol ?
• Pouvez-vous effacer le terminal ?
• Que pouvez-vous imposer ?
• Pouvez-vous bloquer des applications ?
• Comment garantir la sécurité des données ?
31
32. La politique d’acceptation de l’usage
• Périmètre
○ Quels terminaux doivent être pris en compte ?
○ Terminaux pro ou perso
• Besoins techniques
○ Version d’OS minimum
○ Chiffrement natif
○ Mot de passe
○ Protection anti-malware
• Besoins utilisateurs
○ Que se passe-t-il quand …
○ Sauvegarder des données personnelles
32
35. SMC : portail en libre service
• Le Service Informatique sélectionne les fonctions autorisées
pour les utilisateurs
• Permet aux utilisateurs de :
○
○
○
○
○
○
○
Enregistrer leurs propres terminaux
Bloquer le terminal
Réinitialiser leur mot de passe
Effacer complètement le terminal
Reconfigurer le terminal
Décommissionner le terminal
Visualiser les violations de conformité
• Idéal pour les approches BYOD
• Réduit la charge du Service Informatique
35
36. Exemple d’architecture en mode SaaS
LAN
MS SQL/MySQL
(local or remote)
HTTPS
Admin GUI & SSP
Required
Trigger
TCP:3306 or TCP:1433
Optional
HTTPS
SMTP
SMTP Server
SMS,
MPNS,
iOS App Push
VPP
SMC Server
HTTPS
SMC service center
services.sophosmc.com
HTTPS
LDAPS
LDAP Server
HTTPS
Apple Volume Purchase Program
vpp.itunes.apple.com
Exchange Server
or
Traveler Server
DMZ
GCM
HTTPS
Google GCM
android.googleapis.com
EAS Proxy
APNs
TCP:2195
Apple Push Notification service
gateway.push.apple.com
17.*.*.*:2195
36
37. Sophos Mobile Security
Moteur d'analyse des malwares & PUA
sur demande ou programmé
Protection contre les fuites de données
et le vol Effacement, verrouillage, localisation, ale
rte etc. à distance
Protection contre le spam
SMS/MMS et appels
Protection USSD
Restez à l'abri des codes spécifiques
Assistant de confidentialité
Classe les applications en fonction des
risques (ex. les apps payantes, etc)
Assistant de sécurité
Aide à réaliser une configuration
plus sure du mobile
37
38. Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud
○
L’antivirus
○
Les mobiles
○
Le réseau
• Conclusion
38
42. Advanced Threats
1 Attaques Ciblées
Les Advanced Persistent Threats
(APTs) sont ciblées sur tout type
d’industries, ou même des
particuliers afin de réaliser des
recherches sur le personnel, les
bureaux, utilisation du SI, les
opérations, et bien plus pour aider à
mettre le pied dans l’entreprise
2
Point d’entrée
ciblé ou pas, le système d’origine
est en général infecté par :
Serveur
Command & Control
3
Call Home discret
Le système infecté se connecte vers le
serveur command & control (C&C)
pour d’autres instructions ou pour
envoyer des données sensibles
4
Se propager en secret
Le malware peut décider de rester
furtif et de bouger lentement ou peut
tenter de se propager sur d’autres
systèmes en exploitant les
vulnérabilités non patchées ou en
utilisant des comptes piratés
• La visite d’un site web infecté
• Une pièce jointe d’email ouverte
• Branchement de clé USB
5
Extraire les données
Le malware peut tenter de voler
l’information depuis des
emails, documents, Skype ou
messagerie instantanée, ou même des
webcams en fonction de ses
intentions
42
43. Advanced Threat Protection dans l’UTM 9.2
Prévenir, Blocage, Identification, Sandboxing
6
Sandboxing Sélectif
Echantillons suspects représentant
des menaces inconnues potentielles
envoyés aux SophosLabs pour analyse.
Nouvelles connaissances renvoyées à
l’UTM.
3
Attaques Réseau Bloquées
Firewall et l’IPS optimisé bloquent les
attaques réseau et empêchent les
brèches sur la passerelle
X
4 Bloque les Calls-Home
Avec l’ATP en 9.2, le DNS, l’App
control, et le Web proxy travaillent
ensemble pour identifier le trafic C&C
et le bloquer
X
1
Protection Multi-niveaux
La protection Sophos Web, Email et
Endpoint empêche les infections
initiales sur le réseau
2
Détection Malware Web
X
X
X
!!
!
5
Identifie Systèmes Infectés
Avec l’ATP en 9.2 les postes tentant de
communiquer avec un serveur C&C
sont immédiatement identifiés et
bloqués
La détection des récents malwares
avancés en 9.2 peut émuler le
JavaScript pour intercepter les plus
sophistiqués des menaces
polymorphiques, même les plus furtives
43
44. Déployez une protection complète
Données de Réputation
• Protection Active
SophosLabs
• Classification de Contenu
SITE DISTANT 2
SITE DISTANT 1
DOMICILE ET DEPLACEMENTS
Sécurité du poste
Chiffrement
UTM
Sécurité du poste
Chiffrement
Mobile Control
Corrélation
Firewall NextGen
Protection Web
Protection Email
WAF
Mobile Control
Sécurité du poste
Chiffrement
VPN RED sécurisé
Client VPN sécurisé
Mobile Control
Wi-Fi sécurisé
SOPHOS CLOUD
SITE PRINCIPAL
Wi-Fi sécurisé
Antivirus sur baie de stockage
Sécurité du serveur
Administration
Protection
Reporting
Administration
Web Application Firewall (WAF)
Mobile Control
Wi-Fi sécurisé
Passerelle Web
sécurisée
Firewall NextGen
Passerelle Email
sécurisée
Sécurité du poste
Chiffrement
Wi-Fi invité
44
45. Différentes options de déploiements
Pour sécuriser les clients
• Les UTMs peuvent être soit :
(1) sur le site client
(2) dans le cloud Amazon avec
des tunnels REDs
(3) ou dans le datacenter
3. MSPs Data Center
2. Amazon
Cloud
• Libre choix d’équipements
matériels, logiciels et virtuels
• Toutes les fonctionnalités
disponibles sur toute la gamme
1. Site client
Site client
• Configuration des services pour
chaque besoin client
○
UTM
RED
Administration
○
Accès au monitoring
○
Protection messagerie
○
Accès Reverse Proxy
○
Endpoints
○
Gestion du Wifi
○
…
45
46. Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud
○
L’antivirus
○
Les mobiles
○
Le réseau
• Conclusion
46
48. Restez en contact avec Sophos et sa communauté
Vous pouvez rester en contact avec nous sur tous les canaux de communication
• Le blog – www.sophosfranceblog.fr
• Les réseaux sociaux
○
FaceBook – Twitter (@sophosfrance) – LinkedIn – Viadeo – RSS 2.0 –
YouTube – iTunes
• Le portail des fonctionnalités – http://feature.astaro.com
• Le forum UTM – www.astaro.org
○
Lieu d’échange et d’annonces, beta…
48
50. Protection réseau étendue
Boîtiers RED : Remote Ethernet Device
• Simples à déployer et à administrer
○
Câble Ethernet virtuel
Peut être envoyé d’usine
Connexion en 2 minutes sur le site
○
Configuration centralisée
○
Initialisation avec le site central
à travers LiveConnect
○
○
Sophos
LiveConnect
• Protection complète
○
○
Connexion chiffrée (OpenSSL)
Protection complète par
l’appliance du site central
50
Notas do Editor
Dans ce webcast nous examinerons le marché des mobiles et verrons pourquoi il est aussi attrayant aux yeux des auteurs de malwares. Nous énumèrerons les types de malwares les plus répandus et comment ils sont distribués.Nous vous donnerons des conseils pour protéger vos utilisateurs et votre entreprise contre les infections.Nous regarderons les solutions qui peuvent vous aider à protéger vos périphériques.Nous aurons du temps pour répondre à vos questions en fin de diffusion mais n'hésitez pas à nous en soumettre aussi pendant la présentation.
1985: founded in Abingdon (Oxford), UKNow: A $400m+ global company with more than 1,600 employees2007: acquired ENDFORCE, which develops security policy compliance and Network Access Control (NAC) solutions2008: acquired UtimacoSafeware AG, which develops data protection solutionsNow: Perennial leader in Gartner Mobile Data Protection MQ, launched industry’s first cloud encryption capabilities2010: agreed to sell majority interest to Apax Partners, a global private equity group2011: acquired Astaro, which develops network security solutionsNow: Leader in Gartner Unified Threat Management MQ, 40% growth Y-O-Y2012: acquired DIALOGS, which develops mobile device management (MDM) solutionsNow: One of the industry’s fastest-growing MDM providers
Dans ce webcast nous examinerons le marché des mobiles et verrons pourquoi il est aussi attrayant aux yeux des auteurs de malwares. Nous énumèrerons les types de malwares les plus répandus et comment ils sont distribués.Nous vous donnerons des conseils pour protéger vos utilisateurs et votre entreprise contre les infections.Nous regarderons les solutions qui peuvent vous aider à protéger vos périphériques.Nous aurons du temps pour répondre à vos questions en fin de diffusion mais n'hésitez pas à nous en soumettre aussi pendant la présentation.
Chiffrement de + en + utilisé
Ransomware très présent cette année, notamment avec CryptolockerAdware Android aussi de plus en plus présent
Modules apache => très grande majorité des sites sont sous ApacheSignature électronique => cas du vol de certificat de certains développeurs qui ont permis d’exécuter du code malicieux par des composant tout à fait légitime
Depuis le premier malware pour Android détecté en août 2010, le nombre d'applications malveillantes reçues par les SophosLabs est en constante augmentation. Jusqu'à présent nous avons identifié plus de 300 000 variantes de malwares, avec plus de 2000 nouvelles détections par jour.
CES de Las Vegas envahit par les objets connectésOn s’attend à voir de plus en plus de mise à l’épreuve des acteurs majeurs de protection et d’analyse (Sandboxing, Telemetry)
Dans ce webcast nous examinerons le marché des mobiles et verrons pourquoi il est aussi attrayant aux yeux des auteurs de malwares. Nous énumèrerons les types de malwares les plus répandus et comment ils sont distribués.Nous vous donnerons des conseils pour protéger vos utilisateurs et votre entreprise contre les infections.Nous regarderons les solutions qui peuvent vous aider à protéger vos périphériques.Nous aurons du temps pour répondre à vos questions en fin de diffusion mais n'hésitez pas à nous en soumettre aussi pendant la présentation.
Dans ce webcast nous examinerons le marché des mobiles et verrons pourquoi il est aussi attrayant aux yeux des auteurs de malwares. Nous énumèrerons les types de malwares les plus répandus et comment ils sont distribués.Nous vous donnerons des conseils pour protéger vos utilisateurs et votre entreprise contre les infections.Nous regarderons les solutions qui peuvent vous aider à protéger vos périphériques.Nous aurons du temps pour répondre à vos questions en fin de diffusion mais n'hésitez pas à nous en soumettre aussi pendant la présentation.
I mentioned Antivirus for vShield, which is included in Sophos Server Protection. vShield is a technology from VMware that allows centralized, agentless scanning for Windows virtual machines running in vSphere environments. This provides a number of efficiencies. There’s nothing to install on the clients except a simple driver available in VMware Tools. All the scanning happens centrally through a locked down, virtual security appliance. One scanner means one cache, so identical files on multiple computers only have to be scanned once. It also means that you eliminate scan and update storms, since there’s only one system to update and one system coordinating all the scanning. Antivirus for vShield also provides automatic protection with the latest definitions as new Windows virtual machines get provisioned or come back online after being suspended.Antivirus for vShield is great for performance, but it does lack some of the additional layers of security available in the full Windows client, like HIPS and application control. You may decide the efficiency benefits are worth the marginal trade-off in security, or you may want every bit of protection you can get. And, if you’re using another hypervisor, such as XenServer or Hyper-V, vShield isn’t available to you. Fortunately, the full Windows antivirus client included in Sophos Server Protection is also optimized for virtual environments. The product is architected to take advantage of memory sharing on supported platforms, limiting its memory footprint on the host. Scan times for virtual machines on a host can be staggered to reduce the risk of scan storms. And, if you’re using a gold image to deploy new server instances, the client can be included in the gold image without causing duplicate entries in the management console.
Here you see the physical machine (the grey box) that host VmwarevSphere. This is the virtual environment that all the VMs will sit in. The first component is the central scanner (the green box). This is the only AV scanner. The other 3 VMs only have VmwarevShield installed (the traditional approach is to have SAV on each VM). So in this example we’ve saved 2 instances of Sophos being deployed.The Sophos scanner reports to SEC. As we don’t have Sophos software on each VM we don’t see all the VMs in the network. The customer can use Vmware management (vCenter) to get the full virtual estate view, including the Sophos scanner.We can manage the Sophos security scanner by setting exclusions and policies. If there is a virus, we will report the full details – including the infected VM – to SEC
Dans ce webcast nous examinerons le marché des mobiles et verrons pourquoi il est aussi attrayant aux yeux des auteurs de malwares. Nous énumèrerons les types de malwares les plus répandus et comment ils sont distribués.Nous vous donnerons des conseils pour protéger vos utilisateurs et votre entreprise contre les infections.Nous regarderons les solutions qui peuvent vous aider à protéger vos périphériques.Nous aurons du temps pour répondre à vos questions en fin de diffusion mais n'hésitez pas à nous en soumettre aussi pendant la présentation.
With an SMCaaS deployment all of the infrastructure is in the cloud and the other connections to the customer network are outbound from the administrators and users to the SMC server and inbound from the device to the mail server. This configuration can use a remote EAS proxy to control connections to the mail server. The integration with Active Directory and the remote EAS proxy is optional.
Sophos Mobile Security est une application gratuite téléchargeable depuis Google Play. En contrôlant les applications existantes et celles qui sont en cours d'installation, celle-ci offre une protection intégrale contre les malwares. Elle offre la possibilité de programmer des analyses pour garantir que l'appareil reste sain.Elle offre également une protection complète contre la perte ou le vol. En sélectionnant des numéros dans votre liste de contacts, vous pouvez autoriser l'effacement des données ou le verrouillage, ou encore déclencher une alarme en cas de problème.Ses fonctionnalités antispam vous permettent de bloquer certains SMS et appels grâce à un système de filtres. Vous pouvez par exemple créer un filtre pour bloquer et mettre en quarantaine les appels provenant de numéros cachés. Elle détecte également la présence d'URL malveillantes dans les messages SMS.Suite au piratage de certains codes USSD en 2012, certains téléphones Samsung se réinitialisaient lorsqu'ils recevaient un appel. Notre solution permet de bloquer ce genre de code avant son exécution.L'assistant de confidentialité vous permet de filtrer les applications en fonction de leurs autorisations et les classe par ordre de niveau de risque à l'aide d'un code couleur. Vous pouvez ainsi voir les applications payantes, celles qui se connectent à Internet ou encore celles susceptibles de divulguer des informations personnelles.La version gratuite est également dotée d'un assistant de sécurité, qui vous aide à réaliser la configuration optimale de votre téléphone en termes de sécurité.
Dans ce webcast nous examinerons le marché des mobiles et verrons pourquoi il est aussi attrayant aux yeux des auteurs de malwares. Nous énumèrerons les types de malwares les plus répandus et comment ils sont distribués.Nous vous donnerons des conseils pour protéger vos utilisateurs et votre entreprise contre les infections.Nous regarderons les solutions qui peuvent vous aider à protéger vos périphériques.Nous aurons du temps pour répondre à vos questions en fin de diffusion mais n'hésitez pas à nous en soumettre aussi pendant la présentation.
There are tools which can help you to protect your device.
Let’s have a look at how advanced threats, like some of these stealthier botnets operate. It starts with a criminal, sometimes called a bot-herder, who sets up a command and control server, and seeds some malware.These attacks can be…… The scariest part of all this, is that without the right kind of protection, all of this can be going on without anyone realizing it.
Here’s a visual representation of what we’ve added in 9.2 to provide Advanced Threat Protection… there’s a lot of great stuff.You’ll recognize this illustration from earlier when we covered how advanced threats work. Well, now we’re going to illustrate how we prevent, block, identify and sandbox these types of threats to provide enterprise-class protection.It starts with great…
Now, if you’re familiar with the UTM, as I’m sure many of you are, it’s very attractive from an MSP standpoint due to it’s flexible deployment options. It offers MSPs to deploy services that fit with they way they want to run their business.It provides a choice of…
Dans ce webcast nous examinerons le marché des mobiles et verrons pourquoi il est aussi attrayant aux yeux des auteurs de malwares. Nous énumèrerons les types de malwares les plus répandus et comment ils sont distribués.Nous vous donnerons des conseils pour protéger vos utilisateurs et votre entreprise contre les infections.Nous regarderons les solutions qui peuvent vous aider à protéger vos périphériques.Nous aurons du temps pour répondre à vos questions en fin de diffusion mais n'hésitez pas à nous en soumettre aussi pendant la présentation.
There are tools which can help you to protect your device.