Download pptx - Présentation SOPHOS EVENEMENT Le Datacenter "Next-Generation" - NUTANIX - ACROPOLIS - SOPHOS

1

Comment Acropolis et Sophos sécurisent votre Cloud ?

Ludovic PenyConsultant Sécurité - Sophos France

2

Agenda

• Introduction Sophos

• Etat des lieux des menaces

• L’utilisation du Cloud

• La protection dans le Cloud￮ L’antivirus

￮ Les mobiles

￮ Le réseau

• Conclusion

33

Introduction

4

Sophos en quelques chiffres• 1er éditeur européen de solutions de sécurité pour les entreprises￮ Fondé en 1985, à Oxford, Royaume-Uni (siège social)￮ Plus de 300 M€ de revenus (400 MUS$)

• Couverture mondiale et présence locale￮ 100 millions d’utilisateurs￮ 4 SophosLabs dont 2 en Europe

Oxford, Budapest, Vancouver, Sydney

￮ 8 centres de R&D dont 7 en Europe

Allemagne: Aix-la-Chapelle, Dortmund, Karslruhe, Munich Autriche: Linz, Canada: Vancouver, Hongrie: Budapest, UK: Oxford

￮ 20+ bureaux dans le monde￮ 1 650 employés dont 50 en France

• Plus de 12 000 partenaires dans le monde

• Dédié 100% à la sécurité des entreprisesSophos Oxford, UK

5

Un peu d’histoire

Fondé à Abingdon (Oxford), UK

Peter Lammer c.1985

Jan Hruskac.1985

AcquisitionActiveState

Queen’s Awards for Enterprise, Innovation and International TradeDécerné 3 fois

AcquisitionDIALOGS

Participation majoritaire vendue à Apax Partners

Acquisition Astaro

Acquisition Utimaco Safeware AG

Premier logiciel

d’antivirus à base de

checksum

Premier logiciel antivirus à base de signatures

Fournit le logiciel de sécurité pour les forces britanniques durant la 1ère guerre du Golfe

Siège social Américain établi à Boston

Elue meilleure entreprise

TPE/PME au Royaume-Uni

1985 2003 2011 2012 2013201020081988 1989 1991 1996

6

San FranciscoSanta Clara

Vancouver Canada

BostonMA

OxfordUK

BudapestHongrie

Singapour

SydneyAustralie

ManillePhilippines

TokyoJapon

LinzAutriche

KarlsruheAllemagne

WiesbadenAllemagneDortmund

Allemagne

15

50

50

60

153

28

167

101

423

64

40

30

240

35

AutresMonde

1 656

Total Employés Sophos

ParisFrance

50

Aix-la-ChapelleAllemagne

96

Principaux sites en Europe et dans le monde

BredaPays Bas

14

MadridEspagne

MilanItalie28

12

7

Magic Quadrant du Gartner

Seul éditeur de l’Union Européenne reconnu comme Leader mondial

Sources: Gartner: Magic Quadrants for Endpoint Protection Platforms (8 Jan 2014) , Mobile Data Protection (9 Sep 2013), and UTM (19 July 2013).The Magic Quadrant graphic was published by Gartner, Inc. as part of a larger research note and should be evaluated in the context of the entire report.

Endpoint

Magic Quadrant for Endpoint Protection Platforms

Chiffrement

Magic Quadrant for Mobile Data Protection

UTM

Magic Quadrant for Unified Threat Management

Sophos en quelques analyses

8

Agenda





￮ Les mobiles

￮ Le réseau

• Conclusion

99

Etat des lieux sur l’évolution des menaces

10

Plus malins ChiffrementDGAsProxiesBotnets Web

Algorithmes de génération de domaines (DGA) Crée des noms de domaines apparemment aléatoires pour les utiliser comme redirecteurs de trafic ou serveurs de Contrôle et Commande

11

Plus dangereux

RansomwareMulti-factorBitcoin miningAdware Android

Ransomware – bloque l’accès aux données puis exige le paiement d’une rançon

12

TorPolymorphismeModules ApacheBotnets WebSignatures électroniquesMalvertisingPlus discrets

Polymorphisme – change le code d’une app à chaque téléchargement ou installation

13

Malwares pour Android

2010-08

2010-09

2010-10

2010-11

2010-12

2011-01

2011-02

2011-03

2011-04

2011-05

2011-06

2011-07

2011-08

2011-09

2011-10

2011-11

2011-12

2012-01

2012-02

2012-03

2012-04

2012-05

2012-06

2012-07

2012-08

2012-09

2012-10

2012-11

2012-12

2013-01

2013-02

2013-03

2013-04

2013-050

50000

100000

150000

200000

250000

300000

350000

Nombre cumulatif d'échantillons détectés

Samples

Axis

Title

Depuis un an, les applications malveillantes pour Android explosent

14

CloudBlured

Lines

Connexions

Objetsconnectés

15

Agenda





￮ Les mobiles

￮ Le réseau

• Conclusion

1616

L’utilisation du Cloud

17

Un usage souvent incontrôlé du Cloud

Lorsque vous faîtes appel à votre service informatique, combien de temps êtes-vous prêt à attendre leur réponse avant de chercher une solution par vos propres moyens ?

Moins de 5 minutes 22%Entre 5 et 30 minutes 40%Entre 30 minutes et 1 heure 13%Entre 1 heure et 1 journée 14%1 journée 5%Je n’agis pas sans leur réponse, peu importe le temps d’attente 7%

1 005 réponses (sondage en ligne – France)

Quelle solution autre que la messagerie électronique utilisez-vous pour échanger des données professionnelles ?

Périphériques de stockage amovibles (clé USB…) 77%Une solution mise en place par l’entreprise (serveur FTP …) 38%Services de stockage de fichiers en ligne (Dropbox…) 27%Solution d’accès distant (VPN …) 16%Autre 4%

1 005 réponses (sondage en ligne - France)

Données stockées en clair dans le Cloud … souvent hors du contrôle du DSI

18

PC et portables de l’entreprise

Serveurs

Prolifération des périphériques et des usages

Mobiles de l’entreprise

Ordinateurs des employés

Mobiles des employés

Systèmes virtualisés

La consumérisation de l’IT (BYOD) introduit des risques supplémentaires

19

Protection des données en tous lieux …

Au caféAu bureau

En déplacements A la maison

20

… sous toutes leurs formes

Stockage

Les données stockées sont toujours chiffrées

Systèmes administrés

Chiffrement / déchiffrement transparents

Gestion des clés par SafeGuard

Systèmes non administrés

Utilisation de passphrases

21

Sophos SafeGuard EntrepriseChiffrement des données en tous lieux

Chiffrement des systèmes

Chiffrement des médias amovibles

Chiffrement dans le Cloud

Chiffrement de fichiers partagés

Gestion de Bitlocker

22

Portable

Stockage Cloud

Terminal Mobile

Protéger les données dans le Cloud

Sécuriser l’usage de Dropbox & autres services de stockage en ligne

23

Agenda





￮ Les mobiles

￮ Le réseau

• Conclusion

2424

L’antivirus dans le Cloud

25

Externalisation de l’antivirus

CLOUD ACROPOLIS

Serveurs physiques et virtuels

Mobile Control

INFRA CLIENTE

Sécurité du posteChiffrement

26

Protéger les serveurs

27

• Antivirus pour vShield￮ Antivirus sans agent pour

les machines virtuelles Windows sur vSphere

￮ Aucun client antivirus à installer sur les machines virtuelles

￮ Scan centralisé￮ Protection automatique

Sophos antivirus pour vShield

Bénéfices (vs. agent sécu. sur chaque VM)

• 1 seul scanner par machine physique

￮ Un seul scanner à mettre à jour

￮ Nouvelles VMs protégées automatiquement

• Planification automatique des analyses

￮ Spécifiant le nombre de scans simultanés

• Reporting des détections virales par VM

• Même console que EndUser et Server Protection

Limitations (vs. agent secu. sur chaque VM)• Uniquement Antivirus￮ Pas de HIPS, DLP, Filtrage Web, etc ...

• Pas de désinfection centralisée

• Pas de reporting par VM

28

Vue d’ensemble

29

Agenda





￮ Les mobiles

￮ Le réseau

• Conclusion

3030

Protection des mobileset gestion du BYOD

31

Les terminaux personnels des utilisateurs

• Que se passe-t-il en cas de perte ou de vol ?

• Pouvez-vous effacer le terminal ?

• Que pouvez-vous imposer ?

• Pouvez-vous bloquer des applications ?

• Comment garantir la sécurité des données ?

32

La politique d’acceptation de l’usage

• Périmètre￮ Quels terminaux doivent être pris en compte ?￮ Terminaux pro ou perso

• Besoins techniques￮ Version d’OS minimum￮ Chiffrement natif￮ Mot de passe￮ Protection anti-malware

• Besoins utilisateurs￮ Que se passe-t-il quand …￮ Sauvegarder des données personnelles

33

Vérifier la conformité

34

Enregistrement des terminauxEnregistrement pour Android via le portail en libre service

35

SMC : portail en libre service

• Le Service Informatique sélectionne les fonctions autorisées pour les utilisateurs

• Permet aux utilisateurs de : ￮ Enregistrer leurs propres terminaux￮ Bloquer le terminal￮ Réinitialiser leur mot de passe￮ Effacer complètement le terminal￮ Reconfigurer le terminal￮ Décommissionner le terminal￮ Visualiser les violations de conformité

• Idéal pour les approches BYOD• Réduit la charge du Service Informatique

36

DMZ

Exemple d’architecture en mode SaaS

LAN

LDAP Server

SMTP Server

Trigger

Optional

Required

HTTPS

LDAPS

SMTP

MS SQL/MySQL(local or remote)

TCP:3306 or TCP:1433

HTTPS Admin GUI & SSP

Exchange ServerorTraveler Server

SMC service centerservices.sophosmc.com

SMS,

MPNS,iOS App Push

Apple Push Notification servicegateway.push.apple.com17.*.*.*:2195

APNs

Google GCMandroid.googleapis.com

GCM HTTPS

TCP:2195

HTTPS

VPP HTTPS

Apple Volume Purchase Programvpp.itunes.apple.com

SMC Server

HTTPS

EAS Proxy

37

Sophos Mobile Security

Protection contre les fuites de données et le vol - Effacement, verrouillage, localisation, alerte etc. à distance

Protection USSD Restez à l'abri des codes spécifiques

Moteur d'analyse des malwares & PUAsur demande ou programmé

Protection contre le spamSMS/MMS et appels

Assistant de confidentialitéClasse les applications en fonction des

risques (ex. les apps payantes, etc)

Assistant de sécurité Aide à réaliser une configuration

plus sure du mobile

38

Agenda





￮ Les mobiles

￮ Le réseau

• Conclusion

3939

Protection réseau Next-Genet gestion unifiée UTM

40

Sophos UTM

NETWORK PROTECTION

Prévention des intrusions

RED/IPSec/SSL VPN

Advanced Threat Protection

WEBSERVER PROTECTION

Reverse Proxy

Pare-feu applicatif Web

Antivirus

WEB PROTECTION

Filtrage URL

Antivirus et antispyware

Contrôle des applications

EMAIL PROTECTION

Antispam et antiphishing

Double protection antivirus

Chiffrement des emails

WIRELESS PROTECTION

Contrôleur pour AP Sophos

Support multi-SSIDHotspots personnalisables

ENDPOINT PROTECTION

Antivirus/HIPS

Contrôle des périphériques

Filtrage Web

41

Web, nouveaux usages et mobilité

42

Advanced ThreatsServeur

Command & Control

Call Home discretLe système infecté se connecte vers le serveur command & control (C&C) pour d’autres instructions ou pour envoyer des données sensibles

3

Point d’entréeciblé ou pas, le système d’origine est en général infecté par :• La visite d’un site web infecté• Une pièce jointe d’email ouverte• Branchement de clé USB

2

Se propager en secretLe malware peut décider de rester furtif et de bouger lentement ou peut tenter de se propager sur d’autres systèmes en exploitant les vulnérabilités non patchées ou en utilisant des comptes piratés

4

Extraire les donnéesLe malware peut tenter de voler l’information depuis des emails, documents, Skype ou messagerie instantanée, ou même des webcams en fonction de ses intentions

5

Attaques CibléesLes Advanced Persistent Threats (APTs) sont ciblées sur tout type d’industries, ou même des particuliers afin de réaliser des recherches sur le personnel, les bureaux, utilisation du SI, les opérations, et bien plus pour aider à mettre le pied dans l’entreprise

1

43

Advanced Threat Protection dans l’UTM 9.2Prévenir, Blocage, Identification, Sandboxing

X

X

XXX

!!!

Attaques Réseau BloquéesFirewall et l’IPS optimisé bloquent les attaques réseau et empêchent les brèches sur la passerelle

Bloque les Calls-HomeAvec l’ATP en 9.2, le DNS, l’App control, et le Web proxy travaillent ensemble pour identifier le trafic C&C et le bloquer

Identifie Systèmes InfectésAvec l’ATP en 9.2 les postes tentant de communiquer avec un serveur C&C sont immédiatement identifiés et bloqués

Protection Multi-niveauxLa protection Sophos Web, Email et Endpoint empêche les infections initiales sur le réseau

Détection Malware WebLa détection des récents malwares avancés en 9.2 peut émuler le JavaScript pour intercepter les plus sophistiqués des menaces polymorphiques, même les plus furtives

Sandboxing SélectifEchantillons suspects représentant des menaces inconnues potentielles envoyés aux SophosLabs pour analyse. Nouvelles connaissances renvoyées à l’UTM.

2

1

3

4

5

6

44

Déployez une protection complète

DOMICILE ET DEPLACEMENTS

Mobile Control Sécurité du posteChiffrement

SITE PRINCIPAL


SITE DISTANT 1

VPN RED sécurisé

UTM

Firewall NextGen Protection WebProtection Email

WAF

Wi-Fi sécurisé

Wi-Fi sécurisé

Client VPN sécurisé

Mobile Control

Wi-Fi invité

Données de Réputation • Protection Active SophosLabs Corrélation • Classification de Contenu

Administration

SOPHOS CLOUDAdministration

ProtectionReporting

Web Application Firewall (WAF)

Passerelle Websécurisée


Mobile Control

Antivirus sur baie de stockageSécurité du serveur

Wi-Fi sécurisé

Mobile Control

SITE DISTANT 2

Firewall NextGen


Passerelle Emailsécurisée

45

Différentes options de déploiements

• Les UTMs peuvent être soit :(1) sur le site client(2) dans le cloud Amazon avec des tunnels REDs(3) ou dans le datacenter

• Libre choix d’équipements matériels, logiciels et virtuels

• Toutes les fonctionnalités disponibles sur toute la gamme

• Configuration des services pour chaque besoin client￮ Administration￮ Accès au monitoring￮ Protection messagerie￮ Accès Reverse Proxy￮ Endpoints￮ Gestion du Wifi￮ …

MSPs Data Center

1. Site client Site client

2. AmazonCloud

UTM RED

3.

Pour sécuriser les clients

46

Agenda





￮ Les mobiles

￮ Le réseau

• Conclusion

4747

Conclusions

48

Restez en contact avec Sophos et sa communauté

• Le blog – www.sophosfranceblog.fr

• Les réseaux sociaux￮ FaceBook – Twitter (@sophosfrance) – LinkedIn – Viadeo – RSS 2.0 –

YouTube – iTunes

• Le portail des fonctionnalités – http://feature.astaro.com

• Le forum UTM – www.astaro.org￮ Lieu d’échange et d’annonces, beta…

Vous pouvez rester en contact avec nous sur tous les canaux de communication

http://www.sophosfranceblog.fr/

http://feature.astaro.com/

http://www.astaro.org/

49© Sophos Ltd. All rights reserved.

50

Protection réseau étendue

• Simples à déployer et à administrer￮ Câble Ethernet virtuel￮ Peut être envoyé d’usine￮ Connexion en 2 minutes sur le site ￮ Configuration centralisée￮ Initialisation avec le site central

à travers LiveConnect

• Protection complète￮ Connexion chiffrée (OpenSSL)￮ Protection complète par

l’appliance du site central

Boîtiers RED : Remote Ethernet Device

Sophos LiveConnect