Embed Size (px)
DESCRIPTION
Comment Acropolis et Sophos sécurisent votre Cloud ? Présentation de Ludovic Peny, Sales Engineer, Sophos.
1
Comment Acropolis et Sophos sécurisent votre Cloud ?
Ludovic PenyConsultant Sécurité - Sophos France
2
Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud○ L’antivirus
○ Les mobiles
○ Le réseau
• Conclusion
33
Introduction
4
Sophos en quelques chiffres• 1er éditeur européen de solutions de sécurité pour les entreprises○ Fondé en 1985, à Oxford, Royaume-Uni (siège social)○ Plus de 300 M€ de revenus (400 MUS$)
• Couverture mondiale et présence locale○ 100 millions d’utilisateurs○ 4 SophosLabs dont 2 en Europe
Oxford, Budapest, Vancouver, Sydney
○ 8 centres de R&D dont 7 en Europe
Allemagne: Aix-la-Chapelle, Dortmund, Karslruhe, Munich Autriche: Linz, Canada: Vancouver, Hongrie: Budapest, UK: Oxford
○ 20+ bureaux dans le monde○ 1 650 employés dont 50 en France
• Plus de 12 000 partenaires dans le monde
• Dédié 100% à la sécurité des entreprisesSophos Oxford, UK
5
Un peu d’histoire
Fondé à Abingdon (Oxford), UK
Peter Lammer c.1985
Jan Hruskac.1985
AcquisitionActiveState
Queen’s Awards for Enterprise, Innovation and International TradeDécerné 3 fois
AcquisitionDIALOGS
Participation majoritaire vendue à Apax Partners
Acquisition Astaro
Acquisition Utimaco Safeware AG
Premier logiciel
d’antivirus à base de
checksum
Premier logiciel antivirus à base de signatures
Fournit le logiciel de sécurité pour les forces britanniques durant la 1ère guerre du Golfe
Siège social Américain établi à Boston
Elue meilleure entreprise
TPE/PME au Royaume-Uni
1985 2003 2011 2012 2013201020081988 1989 1991 1996
6
San FranciscoSanta Clara
Vancouver Canada
BostonMA
OxfordUK
BudapestHongrie
Singapour
SydneyAustralie
ManillePhilippines
TokyoJapon
LinzAutriche
KarlsruheAllemagne
WiesbadenAllemagneDortmund
Allemagne
15
50
50
60
153
28
167
101
423
64
40
30
240
35
AutresMonde
1 656
Total Employés Sophos
ParisFrance
50
Aix-la-ChapelleAllemagne
96
Principaux sites en Europe et dans le monde
BredaPays Bas
14
MadridEspagne
MilanItalie28
12
7
Magic Quadrant du Gartner
Seul éditeur de l’Union Européenne reconnu comme Leader mondial
Sources: Gartner: Magic Quadrants for Endpoint Protection Platforms (8 Jan 2014) , Mobile Data Protection (9 Sep 2013), and UTM (19 July 2013).The Magic Quadrant graphic was published by Gartner, Inc. as part of a larger research note and should be evaluated in the context of the entire report.
Endpoint
Magic Quadrant for Endpoint Protection Platforms
Chiffrement
Magic Quadrant for Mobile Data Protection
UTM
Magic Quadrant for Unified Threat Management
Sophos en quelques analyses
8
Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud○ L’antivirus
○ Les mobiles
○ Le réseau
• Conclusion
99
Etat des lieux sur l’évolution des menaces
10
Plus malins ChiffrementDGAsProxiesBotnets Web
Algorithmes de génération de domaines (DGA) Crée des noms de domaines apparemment aléatoires pour les utiliser comme redirecteurs de trafic ou serveurs de Contrôle et Commande
11
Plus dangereux
RansomwareMulti-factorBitcoin miningAdware Android
Ransomware – bloque l’accès aux données puis exige le paiement d’une rançon
12
TorPolymorphismeModules ApacheBotnets WebSignatures électroniquesMalvertisingPlus discrets
Polymorphisme – change le code d’une app à chaque téléchargement ou installation
13
Malwares pour Android
2010-08
2010-09
2010-10
2010-11
2010-12
2011-01
2011-02
2011-03
2011-04
2011-05
2011-06
2011-07
2011-08
2011-09
2011-10
2011-11
2011-12
2012-01
2012-02
2012-03
2012-04
2012-05
2012-06
2012-07
2012-08
2012-09
2012-10
2012-11
2012-12
2013-01
2013-02
2013-03
2013-04
2013-050
50000
100000
150000
200000
250000
300000
350000
Nombre cumulatif d'échantillons détectés
Samples
Axis
Title
Depuis un an, les applications malveillantes pour Android explosent
14
CloudBlured
Lines
Connexions
Objetsconnectés
15
Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud○ L’antivirus
○ Les mobiles
○ Le réseau
• Conclusion
1616
L’utilisation du Cloud
17
Un usage souvent incontrôlé du Cloud
Lorsque vous faîtes appel à votre service informatique, combien de temps êtes-vous prêt à attendre leur réponse avant de chercher une solution par vos propres moyens ?
Moins de 5 minutes 22%Entre 5 et 30 minutes 40%Entre 30 minutes et 1 heure 13%Entre 1 heure et 1 journée 14%1 journée 5%Je n’agis pas sans leur réponse, peu importe le temps d’attente 7%
1 005 réponses (sondage en ligne – France)
Quelle solution autre que la messagerie électronique utilisez-vous pour échanger des données professionnelles ?
Périphériques de stockage amovibles (clé USB…) 77%Une solution mise en place par l’entreprise (serveur FTP …) 38%Services de stockage de fichiers en ligne (Dropbox…) 27%Solution d’accès distant (VPN …) 16%Autre 4%
1 005 réponses (sondage en ligne - France)
Données stockées en clair dans le Cloud … souvent hors du contrôle du DSI
18
PC et portables de l’entreprise
Serveurs
Prolifération des périphériques et des usages
Mobiles de l’entreprise
Ordinateurs des employés
Mobiles des employés
Systèmes virtualisés
La consumérisation de l’IT (BYOD) introduit des risques supplémentaires
19
Protection des données en tous lieux …
Au caféAu bureau
En déplacements A la maison
20
… sous toutes leurs formes
Stockage
Les données stockées sont toujours chiffrées
Systèmes administrés
Chiffrement / déchiffrement transparents
Gestion des clés par SafeGuard
Systèmes non administrés
Utilisation de passphrases
21
Sophos SafeGuard EntrepriseChiffrement des données en tous lieux
Chiffrement des systèmes
Chiffrement des médias amovibles
Chiffrement dans le Cloud
Chiffrement de fichiers partagés
Gestion de Bitlocker
22
Portable
Stockage Cloud
Terminal Mobile
Protéger les données dans le Cloud
Sécuriser l’usage de Dropbox & autres services de stockage en ligne
23
Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud○ L’antivirus
○ Les mobiles
○ Le réseau
• Conclusion
2424
L’antivirus dans le Cloud
25
Externalisation de l’antivirus
CLOUD ACROPOLIS
Serveurs physiques et virtuels
Mobile Control
INFRA CLIENTE
Sécurité du posteChiffrement
26
Protéger les serveurs
27
• Antivirus pour vShield○ Antivirus sans agent pour
les machines virtuelles Windows sur vSphere
○ Aucun client antivirus à installer sur les machines virtuelles
○ Scan centralisé○ Protection automatique
Sophos antivirus pour vShield
Bénéfices (vs. agent sécu. sur chaque VM)
• 1 seul scanner par machine physique
○ Un seul scanner à mettre à jour
○ Nouvelles VMs protégées automatiquement
• Planification automatique des analyses
○ Spécifiant le nombre de scans simultanés
• Reporting des détections virales par VM
• Même console que EndUser et Server Protection
Limitations (vs. agent secu. sur chaque VM)• Uniquement Antivirus○ Pas de HIPS, DLP, Filtrage Web, etc ...
• Pas de désinfection centralisée
• Pas de reporting par VM
28
Vue d’ensemble
29
Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud○ L’antivirus
○ Les mobiles
○ Le réseau
• Conclusion
3030
Protection des mobileset gestion du BYOD
31
Les terminaux personnels des utilisateurs
• Que se passe-t-il en cas de perte ou de vol ?
• Pouvez-vous effacer le terminal ?
• Que pouvez-vous imposer ?
• Pouvez-vous bloquer des applications ?
• Comment garantir la sécurité des données ?
32
La politique d’acceptation de l’usage
• Périmètre○ Quels terminaux doivent être pris en compte ?○ Terminaux pro ou perso
• Besoins techniques○ Version d’OS minimum○ Chiffrement natif○ Mot de passe○ Protection anti-malware
• Besoins utilisateurs○ Que se passe-t-il quand …○ Sauvegarder des données personnelles
33
Vérifier la conformité
34
Enregistrement des terminauxEnregistrement pour Android via le portail en libre service
35
SMC : portail en libre service
• Le Service Informatique sélectionne les fonctions autorisées pour les utilisateurs
• Permet aux utilisateurs de : ○ Enregistrer leurs propres terminaux○ Bloquer le terminal○ Réinitialiser leur mot de passe○ Effacer complètement le terminal○ Reconfigurer le terminal○ Décommissionner le terminal○ Visualiser les violations de conformité
• Idéal pour les approches BYOD• Réduit la charge du Service Informatique
36
DMZ
Exemple d’architecture en mode SaaS
LAN
LDAP Server
SMTP Server
Trigger
Optional
Required
HTTPS
LDAPS
SMTP
MS SQL/MySQL(local or remote)
TCP:3306 or TCP:1433
HTTPS Admin GUI & SSP
Exchange ServerorTraveler Server
SMC service centerservices.sophosmc.com
SMS,
MPNS,iOS App Push
Apple Push Notification servicegateway.push.apple.com17.*.*.*:2195
APNs
Google GCMandroid.googleapis.com
GCM HTTPS
TCP:2195
HTTPS
VPP HTTPS
Apple Volume Purchase Programvpp.itunes.apple.com
SMC Server
HTTPS
EAS Proxy
37
Sophos Mobile Security
Protection contre les fuites de données et le vol - Effacement, verrouillage, localisation, alerte etc. à distance
Protection USSD Restez à l'abri des codes spécifiques
Moteur d'analyse des malwares & PUAsur demande ou programmé
Protection contre le spamSMS/MMS et appels
Assistant de confidentialitéClasse les applications en fonction des
risques (ex. les apps payantes, etc)
Assistant de sécurité Aide à réaliser une configuration
plus sure du mobile
38
Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud○ L’antivirus
○ Les mobiles
○ Le réseau
• Conclusion
3939
Protection réseau Next-Genet gestion unifiée UTM
40
Sophos UTM
NETWORK PROTECTION
Prévention des intrusions
RED/IPSec/SSL VPN
Advanced Threat Protection
WEBSERVER PROTECTION
Reverse Proxy
Pare-feu applicatif Web
Antivirus
WEB PROTECTION
Filtrage URL
Antivirus et antispyware
Contrôle des applications
EMAIL PROTECTION
Antispam et antiphishing
Double protection antivirus
Chiffrement des emails
WIRELESS PROTECTION
Contrôleur pour AP Sophos
Support multi-SSIDHotspots personnalisables
ENDPOINT PROTECTION
Antivirus/HIPS
Contrôle des périphériques
Filtrage Web
41
Web, nouveaux usages et mobilité
42
Advanced ThreatsServeur
Command & Control
Call Home discretLe système infecté se connecte vers le serveur command & control (C&C) pour d’autres instructions ou pour envoyer des données sensibles
3
Point d’entréeciblé ou pas, le système d’origine est en général infecté par :• La visite d’un site web infecté• Une pièce jointe d’email ouverte• Branchement de clé USB
2
Se propager en secretLe malware peut décider de rester furtif et de bouger lentement ou peut tenter de se propager sur d’autres systèmes en exploitant les vulnérabilités non patchées ou en utilisant des comptes piratés
4
Extraire les donnéesLe malware peut tenter de voler l’information depuis des emails, documents, Skype ou messagerie instantanée, ou même des webcams en fonction de ses intentions
5
Attaques CibléesLes Advanced Persistent Threats (APTs) sont ciblées sur tout type d’industries, ou même des particuliers afin de réaliser des recherches sur le personnel, les bureaux, utilisation du SI, les opérations, et bien plus pour aider à mettre le pied dans l’entreprise
1
43
Advanced Threat Protection dans l’UTM 9.2Prévenir, Blocage, Identification, Sandboxing
X
X
XXX
!!!
Attaques Réseau BloquéesFirewall et l’IPS optimisé bloquent les attaques réseau et empêchent les brèches sur la passerelle
Bloque les Calls-HomeAvec l’ATP en 9.2, le DNS, l’App control, et le Web proxy travaillent ensemble pour identifier le trafic C&C et le bloquer
Identifie Systèmes InfectésAvec l’ATP en 9.2 les postes tentant de communiquer avec un serveur C&C sont immédiatement identifiés et bloqués
Protection Multi-niveauxLa protection Sophos Web, Email et Endpoint empêche les infections initiales sur le réseau
Détection Malware WebLa détection des récents malwares avancés en 9.2 peut émuler le JavaScript pour intercepter les plus sophistiqués des menaces polymorphiques, même les plus furtives
Sandboxing SélectifEchantillons suspects représentant des menaces inconnues potentielles envoyés aux SophosLabs pour analyse. Nouvelles connaissances renvoyées à l’UTM.
2
1
3
4
5
6
44
Déployez une protection complète
DOMICILE ET DEPLACEMENTS
Mobile Control Sécurité du posteChiffrement
SITE PRINCIPAL
Sécurité du posteChiffrement
SITE DISTANT 1
VPN RED sécurisé
UTM
Firewall NextGen Protection WebProtection Email
WAF
Wi-Fi sécurisé
Wi-Fi sécurisé
Client VPN sécurisé
Mobile Control
Wi-Fi invité
Données de Réputation • Protection Active SophosLabs Corrélation • Classification de Contenu
Administration
SOPHOS CLOUDAdministration
ProtectionReporting
Web Application Firewall (WAF)
Passerelle Websécurisée
Sécurité du posteChiffrement
Mobile Control
Antivirus sur baie de stockageSécurité du serveur
Wi-Fi sécurisé
Mobile Control
SITE DISTANT 2
Firewall NextGen
Sécurité du posteChiffrement
Passerelle Emailsécurisée
45
Différentes options de déploiements
• Les UTMs peuvent être soit :(1) sur le site client(2) dans le cloud Amazon avec des tunnels REDs(3) ou dans le datacenter
• Libre choix d’équipements matériels, logiciels et virtuels
• Toutes les fonctionnalités disponibles sur toute la gamme
• Configuration des services pour chaque besoin client○ Administration○ Accès au monitoring○ Protection messagerie○ Accès Reverse Proxy○ Endpoints○ Gestion du Wifi○ …
MSPs Data Center
1. Site client Site client
2. AmazonCloud
UTM RED
3.
Pour sécuriser les clients
46
Agenda
• Introduction Sophos
• Etat des lieux des menaces
• L’utilisation du Cloud
• La protection dans le Cloud○ L’antivirus
○ Les mobiles
○ Le réseau
• Conclusion
4747
Conclusions
48
Restez en contact avec Sophos et sa communauté
• Le blog – www.sophosfranceblog.fr
• Les réseaux sociaux○ FaceBook – Twitter (@sophosfrance) – LinkedIn – Viadeo – RSS 2.0 –
YouTube – iTunes
• Le portail des fonctionnalités – http://feature.astaro.com
• Le forum UTM – www.astaro.org○ Lieu d’échange et d’annonces, beta…
Vous pouvez rester en contact avec nous sur tous les canaux de communication
49© Sophos Ltd. All rights reserved.
50
Protection réseau étendue
• Simples à déployer et à administrer○ Câble Ethernet virtuel○ Peut être envoyé d’usine○ Connexion en 2 minutes sur le site ○ Configuration centralisée○ Initialisation avec le site central
à travers LiveConnect
• Protection complète○ Connexion chiffrée (OpenSSL)○ Protection complète par
l’appliance du site central
Boîtiers RED : Remote Ethernet Device
Sophos LiveConnect
