SOPHOS CASE STUDY - STEK JEUGDHULP

Medewerkers van Stek Jeugdhulp zetten zich dag- en nacht in om kinderen, jongeren en hun ouders te helpen bij allerhande problemen die te maken hebben met opgroeien en opvoeden. Een veilige IT-omgeving waarin gegevens over gevoelige zaken goed beschermd worden is voor de organisatie onontbeerlijk. Sophos ondersteunt de organisatie hierin.

	Ook geintresseerd hoe Virtual Security en Sophos uw omgeving kunnen beveiligen ? Neem contact op met sophos@virtualsecurity.nl of bel +31357511035 http://sophos.virtualsecurity.nl/sophos-blog/sophos-case-study-stek-jeugdhulp/

Sophos XG IPsec Site 2 Site VPN met Sophos SG of UTM series

Doormiddel van een Sophos SG of XG next generation firewall is het mogelijk om een Site 2 Site VPN verbinding te maken met een andere lokatie. Dit kan een klant of leverancier zijn maar ook bijvoorbeeld een filiaal van de eigen organisatie. Hoe maak je een VPN verbinding tussen de Sophos SG en de nieuwe Sophos XG Series ?

Dit artikel heeft betrekking op de nieuwe Sophos XG series en op de Sophos SG  of Sophos UTM series.

Op de XG Series:

In de nieuwe XG series zit een VPN Wizzard.
Ga naar het XG Series Console en kies System > VPN > IPSec en kies Wizard

Doorloop de stappen van de wizard en kies bij de policy de voor de "DefaultBranchOffice" Policy.

Op de SG of UTM Series:

Maak een nieuwe policy aan ( die matcht met de branch office policy van de XG series )

Als we de policy hebben kunnen we de remote gateway creëren en een IPSec VPN connection maken.

Activeer beide verbindingen ( Op de Sophos XG en op de Sophos SG\UTM ) en de Site 2 Site VPN is actief.

Als je gebruik maakt van de Sophos SG \ UTM autofirewall rules moet je nog even een Sophos een policy maken welke verkeer via de VPN toestaat. Autofirewall rules zijn niet mogelijk bij de XG series.

Vragen staan vrij support@virtualsecurity.nlsupport@virtualsecurity.nl

'Hackers beheren botnet met 17.000 Macs via Reddit'

Met een backdoor zouden hackers de controle hebben over ongeveer 17.000 Macs. De apparaten krijgen volgens het beveiligingsbedrijf dat het botnet ontdekte instructies van de beheerders via comments op de populaire site Reddit.

De backdoor kent de naam Mac.BackDoor.iWorm en is ontdekt door het Russische antivirusbedrijf Dr. Web die erover op zijn blog publiceerde. Volgens het bedrijf zijn er wereldwijd meer dan 17.000 Macs besmet met de malware. Vooralsnog is niet duidelijk hoe de worm zich verspreidt. De meeste besmette computers bevinden zich in de Verenigde Staten.

Opvallend genoeg lijken de beheerders van het botnet te communiceren via Reddit. In het subkanaal /minecraftserverlists worden ip-addressen geplaatst van botnetservers, Macs die geïnfecteerd zijn met Mac.BackDoor.iWorm gebruiken de zoekfunctie van Reddit om de lijst te kunnen vinden. De benodigde zoekquery om de lijst te kunnen vinden bestaat uit hexadecimale waardes van acht cijfers. Deze worden verkregen uit de eerste acht getallen van de md5-hash van de huidige datum. Daardoor zijn de posts voor gewone gebruikers niet gemakkelijk vindbaar.

Geïnfecteerde apparaten doen een poging om met een willekeurige server verbinding te leggen. Nadat er verbinding is gemaakt kunnen de botnetbeheerders commando's geven aan de geïnfecteerde Mac, al lijkt het er momenteel niet op dat het botnet daadwerlijk wordt gebruikt. Waarschijnlijk proberen de beheerders eerst hun netwerk te laten groeien. Bron Tweakers.net

Gelukkig heeft Sophos voor thuisgebruik de gratis antivirus voor mac.
http://shop.virtualsecurity.nl/shop/antivirus-voor-apple-mac.html

Sophos Mobile Control 4.0

Sophos introduceert Sophos Mobile Control 4.0 voor het managen en beveiligen van mobiele devices, data en  applicaties waarbij de gebruiker centraal staat. Sophos Mobile Control is eenvoudig te beheren voor zowel gebruikers als IT personeel. Het beschermen van bedrijfsgegevens op mobiele devices is belangrijk. Met het steeds meer mobiel worden van de werkplek is het gevaar dat gevoelige bedrijfsgegevens kwijt raakt via niet beveiligde mobiele apparaten steeds groter. Met  de Sophos Mobile Control 4.0 beschermt u deze apparaten zodat uw data veilig is.

Met Sophos Mobile Control 4.0 (SMC 4.0), krijgt u:

•	Per user prijzen en management: De enige Enterprise Mobility Management (EMM) fabrikant welke op user gebaseerde prijzen hanteert. Sophos maakt het hierdoor eenvoudiger voor organisaties om de kosten te berkenen een BYOD beleid.
•	Geintegreerde Security: Sophos is de enige fabrikant welke geïntegreerd in de oplossing AntiVirus en Webfiltering heeft voor Android mobiele devices.
•	Data Beveiliging stop niet bij de voordeur van het bedrijf: Met Mobile Content Management voor iOS devices. Sophos is de enige EMM welke individuele File Encryption aanbied, welke er voor zorgt dat ieder document veilig blijft. Daarnaast is het mogelijk om te integreren met Sophos UTM ( Next Generation firewall) oplossingen van Sophos zodat bij devices welke niet aan de bedrijfsvoorwaarden voldoen worden de netwerk toegang geblokkeerd wordt.

Download de nieuwe SMC 4.0 datasheet om meer te weten te komen of neem contact op met sales@virtualsecurity.nl of ga naar de webshop voor prijzen.

Sophos Sterke Authenticatie - Eenvoudig en doeltreffend.

Two-factor authentication (2FA) is niet iets nieuws. Sterker nog, veel mensen gebruiken het al jaren. Bijvoorbeeld bij on-line banking maar ook bij een geldautomaat bijvoorbeeld. Toch gebruiken veel bedrijven gewoon usernaam en wachtwoord om in te loggen op het netwerk. Niet alleen op de zaak maar ook als ze dat van thuis of bij een klant doen. Dit er zijn veel manieren waarop een wachtwoord in de verkeerde handen kan vallen. Key loggers, opschrijven, hergebruik wachtwoorden en meekijken zijn er maar een paar om op te noemen. Sophos maakt sterke authenticatie beschikbaar voor alle UTM klanten met de versie 9.2.

Simpler and safer two-factor authentication.

Klanten die zijn geupgrade naar UTM 9.2 vinden in het Sophos Admin Console een tab "one time password" ( Definitions & Users -> Authentication Services tab One-time Password) 

Hier kan je aangeven voor welke UTM faciliteiten je sterke authenticatie wil gebruiken.
Zo is er keuze uit :

• WebAdmin
• User Portal
• Web Application Firewall
• IPsec Remote Access
• SSL VPN Remote Access
• Shell Access
• Hotspot

Om een OTP te genereren installeerd de gebruiker de google authenticator of de Sophos authenticator uit de playstore of I-tunes  op een smartphone. De eerste keer dat een gebruiker in het user portaal inlogt moet hij zijn token initialiseren. Hij logt eerst gewoon in met usernaam en wachtwoord. 

Configuratie voor uw OTP-softwaretoken eerste keer aanmelden.

Voor toegang tot het gebruikersportaal moet u zich aanmelden met een eenmalig wachtwoord. Scan de onderstaande QR-code met Google Authenticator of de Sophosop uw telefoon. Vervolgens genereert de app elke 30 seconden een nieuwe wachtwoordcode. Vanaf dat moment is uw wachtwoord gevolgd door de weergegeven wachtwoordcode het eenmalige wachtwoord waarmee u zich moet aanmelden. Via de koppelingDetails ontvangt u ondersteuning voor het installeren van Google Authenticator en worden de tokengegevens weergegeven als tekst zonder opmaak.

Na het scannen van de QR code logt de portal uit en moet je op nieuw inloggen. 

Genereer een OTP door de app te openen

 

Type je gebruikersnaam in bij gebruikersnaam
In het wachtwoord veld typ je wachtwoord direct gevolgd door de otp

Meer weten over Sterke Authenticatie ? Bel ons op +31(0)35-7511035 of sales@virtualsecurity.nl
Geintresseerd in Sophos SG series en Sophos UTM 9.2 ? Kijk dan op http://shop.virtualsecurity.nl/shop/firewall-utm/sophos/sg-series-appliances.html

Microsoft Internet Explorer lekt

Vandaag heeft Microsoft Security Advisory 2963983 uitgegeven over het lek in Microsoft Internet Explorer welke door FireEye is ondekt.

Op dit moment onderzoeken Microsoft en FireEye het lek verder. Het lek heeft betrekking op vrijgekomen geheugen gebruik na een memory corruption. Vervolgens wordt een exploit geladen en kan een hacker toegang krijgen tot te computer. De versies van Internet Explorer E9, Internet explorer 10 en Internet explorer 11 zijn kwetsbaar. Gebruikers kunnen al 'gehackt'worden door het bezoek aan een site welke door een hacker gebruikt word. Het lek heeft betrekking op Internet explorer maar maakt ook gebruik van andere componenten om de exploit te starten. Namelijk van de VML en Flash componenten. Voorlopig is er geen patch beschikbaar.

FireEye heeft ondekt dat disablen van VML componenten in Internet explorer of het runnen van Internet Explorer in "Enhanced Protection Mode" en configuration en 64-bit process mode welke alleen in Internet explorer 10 en 11 is te gebruiken het lek kan voorkomen.

Daarnaast word geadviseerd om een goede Security Gateway te gebruiken zoals bijvoorbeeld de Sophos Security Gateway SG210 Bundel. Neem contact op met Virtual Security om de veiligheid van uw bedrijfsomgeving te bespreken. Dit kan per  e-mail of via +31(0)357511035

Sophos Anti-Virus for VMware vShield

Performs like it isn’t there. Protects because it is. Secure your systems with fast, lightweight antivirus built for virtualization

• Provides superior performance using a centralized scanner and advanced caching
• Ensures consistent, up-to-date protection as guests are created,clonedand resumed.
• Eliminates scan storms by automatically staggering scheduled and on-demand scans.
• Protects against known and unknown threats using our unique Behavioral Genotype technology.
• Connects to SophosLabs via Live Protection, providing real-time lookups of suspicious files.
• Shares an intuitive management console with our workstation and physical server solutions.
• Includes best in class 24/7/365 SCP-certified support.

Security designed for virtual environments

We built Sophos Antivirus for vShield to work seamlessly with virtual platforms. Instead of installing a traditional antivirus agent on each virtual machine, we provide a lightweight centralized scanner to secure all the guests on a host. The result is fast, effective protection with lower resource use and simpler management.

High performance, low impact

Sophos Antivirus for vShield uses advanced clean-file caching to eliminate redundant scanning and minimize scan times We prevent scan storms—spikes in resource use caused by concurrent scans -- by automatically staggering scans. Similarly, update storms are nonexistent, as only the centralized scanner has to be updated.

Simple management

Virtual environments are dynamic, so it can be a challenge to consistently deploy security software and keep it current. Fortunately, Sophos Antivirus for vShield automatically protects every supported guest as soon as it comes online. Create policies, view alerts, request scans and generate reports for all your virtual systems from our intuitive management console. And you can use the same console to manage your Sophos-protected workstations and physical servers, too

Real-time threat protection

With malware evolving by the minute, it’s critical that your protection can keep up. Our unique Behavioral Genotype technology is able to detect malicious behavior even before specific signature-based detection has been issued. Combine that with Live Protection, which looks up suspicious files in the cloud in real time, and you can be confident your systems will be protected from the latest threats.

Support when you need it

Malware infections, system issues and maintenance windows are not limited to business hours. That’s why Sophos provides 24/7/365 support standard—so you can get help when you need it. The prestigious SCP certification recognizes our commitment to providing effective, responsive support.

Technical Specifications

Platforms supported

• VMware vSphere 5.1, 5.5
• VMware vShield Endpoint 5.1, 5.5
• The vShield Endpoint Thin Agent supports:
  Windows 8 (64 bit)(vSphere 5.5 only)
  Windows 7 (32/64 bit)
  Windows Vista (32 bit)
  Windows XP (32 bit)
  Windows Server 2003 (32/64 bit)
  Windows Server 2003 R2 (32/64 bit)
  Windows Server 2008 (64 bit)
  Windows Server 2008 R2 (64 bit)
  Windows Server 2012 (64 bit)(vSphere 5.5 only)

Lees meer op de Website van Virtual Security

Wat is Ransomware ?

Wat is Ransomware?

Ransomware is kwaadaardige software die ontkent u toegang tot uw computer of de bestanden totdat u losgeld betaalt . Er zijn twee soorten ransomware die onze partner SophosLabs gewoonlijk ziet:

• Randsomware die persoonlijke bestanden of mappen Versleutelt  (bijvoorbeeld de inhoud van uw map Mijn documenten - documenten, spreadsheets, foto's, video's). Bestanden worden verwijderd zodra ze zijn gecodeerd en in het algemeen is er een tekstbestand met instructie voor betaling in dezelfde map even als de nu-ontoegankelijke. U ziet wellicht een scherm met een slot, maar niet alle varianten tonen zo'n scherm. Het kan zijn dat u in dat geval pas problemen merkt wanneer u probeert om uw bestanden te openen. Dit type wordt 'file encryptor' ransomware genoemd.
• Scherm "vergredeling" malware (presenteert een volledig beeld op het scherm dat alle andere vensters blokkeert) en eist betaling. Geen persoonlijke bestanden zijn gecodeerd. Voorbeeld screenshots van met type die op een computer worden hieronder weergegeven (klik voor grotere weergave) .. Dit type heet 'WinLocker' ransomware.

Ook 'MBR ransomware. De Master Boot Record (MBR) is een deel van de harde schijf van de computer die het mogelijk maakt het besturingssysteem op te starten. MBR ransomware verandert MBR van de computer, zodat de normale boot proces wordt onderbroken en een losgeld wordt weergegeven op het scherm plaats.

Welke besturingssystemen zijn gevoelig voor dit soort aanvallen?

Zoals met veel van malware de meerderheid van ransomware is gericht op het Microsoft Windows-besturingssysteem.

Heeft Sophos Endpoint Security and Control mijn computer te beschermen tegen ransomware?

Ja, maar de malware schrijvers zijn voortdurend actualiseren en het vrijgeven van nieuwe varianten en families. U moet volledig op de hoogte blijven van de laatste Sophos releases en zorgen voor al uw gebruikers zich houden aan onze adviezen. 

Hoe raakt een computer geïnfecteerd met ransomware?

• SPAM email: Door het openen van e-mailbijlagen in SPAM e-mail.
• Besturingssysteem of software te benutten: De malware maakt gebruik van een beveiligingslek in het besturingssysteem van de computer of een toepassing die op de computer is geïnstalleerd.

Wat is het verschil tussen ransomware en nep-antivirus?

WinLockers, bestand encryptors en malware die MBR van de computer beïnvloedt met monetaire eisen (alle beschreven aan het begin van dit artikel) zijn ransomware. Nep-antivirus pretendeert om kwaadaardige bestanden te vinden op uw computer en voor een vergoeding zegt dat het zal ze te verwijderen.

Beiden proberen om geld af te persen, maar op verschillende manieren.

Kan ik iets extra doen om mijn computer te beschermen tegen ransomware?

Controleer of de computer (s) worden de nieuwste versie van onze software en up to date met de identiteit bestanden. Zorg er ook voor onze software is geconfigureerd voor de beste bescherming.

Als u een netwerkbeheerder bent moet u uw gebruikers te informeren over het verblijf veilig, terwijl online en overwegen een multi-tiered beveiligingsoplossing, zoals de Sophos Unified Threat Management (UTM).

Bekijk de video van: Een inleiding tot Sophos UTM

Welke namen worden gemeld wanneer ransomware wordt gedetecteerd?

• HPMal / Matsnu-A
• CXmal / RnsmLnk-A
• Troj / RansmMem-A
• Troj / RevetMem-A
• Troj/Ransom- *
• Mal/Ransom- *
• Mal/Reveton- *
• Troj/Matsnu- *

Er zijn ook meer generieke detecties zoals Mal/Encpk- *, die zowel ransomware en andere malware die aandelen gemeenschappelijke eigenschappen bevatten.

Het identificeren van kwaadaardige bestanden en het indienen van monsters

Als een kwaadaardig bestand niet herkend wordt of verwijderen niet mogelijk of onvolledig is moet u bepalen wat de schadelijke bestanden zijn en proefmonsters aan SophosLabs sturen voor verdere analyse.

Als je iets kwaadaardig niet kunt identificeren en u toegang tot de computer heeft kunt u de ZIP versie van de Sophos Diagnostic Utility downloaden en de command line versie uitvoeren met de '-malware' optie (zie artikel 116537 voor meer informatie over de malware-optie) en legt de output logbestand vast een support vraag om technische ondersteuning met daarbij de volledige uitleg van de situatie en wat u tot nu toe heeft waargenomen.

Zodra de bestanden zijn geanalyseerd door SophosLabs en er is een update door Sophos uitgebracht die is ontvangen door de computer dient u een volledige scan van de computer (lokaal of van de console) te draaien om de infectie volledig te verwijderen.

Nuttige artikelen zijn:

• Het indienen van monsters van verdachte bestanden naar Sophos
• Verzamelen van monsters geblokkeerd door on-access scanning
• 
  
• Wat moet ik doen als bestanden zijn gecodeerd?

Uw gegevens kunnen niet worden hersteld en kunnen we niet herstellen het voor u in-huis als het technisch niet mogelijk is. Zodra alle schadelijke bestanden zijn verwijderd van de gecodeerde bestanden moeten worden vervangen door een recente back-up.

Wat moet ik doen als ik buitengesloten van mijn computer?

Opmerking: Als je hebt uitgesloten van uw computer door een waarschuwingsscherm (zie screenshots hierboven) en je weet dat al uw persoonlijke bestanden zijn niet versleuteld zijn (bijvoorbeeld door te kijken in de veilige modus of op afstand vanaf een andere netwerkcomputer) heb je een WinLocker type ransomware.

Als u slechts toegang tot een computer (de geïnfecteerde computer) hebt dan moet je proberen:

• Aanmelden bij de computer met een andere gebruikersaccount (om de malware te omzeilen als het wordt alleen gevolgen heeft voor uw huidige gebruikersaccount).
• Herstart de computer in veilige modus .

Als u geen toegang tot de computer lokaal dan moet u toegang tot de geïnfecteerde computer vanaf een andere computer op hetzelfde netwerk - zie hieronder.

Als de geïnfecteerde computer is aangesloten op hetzelfde netwerk als een schone computer moet je proberen:

• Het uitvoeren van de Sophos Diagnostic Utility op afstand met behulp artikel 112981 .
• Met behulp van Windows-programma's en netwerkbeheerder technieken om de infectie zoals onderzoeken: een externe register-editor aansluiting; tasklist.exe; Taskkill.exe, surfen op het C $ aandeel.

Zodra u toegang heeft tot de computer is de volgende stap om de bestanden waardoor het slot scherm gestart wordt te identificeren en te verwijderen. Zie de sectie identificeren kwaadaardige bestanden en het indienen van bovenstaande voorbeelden.

Waar kan ik meer informatie over ransomware krijgen?

Om meer informatie vinden en voorbeelden van recente ransomware kunt u kijken op de security blog van Sophos  nakedsecurity blog .

Als je dat nog niet hebt gedaan, lees dan deze PDF bestanden over ransomware: Ransomware: Next-Generation Fake Antivirus .

Mocht u meer hulp nodig hebben kunt u ook contact opnemen met Virtual Security sales@virtualsecurrity.nl

bron en volledige artikel: Sophos

Voor meer informatie over Sophos UTM 9.1 of Sophos Antivirus Software kijkt u op onze website