Sophos Discover Conference 2017 – Was Sophos für die Zukunft plant
Wir hatten nun bereits zum zweiten Mal die Ehre, an der jährlichen Sophos Discover Conference teilzunehmen. Dieses Jahr fand dieser spezielle Event in Lissabon statt. Eingeladen sind jeweils nur ausgewählte Sophos Partner aus der EMEA Region (Europe, Middle East, and Africa) also aus insgesamt 116 Ländern.
An dieser Stelle geht ein fettes Dankeschön an Sophos Schweiz und ganz besonders an „Q“, unseren Account Manager. 🙂
Das letzte Jahr hatten wir keine Zeit, um darüber zu berichten und dieses Jahr gibt’s das Wichtigste in Kürze. Falls wir jedoch 2018 wieder dabei sein dürfen, werden wir euch gleich vor Ort über Neuerungen informieren.
Sophos Discover Conference 2017
An der Sophos Discover Conference wird jeweils vorgestellt, was für Pläne Sophos für das kommende Jahr und etwas darüber hinaus hat. Dieses Jahr drehte sich alles um Next-Generation Security und dazu gab es drei grosse Themen: Intercept X, Synchronized Security und die XG Firewall.
Intercept X
Intercept X, ihr erinnert euch bestimmt an unseren früheren Blogpost, ist DIE Sophos Lösung gegen neue und unbekannte Bedrohungen. Bisher wurde das Produkt immer als Ransomware Schutz beworben, doch eigentlich kann es noch viel mehr. Die neue Art von Bedrohungen, gegen die Intercept X ebenfalls schützt, sind Exploits.
Ein Exploit ist eine Schadsoftware, welche Daten oder ausführbaren Code enthält, welcher Sicherheitslücken in Computerprogrammen ausnutzen kann.
Stellt euch also vor, auf eurem Computer läuft ein Programm, welches eine Sicherheitslücke enthält, die es erlaubt, auf eurem Computer beliebigen Code auszuführen. Das würde dann bedeuten, dass problemlos Daten gestohlen, Passwörter ausgelesen oder auch andere Computer im Netzwerk infiziert werden können. Diese Angriffe laufen völlig automatisiert und für den Benutzer ist es nicht sichtbar.
Intercept X kann gegen diese neue Art von Bedrohungen wie „WannaCry“, „Locky“, „Zerber“, „Goldeneye“ & Co. schützen. Durch die letzte Sophos Akquise der Firma „Invincea“ wird Intercept X noch besser. Ein Update bringt die „Machine Learning Technology“ in den Endpoint-Schutz.
Ich gehe jetzt mal davon aus, dass nicht gleich jeder von euch versteht, was Machine Learning in einem Endpoint-Schutz zu bedeuten hat. Es ist so, dass herkömmliche Antiviren-Programme, wie z. B. McAfee, Kaspersky, Avira, etc. mit einer signaturbasierten Erkennung arbeiten. Heisst also, dass der Schädling zuvor schon mal entdeckt worden sein muss, damit ein Antiviren-Programm diesen erkenn kann. Diese Methode wird vermutlich schon Ende Jahr überholt sein. Hier kommt dann eben dieses „Machine Learning“ zum Zug. Das System erkennt selbstständig, ob etwas gut oder böse ist. Wie die Technik ausführlich funktioniert, könnt ihr in meinem Artikel „Machine Learning: Sophos setzt auf künstliche Intelligenz“nachlesen.
Wenn bei euch also noch kein Intercept X installiert ist, wartet nicht mehr länger und holt es euch! Ein klassischer Antivirus reicht in der heutigen Zeit einfach nicht mehr aus.
Was wir an dieser Stelle aber noch anmerken möchten, ist, dass Sophos nicht die einzige Firma ist, welche dieses maschinelle Lernen zum Erkennen von schädlicher Software einsetzt. Firmen wie Malwarebytes oder Cylance können dies auch. Warum wir dennoch auf Sophos setzen? Diese Frage ist der perfekte Übergang zum nächsten Punkt, nämlich „Synchronized Security“.
Synchronized Security
Einen guten Endpoint-Schutz zu vertreiben, der sogar über eine „Machine Learning Technology“ verfügt, so wie die von Cylance oder Malwarebytes, ist aus unserer Sicht nur die halbe Miete. Was wir so an Sophos lieben, ist die klare Vorstellung, wo es hingehen soll und dass diese Vision von Anfang an mehr oder weniger zu Ende gedacht wurde. Was Sophos allen anderen Mitbewerbern voraushat, ist „Synchronized Security“. Sophos hat früher als alle anderen erkannt, dass es für die Zukunft zwingend notwendig ist, dass Securitysysteme für einen erweiterten Schutz miteinander kommunizieren müssen.
Eine Firewall war bis anhin einfach gesagt dazu da, um Traffic durchzulassen oder zu blockieren. Der Antivirus soll Schädlinge auf dem Client erkennen und blockieren. Die Firewall weiss also nicht, was der Antivirus tut und umgekehrt.
Mit Synchronized Security findet also eine Kommunikation zwischen den Sophos Produkten statt. Sophos nennt das den „Security Heartbeat“. Hat man also z. B. eine XG Firewall und nutzt auf dem Endpoint Sophos Central, können Informationen ausgetauscht werden.
Bis anhin waren so Szenarien möglich, wie dass die XG Firewall einem Client den Traffic zum Fileserver blockieren konnte, wenn dieser von einem Virus infiziert wurde. Zukünftig sind aber noch viel mehr Möglichkeiten realisierbar, da auch Produkte wie Access Points, Sophos File Encryption oder mobile Geräte mit eingebunden werden können.
Was man damit alles anstellen kann, könnt ihr euch denken. Wir werden in Zukunft sicher einige solcher Szenarien zur gegebenen Zeit vorstellen.
Kein anderer Hersteller bietet Synchronized Security in dieser fortgeschrittenen Form an, wie Sophos dies kann. Als zertifizierter Sophos Synchronized Security Partner wissen wir selbstverständlich, wie wichtig das Thema ist.
XG Firewall
Das dritte, grosse Thema war die XG Firewall. Wenn Ihr uns schon länger folgt, wisst ihr, dass wir so unsere Schwierigkeiten hatten, uns damit anzufreunden. Das liegt aber daran, dass die erste Version des SFOS, sagen wir es mal ein wenig diplomatisch, „nicht sehr gut“ war.
Mit v16 und 16.05 ist nun einiges besser geworden, aber auch noch nicht ganz perfekt. An einigen Stellen besteht noch Nachholbedarf. Wir hatten jetzt bereits vor der Konferenz das Vergnügen, den „Sophos Firewall Release Manager“ kennenzulernen, welcher uns einen ganz privaten Ausblick gegeben hat. Bevor also v17 im September erscheinen wird, werden noch einige Verbesserungen vorgenommen.
Folgende Features dürfen wir uns von v17 erhoffen:
- Verbesserte Applikationserkennung durch Heartbeat. XG sieht die Prozesse auf dem Endpoint.
- Verbesserter Log Viewer. Alle Logs durchsuchen und filtern und mit einer besseren Darstellung (endlich!).
- Übersichtlichere Firewall-Regeln inkl. Gruppierungen
- Web Policy Test und schnelleres Content Filtering
- Verbesserungen Rund um den Spamschutz
Und was kommt sonst noch?
- Neue Hardware Revision (Update), welche 20% mehr Leistung bringen wird (noch in 2017).
- 2018 kommt dann komplett neue Hardware mit verdoppelter Leistung.
- Cloudapps kontrollieren (da immer mehr Applikationen im Browser betrieben werden)
- IoT Devices werden immer mehr zum Thema, auch dafür gibt’s dann Lösungen.
Und wie sieht es denn aus bei Sophos SG oder UTM? Da müssen wir euch leider enttäuschen, denn dazu gab es keine News, was auch ein klares Zeichen ist, wohin die Reise gehen wird.
Aktuell setzen wir vereinzelt bereits auf XG. Bei grösseren Projekten verwenden wir aber nach wie vor noch die UTM (je nach Anforderungen). Ab September, wenn v17 verfügbar ist, wird XG bei uns die erste Wahl sein. Wenn ihr über eine SG Hardware verfügt, gibt es aber ein kostenloses Update auf das SFOS. Also alles halb so schlimm.