Sophos Discover Conference 2018 – Neuigkeiten aus Königsmund

Zwischen dem 17. und 19. September 2018 fand die Partner Conference von Sophos statt. Wir freuten uns riesig, dass wir bereits das dritte Mal in Folge zu diesem Event eingeladen wurden. Wir durften also auch dieses Jahr live vor Ort sein, als die Roadmap fürs kommende Jahr vorgestellt wurde.

Veranstaltungsort

Unsere Reise führte uns an die Ostküste von Westeros, genauer gesagt nach Königsmund, die Hauptstadt der Sieben Königslande. 😄 Für alle, die keine Fans der US-TV-Serie von HBO Game of Thrones sind: Wir reisten nach Dubrovnik – Kroatien. Wir hatten wieder zwei Einladungen erhalten und flogen dieses Jahr bereits am Abend des 13. Septembers, damit wir uns am Wochenende noch die Stadt anschauen konnten.

Berichterstattung

Letztes Jahr in Lissabon waren wir noch nicht wirklich vorbereitet und haben einfach mal alles auf uns zukommen lassen. Dieses Jahr versuchen wir die Berichterstattung in diesem Blogpost etwas persönlicher und mit mehr Bildern zu gestalten. Auch wenn euch wahrscheinlich in erster Linie nur die Fakten interessieren, wollen wir euch zumindest zusammengefasst einen kurzen Einblick geben, wie so eine Partnerkonferenz von Sophos abläuft. Ihr könnt die persönlichen Passagen auch einfach überspringen und direkt zum Punkt „Die Zukunft von Sophos“ springen.

Wie von uns gewohnt, legen wir Wert darauf, möglichst objektive Berichterstattung zu betreiben. Auch wenn Sophos für die Übernachtungen im Hotel und das Essen jeweils bezahlt (Hin- und Rückflug nehmen wir auf unsere Kappe), lassen wir uns nicht beeinflussen. Wir mussten bis zum jetzigen Zeitpunkt auch noch keine Geheimhaltungserklärung unterzeichnen, die uns zu irgend etwas verpflichtet. 😅

Avanet in Dubrovnik

Wir kamen am Donnerstagabend in der wunderschönen Altstadt von Dubrovnik an. Man wird zwar von der Masse an Touristen fast überrannt, aber trotzdem versprüht die Stadt enorm viel Charm und lädt praktisch an jeder Ecke zum Essen und relaxen ein. Da wir grosse Fans von Game of Thrones sind, wollten wir unbedingt die verschiedenen Drehorte besuchen und nahmen an einer entsprechenden Tour teil. Wir hatten Glück und unsere Tourleiterin war selbst 8 Jahre lang mit der Filmcrew unterwegs und kannte Joffrey, Cersei, Jaime, Tyrion, Jon Schnee, und wie sie alle heissen persönlich. Das machte die ganze Führung für uns natürlich noch viel spezieller. 😎 Die drei Tage, die wir für uns hatten, gingen schnell vorüber. Wir nutzten das Wochenende zur Entspannung am Meer und machten am Samstag sogar einen kleinen Abstecher nach Bosnien Herzegowina in die Stadt Mostar.

Partnerempfang und Gala zur Preisverleihung

Am Montagabend wurde die Sophos Discover Conference mit einem Galadinner eröffnet. Wir wechselten also unseren Standort von der Altstadt in den etwas neueren Stadtteil von Dubrovnik und waren gespannt, was Sophos die nächsten drei Tage für uns geplant hatte. Die Gala, wie auch der komplette Anlass von Sophos fand im eindrücklichen Sun Garden Hotel statt. Mit einer Vielfalt an leckeren Häppchen zum Apéro und einer tollen Aussicht aufs Meer, hiess Sophos seine Partner herzlich willkommen. Nachdem die Sonne untergegangen war, lud Sophos zum Abendessen ein. Der grosse Umschwung des Hotels liess es problemlos zu, für das Abendessen zu einem neuen Standort zu laufen. Das Highlight des Galaabends ist jeweils die Preisverleihung, wo Partner aus der DACH (Deutschland, Österreich, Schweiz) und CEMEA (Central Europe, Middle East and Africa) Region für ihre Leistungen ausgezeichnet werden.

Opening Keynote

Am Dienstagmorgen um 10:00 Uhr fand die mit Spannung erwartete Opening Keynote statt. Das Motto der diesjährigen Sophos Discover Conference trug den Titel „See the future“. Ein solcher Spruch weckt natürlich gewisse Erwartungen und gibt unmissverständlich zu verstehen, dass wir nun gleich erleben werden, wie die Zukunft mit Sophos aussehen wird! 🤤 Die Spannung wurde auch perfekt aufgebaut mit geheimnisvoller Musik und einem Countdown von 60 Sekunden, bevor Kris Hagerman (CEO) die Bühne betrat. Nach zwei Stunden war die Opening Keynote dann vorüber und unsere Notizen waren leer. Das lag allerdings nicht daran, dass wir vor lauter Spannung keine Taste drücken konnten, sondern schlicht und einfach nichts aussergewöhnliches erzählt wurde, was wir nicht schon wussten oder bereits in diesem Blog geschrieben haben.

Nach dieser Präsentation mussten wir uns wirklich fragen, ob wir bereits letztes Jahr mit einem DeLorean in die Zukunft gereist sind und euch bisher nur mit Spoilern auf dem Laufenden gehalten haben. Es muss so sein, denn wir haben offensichtlich die Zukunft von Sophos bereits gesehen!

Die Zukunft von Sophos

Wir möchten euch trotzdem ein paar Punkte zusammenfassen, damit ihr besser einschätzen könnt, wie es mit Sophos in der Zukunft weitergeht. Strategisch gesehen setzt Sophos die Prioritäten für die Zukunft auf folgende Produkte:

1. Endpoint
2. Firewall
3. Central
4. Synchronized Security

Endpoint

Beim Endpoint wurde hauptsächlich nur über Intercept X gesprochen, welches kürzlich ja auch für Server veröffentlicht wurde. Wirklich neu ist Intercept X auch nicht und seit im Januar 2018 Deep Learning integriert wurde, gab es keine neuen Funktionen mehr. Das bedeutet jetzt aber nicht, dass dieses Produkt schlecht ist. Ganz im Gegenteil! Sophos wurde von mehreren unabhängigen Instituten getestet und hat mit einem sehr grossen Abstand die beste Erkennungsrate, was Malware angeht. Dieses Resultat erreichen sie aber eben nur mit Intercept X. Sophos Central Endpoint alleine ist nicht genug. Daher empfehlen wir auch immer das Bundle Intercept X Advanced zu kaufen.

Aus unserer Sicht hätten wir natürlich etwas komplett Neues erwartet. Wir müssen aber auch einsehen, dass ein Produkt, welches bereits so gut ist und die Konkurrenz hinter sich lässt, für den Moment auch keine neuen Funktionen braucht. Es ist ungefähr dasselbe Phänomen wie bei den Smartphones. Die Hersteller haben in den letzten Jahren auch nicht mehr grosse Fortschritte gemacht und abgesehen von besserer CPU und Kamera, bleiben grössere Veränderungen auf der Strecke.

Ein neues Produkt wird es dennoch geben: Sophos Intercept X EDR. Im Detail werden wir dies in einem eigenen Beitrag im November vorstellen. Die Public Beta zu Intercept X EDR hat erst während der Konferenz begonnen. Grob zusammengefasst geht es um folgendes:

Root Cause Analysis (RCA) wurde überarbeiten und bekommt weitere Funktionen, um es Administratoren einfacher zu machen, eine noch tiefer gehende Identifizierung der Ursache durchzuführen. Dadurch erhält man zusätzliche Informationen zur potenziell bösartigen Datei, um das Verhalten besser zu verstehen. Zudem erhält man auch Vorschläge, wie nun am besten weiter vorgegangen wird.

Root Cause Analysis, welches Bestandteil von Intercept X ist, wird also mit Intercept X EDR nochmals kräftig aufgebohrt, um noch genauere Analysen zu machen und z. B. forensische Daten zu exportieren oder Clients komplett zu isolieren. Die Software wird voraussichtlich im November in der Version 1.0 vorgestellt und als eigenes Produkt mit einer eigenen Lizenz verkauft.

Firewall

Auch dieses Jahr, wie schon in Lissabon, wurde praktisch nur über die XG Firewall und die nächste v17.5 Version gesprochen, welche im November erscheinen soll. Wir hatten letztes Jahr für uns das Fazit gezogen, dass die SG Firewall mit dem UTM Betriebssystem eigentlich schon tot sei, da kein Wort darüber verloren wurde. Es hat uns daher sehr überrascht, dass wir ein Jahr später wieder eine Roadmap für die UTM präsentiert bekamen!

UTM 9.6 steht demnächst bereit

• Sandstorm: Verbesserungen beim Reporting und der manuellen Dateiübertragung
• WAF: Unterstützung des „Let’s Encrypt“-Zertifikats sowie Verbesserungen bei der Seitenpersonalisierung
• RED: Vereinheitlichte Firmware mit 4G LTE-Support
• EMail: Aktualisierte S/MIME-basierte Verschlüsselung
• ATP: Neue und verbesserte Advanced Threat Protection-Engine

Roadmap zu UTM 9.7, 9.8 und 9.9

Eine konkrete Roadmap zu neuen Funktionen oder Bugfixes für Version 9.7 bis 9.9. können wir an dieser Stelle leider nicht aufzeigen. Es ist allerdings bekannt, dass IKEv2 nicht in UTM 9.6 unterstützt wird.

Zitat von Sophos: „Angesichts unserer Erfahrung mit der Integration der Technologie in XG Firewall wollten wir das Release von UTM 9.6 nicht unnötig verzögern und fügen das Feature daher wahrscheinlich in einer späteren Version hinzu.“

Für zukünftige Relases der UTM erwägt Sophos zudem folgende Neuerungen einfliessen zu lassen:

• Verbesserungen beim E-Mail- und Datenschutz in Einklang mit der DSGVO
• verbesserte RestAPI zum Abrufen von Statusinformationen
• Machine Learning in der On-Box-Anti-Virus-Engine
• automatisiertes IP-Blacklisting zum Schutz vor „Brute Force“-Angriffen

Auch wenn Sophos weiterhin an der UTM arbeitet, lässt es sich nicht schönreden, dass die Zukunft der XG mit dem SFOS gehört, wo auch innovative neue Features entwickelt werden. Wir verstehen hier aber auch Sophos, dass man den riesigen Anteil an UTM Business nicht einfach fallen lassen kann. Auf längere Sicht gesehen ergibt es aber einfach keinen Sinn, zwei verschiedene Betriebssysteme parallel weiterzuentwickeln und doppelte Ressourcen zu investieren. Wir sehen also, dass das UTM Betriebssystem wohl in den nächsten 3 – 5 Jahren in Rente gehen wird. Es gab ja wohl nicht umsonst eine Breakout Session mit dem Titel „Migration from UTM to XG“. 🤭

XG Firewall (SFOS)

Bei der XG Firewall dürfen wir uns auf das nächste grosse Update der Version 17.5 freuen. An der Roadshow im März wurde zwar noch von einer Version 17.2 und 17.3 gesprochen, die nun aber anscheinend ausgelassen werden. Die APX Access Points werden übrigens mit der Version 17.5 noch nicht unterstützt. Diese können also noch bis auf weiteres nur mit Sophos Central Wireless betrieben werden.

Hier noch drei coole Features, die mit der Version 17.5 kommen werden:

• Sophos Central Management: XG Firewall über Sophos Central verwalten (Vollständiges SSO-Gerätemanagement / Alarmierung und Status für Verfügbarkeit, Lizenz, Leistung und Sicherheit / Berührungsloses Einrichten neuer Geräte / Verwalten von Firmware-Updates für mehrere Geräte / Option zum Speichern, Warten von Backups in der Zentrale)
• Synchronized User ID: Angemeldeter Computer Benutzer wird über Security Heartbead der XG Firewall übermittelt. Dafür ist kein Active Directory notwendig. Somit sieht man in den Logs/Reports einen Usernamen und nicht nur eine nichtssagende IP-Adresse.
• Lateral Movement Protection: Infizierter Endpoint kann durch die Firewall isoliert werden.

Irgendwo zwischen Ende 2019 und Anfang 2020 sollte dann die Version 18 erscheinen. Wann genau, weiss wahrscheinlich selbst Sophos noch nicht so genau. 😅 Was wir allerdings bereits wissen, ist die Tatsache, dass das SFOS zukünftig als neue Basis auf Ubuntu setzt! Passend dazu gibt es dann auch neue Hardware mit einem zusätzlichen ASIC Prozessor, welcher nochmals 200% mehr Performance bringt. Andere Hersteller machen dies bereits heute so, damit gewisse Tasks von einem eigenen Prozessor verarbeitet werden. Dies ist aber auch keine neue News, sondern eine vom letzten Jahr.

Central

Was wir uns gewünscht hätten, wäre ein neues Produkt in die Richtung Software-defined Networking (SDN). Das wäre doch mal ein nächster Ansatz. Es soll nun dafür aber das Versprechen eingelöst werden, dass die XG Firewall (nur die XG) über Sophos Central verwaltet werden kann. Die XG wird dies mit dem 17.5 Update unterstützen. Ansonsten gibt es keine konkreten Features und Central wird einfach weiterhin verbessert.

Syncronized Security

Auch in diesem Bereich gibt es leider nichts Konkretes. Sophos aktualisiert immer mehr Produkte mit dem Security Heartbeat. Zuletzt war Wireless an der Reihe. Das grössere Ziel ist, in diesem Bereich auch mehr KI / AI zu implementieren.

Partner Cocktail Party

Nach einem langen Tag mit Breakout Sessions, in denen man noch detaillierter über gewisse Themen informiert wurde, durfte man sich auf einen super organisierte Abend freuen. Auch dieses Jahr hatte sich Sophos wieder etwas ganz spezielles einfallen lassen. Der Treffpunkt für die Abfahrt zur Party lag hinter dem Hotel am Hafen, wo ein altes Segelschiff auf uns wartete. Das Ziel unserer Reise war der „Revelin Culture Club“ in der Altstadt von Dubrovnik. Die Fahrt mit dem Schiff ging ungefähr 30 Minuten, bevor wir dann schliesslich im Hafen anlegten und in wenigen Schritten den Revelin Culture Club erreichten. Auf dem Dach am Rande der Stadtmauer gab es dann ein vielfältiges Abendessen mit anschliessender Live-Band.

Schlusswort

Es war schon ein komisches Gefühl, die Konferenz zu verlassen, ohne wirklich etwas Neues erfahren zu haben. Das Motto „See the Future“ hätte unserer Meinung nach eher an der letzten Conference vor 1.5 Jahren gepasst, als man auf der Bühne stand und von Synchroniszed Security und der XG Firewall gesprochen hat. Das Positive ist jedoch, dass der damalige Plan tatsächlich auch umgesetzt wurde und wir diese Features heute im Einsatz haben. Das Motto war auch nicht wirklich neu. An der Roadshow in Dübendorf wollte man uns auch schon die Zukunft zeigen.

Aus unserer Sicht gab es somit nicht viel neues zu berichten und die Sessions waren eher schwach. Da unsere Erwartungen sehr hoch waren, sind wir daher eher entäuscht. Nichtsdestotrotz hat Sophos im Moment mit Endpoint (Intercept X), XG Firewall (nicht UTM), Central und Synchronized Security wirklich ein starkes Portfolio zusammen, welches zukünftig weiter entwickelt wird. An allen Ecken gibt es noch Optimierungspotential, aber die Richtig stimmt und das nehmen wir auch mit.

Neben den Sessions hatten wir noch einige gute Gespräche und haben unser Netzwerk erweitert. Unsere Imputs zu den Produkten wurden bei den richtigen Personen abgegeben und die Zusammenarbeit wurde gestärkt. Besonders freut uns jedoch, dass wir in Dubvronik jemanden kennen lernen durften, der unsere langjährige Idee umsetzen kann und die Avanet ein grosses Stück voran treiben wird. Mehr dazu im Q1-2019.