Sophos Discover Conference 2017

Voor de tweede keer hebben we de eer gehad om deel te nemen aan de jaarlijkse Sophos Discover Conference. Dit jaar vond dit bijzondere evenement plaats in Lissabon. Deelname is uitsluitend op uitnodiging voor geselecteerde Sophos-partners uit de EMEA-regio (Europa, Midden-Oosten en Afrika), afkomstig uit in totaal 116 landen.

Langs deze weg een grote dankjewel aan Sophos Zwitserland en in het bijzonder aan “Q”, onze accountmanager. 🙂

Vorig jaar hadden we geen tijd om erover te schrijven, dus dit jaar geven we jullie een korte samenvatting van de hoogtepunten. Als we er in 2018 weer bij mogen zijn, zullen we jullie direct vanaf het evenement over de nieuwigheden informeren.

Op de Sophos Discover Conference presenteert Sophos de plannen voor het komende jaar en daarna. Dit jaar draaide alles om Next-Generation Security, met drie centrale thema’s: Intercept X, Synchronized Security en de XG Firewall.

Intercept X

Intercept X - jullie herinneren je vast onze eerdere blogpost - is dé Sophos-oplossing tegen nieuwe en onbekende dreigingen. Tot nu toe werd het product vooral als ransomwarebescherming gepositioneerd, maar in feite kan het veel meer. Het beschermt nu ook tegen een nieuwe categorie dreigingen: exploits.

Een exploit is kwaadaardige software die data of uitvoerbare code bevat waarmee kwetsbaarheden in computerprogramma’s kunnen worden misbruikt.

Stel je voor dat op je computer een programma draait met een kwetsbaarheid die het mogelijk maakt om willekeurige code op je systeem uit te voeren. Dat betekent dat zonder problemen data kan worden gestolen, wachtwoorden kunnen worden uitgelezen of andere computers in het netwerk kunnen worden geïnfecteerd. Deze aanvallen verlopen volledig geautomatiseerd en zijn voor de gebruiker onzichtbaar.

Intercept X kan bescherming bieden tegen deze nieuwe typen dreigingen zoals “WannaCry”, “Locky”, “Cerber”, “Goldeneye” en dergelijke. Door de recente overname door Sophos van het bedrijf “Invincea” wordt Intercept X nog krachtiger. Een update brengt machine-learningtechnologie naar de endpointbescherming.

Ik ga er even van uit dat niet iedereen direct scherp heeft wat machine learning in endpointbescherming precies betekent. Traditionele antivirusprogramma’s (McAfee, Kaspersky, Avira, enz.) werken met signatuurgebaseerde detectie. Dat wil zeggen: de malware moet eerder al eens ontdekt zijn voordat een antivirusprogramma deze kan herkennen. Deze methode zal vermoedelijk tegen het einde van dit jaar achterhaald zijn. Hier komt machine learning om de hoek kijken: het systeem bepaalt autonoom of iets goedaardig of kwaadaardig is. Hoe de techniek in detail werkt, kun je nalezen in mijn artikel “Machine Learning: Sophos zet in op kunstmatige intelligentie”.

Als bij jullie dus nog geen Intercept X is geïnstalleerd, wacht dan niet langer en zorg dat je het in huis haalt! Een klassieke antivirus volstaat tegenwoordig simpelweg niet meer.

We willen hierbij nog benadrukken dat Sophos niet het enige bedrijf is dat machine learning inzet om schadelijke software te herkennen. Bedrijven als Malwarebytes of Cylance doen dit ook. Waarom kiezen wij dan toch voor Sophos? Dat is de perfecte brug naar het volgende onderwerp: “Synchronized Security”.

Synchronized Security

Een goede endpointbescherming aanbieden, die zelfs beschikt over machine-learningtechnologie zoals bij Cylance of Malwarebytes, is naar onze mening maar de helft van het werk. Wat wij zo waarderen aan Sophos, is de heldere visie op de toekomst en het feit dat die visie vanaf het begin volledig is doordacht. Waar Sophos een voorsprong heeft op alle concurrenten, is Synchronized Security. Sophos heeft eerder dan wie ook ingezien dat het voor de toekomst absoluut noodzakelijk is dat beveiligingssystemen met elkaar communiceren om uitgebreide bescherming te bieden.

Eenvoudig gezegd was een firewall tot nu toe vooral bedoeld om verkeer toe te staan of te blokkeren. De antivirus moest malware op de client detecteren en blokkeren. De firewall wist dus niet wat de antivirus deed en omgekeerd.

Met Synchronized Security vindt er communicatie plaats tussen de Sophos-producten. Sophos noemt dat de “Security Heartbeat”. Als je bijvoorbeeld een XG Firewall hebt en op de endpoint Sophos Central gebruikt, kunnen gegevens onderling worden uitgewisseld.

Tot nu toe waren scenario’s mogelijk waarbij de XG Firewall het verkeer van een geïnfecteerde client naar de fileserver blokkeerde. In de toekomst zijn er echter veel meer mogelijkheden, omdat ook producten zoals access points, Sophos File Encryption of mobiele apparaten kunnen worden geïntegreerd.

Jullie kunnen je vast voorstellen wat je daar allemaal mee kunt doen. We zullen in de toekomst zeker een aantal van zulke scenario’s op het juiste moment presenteren.

Geen enkele andere fabrikant biedt Synchronized Security in zo’n volwassen vorm als Sophos dat doet. Als gecertificeerde Sophos Synchronized Security Partner weten wij uiteraard hoe belangrijk dit onderwerp is.

XG Firewall

Het derde grote thema was de XG Firewall. Als jullie ons al langer volgen, weten jullie dat we in het begin moeite hadden om daar warm voor te lopen. Dat komt doordat de eerste versie van SFOS, diplomatiek gezegd, “niet erg goed” was.

Met v16 en 16.05 is er inmiddels veel verbeterd, maar het is nog steeds niet helemaal perfect. Op bepaalde punten is er nog werk aan de winkel. Al vóór de conferentie hadden we het genoegen de “Sophos Firewall Release Manager” te ontmoeten, die ons een persoonlijke sneak preview gaf. Voordat v17 in september verschijnt, worden er nog de nodige verbeteringen doorgevoerd.

De volgende features mogen we van v17 verwachten:

Verbeterde applicatieherkenning via Heartbeat: XG ziet de processen op de endpoint.
Verbeterde Log Viewer: alle logs doorzoeken en filteren met een betere weergave (eindelijk!).
Overzichtelijkere firewallregels, inclusief groeperingen.
Webpolicytest en snellere contentfiltering.
Verbeteringen rondom spambescherming.

En wat komt er verder nog?

Nieuwe hardwarerevisie (update) die 20% meer performance zal bieden (nog in 2017).
In 2018 volgt compleet nieuwe hardware met een verdubbeling van de performance.
Cloud-apps controleren (omdat steeds meer applicaties in de browser draaien).
IoT-devices worden een steeds groter thema, ook daarvoor komen oplossingen.

En hoe zit het met Sophos SG of UTM? Daar moeten we jullie helaas teleurstellen, want daarover was geen nieuws te melden - wat ook een duidelijk signaal is voor de toekomst.

Momenteel zetten we incidenteel al in op XG. Bij grotere projecten gebruiken we echter nog steeds de UTM (afhankelijk van de eisen). Vanaf september, zodra v17 beschikbaar is, zal XG voor ons de eerste keuze zijn. Als je over SG-hardware beschikt, is er echter een gratis update naar SFOS beschikbaar. Dus al met al valt het reuze mee.