hendrik2586
Goto Top

Sophos Sandstorm - Hat schon jemand Erfahrungen damit?

Guten Morgen. face-smile
Da ich sehr gerne gewissen Problemem vorbeuge, dachte ich mir das ich einfach mal die Frage in die Runde stelle.
Meine Vorgesetzte hat mir heute Morgen mal ein Mail diesbezüglich weitergeleritet die sie von Sophos erhalten hat.

Einfach mal schreiben ob ihr schon praktische Erfahrungen damit habt oder was ihr so davon haltet.

Content-ID: 313926

Url: https://administrator.de/contentid/313926

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

michi1983
michi1983 30.08.2016 um 08:51:03 Uhr
Goto Top
Auch kein Hallo,

nein.

Auch kein Gruß
Hendrik2586
Hendrik2586 30.08.2016 um 08:53:16 Uhr
Goto Top
ich Grüße dich aber. face-smile

Schade dann wünsche ich dir aber trotzdem noch einen schönen Tag. face-smile
129813
129813 30.08.2016 aktualisiert um 09:20:30 Uhr
Goto Top
Hi.
Just another method to pull some more money out of the clients pocket.

If I'd like to have a "sandstorm", I rather go to the desert ;-p

Regards
Hendrik2586
Hendrik2586 30.08.2016 um 09:45:28 Uhr
Goto Top
Thanks for this answer. :P
Dirmhirn
Dirmhirn 30.08.2016 um 10:15:40 Uhr
Goto Top
Hi,

gestern oder so gab's einen Thread zu Avira. Hier waren die Kunden von der Cloud beim Virenscanner auch nicht so begeistert und jetzt wird doch wieder eine Cloud-Freie-Lösung gebastelt...

sg Dirm
Hendrik2586
Hendrik2586 30.08.2016 um 10:30:45 Uhr
Goto Top
Eigentlich ist die Lösung gar nicht so schlecht. In diesem Fall wird ja nur der Mail Inhalt (Also Dateien) hochgeladen und dort in einer VM entpackt um zu testen was sich dort drin befindet. Also ein Automatismus den man auch vor Ort einsetzen könnte. Wäre eben nur Zeitaufwendig.
SeaStorm
SeaStorm 30.08.2016 um 10:57:32 Uhr
Goto Top
Hi

Im Grunde ist das eine erweiterte Heuristik. Angeblich prüfen da Menschen die Datei manuell, wenn das System sagt, da könnte was sein.
Ob das stimmt... Weiss man nicht. Man sollte allerdings bedenken, das die Sache einen starken Upload benötigt. Sandstorm lädt ha allle Mails und Downloads erst mal in die Cloud. Bei mehreren Usern kann das schon stark belasten.
Und am Ende vom Tag ist das ganze auch nur eine kleine Marketing Masche im snakeoilmarkt ....
Hendrik2586
Hendrik2586 30.08.2016 um 11:10:14 Uhr
Goto Top
Seastorm diese Befürchtung habe ich auch. Daher bin ich gerade mal dabei den ganzen Mailveraluf mit Anhängen zu checken.

Gibt es denn gute alternativen?! Ich hab keinen Bock auf so ein Crypt Teil.
certifiedit.net
certifiedit.net 30.08.2016 um 15:14:34 Uhr
Goto Top
Hallo Hendrik,

ich kann dir die Sophos UTM/SG ohne Sandstorm (ist zumindest momentan nicht automatisch aktiv/drin) empfehlen. Ich halte nichts von zu viel Public/Semi Private Clouds - kommt natürlich auf die IT-Strategie an und dementsprechend schau ich auch nach einer gewissen Unabhängigkeit meiner Systeme/Kunden.

Nicht desto trotz halte ich die Heuristik der SGs für sehr gut. Durch Sandstorm wird das outgesourced und wer weiss, was für Daten dabei herausgeblasen werden. (nicht, dass ich Sophos etwas unterstellen will, aber on premise ist eben immer noch sicherer als eine zentralisierte Datenhaltung).

Können uns darüber gerne per PN unterhalten.

VG,

Christian
Philipp711
Philipp711 30.08.2016 um 15:48:13 Uhr
Goto Top
Hallo,

die Datenschutzfrage ist schon bei anderen Kunden von Sophos aufgekommen:

-> https://community.sophos.com/products/unified-threat-management/f/51/t/7 ...

-> https://www.bfdi.bund.de/bfdi_forum/showthread.php?t=6321

Es scheint die Vermutung im Raum zu stehen, dass die übertragenen Daten nicht gespeichert werden sondern im flüchtigen Arbeitsspeicher liegen der Sophos Cloud liegen. Desweitern werden die Daten wohl in die Niederlande bzw. USA zur Analyse geschickt. Es hängt von den DNS-Einstellungen und Standort der UTM/SG ab welches Rechenzentrum genau genutzt wird.

An sich finde ich so eine Sandbox-Lösung gar nicht schlecht...aber irgendwie habe ich trotzdem ein ungutes Gefühl jede "verdächtige" Datei in die Cloud zu schicken. Es wird keine Angabe darüber gemacht wie die Software eine Datei als verdächtig deklariert - ist eine Word-Datei per se verdächtig?! Es wird dadurch ja so gut wie jede Datei hochgeladen. Jede selbst erstellte Excel-Tabelle hat einen einzigartigen Hashwert und müsste deshalb zur Überprüfung hochgeladen werden.

Ich finde den Kontrollverlust über die Daten im Vergleich zum Nutzen dieser Lösung zu hoch - ich denke die Sicherheitsleistung des Virenscanners/IPS-Systems etc. auf der Geräten ist durchaus ausreichend.
Smileychen
Smileychen 30.08.2016 um 17:25:10 Uhr
Goto Top
Hi,
Zitat von @Philipp711:

An sich finde ich so eine Sandbox-Lösung gar nicht schlecht...aber irgendwie habe ich trotzdem ein ungutes Gefühl jede "verdächtige" Datei in die Cloud zu schicken. Es wird keine Angabe darüber gemacht wie die Software eine Datei als verdächtig deklariert - ist eine Word-Datei per se verdächtig?! Es wird dadurch ja so gut wie jede Datei hochgeladen. Jede selbst erstellte Excel-Tabelle hat einen einzigartigen Hashwert und müsste deshalb zur Überprüfung hochgeladen werden.


Also wir nutzen die zwar Checkpoint Sandbox aber ich vermute mal das die alle nach dem selben Prinzip arbeiten.
Und zwar hat Checkpoint vorher genau analysiert wie sich eine normale Word-Datei verhält in ziemlich allen Variationen die es da so gibt.
Nun wird deine Datei hochgeladen und gestartet. Nun wird überprüft ob sich dein Word-Dokument so verhält wie erwartet. Wenn nicht wird sie nochmal nen Tacken länger analysiert und ggf. blockiert.

Bei Word, Excel und co ist das ja noch einfach schwieriger sind dann schon .exe oder ähnliches. Weil diese Dateien können ja schon mal was löschen was ja auch so gewünscht ist.

Und zum Thema Virenscanner der hatte bei uns weder beim Proxy oder aufm dem System angeschlagen als ein Crypto-Trojaner über eine swf-Datei eingeschleust worden ist. Welche wohl über eine manipulierte Werbung kam.

Gruß
Smiley
certifiedit.net
certifiedit.net 30.08.2016 um 17:39:29 Uhr
Goto Top
Hi Smiley,

ich würde die Checkpoint aber auch nicht auf dem Niveau einer Sophos SG ansetzen. (Lassen wir die Cloud mal außen vor).

VG
Smileychen
Smileychen 30.08.2016 um 17:51:41 Uhr
Goto Top
Hi,

hatte ich auch nicht vor. Wollte nur Philipp aufzeigen wie das vermutlich auch bei Sophos abläuft mit der Sandbox.

Gruß
certifiedit.net
certifiedit.net 30.08.2016 um 18:09:03 Uhr
Goto Top
Kein Angriff, nur eine Ergänzung. face-smile
Smileychen
Smileychen 30.08.2016 um 18:12:39 Uhr
Goto Top
Keine Sorge. Hatte ich nicht so aufgefasst face-smile
Philipp711
Philipp711 30.08.2016 um 19:13:48 Uhr
Goto Top
Zitat von @Smileychen:

Hi,

Also wir nutzen die zwar Checkpoint Sandbox aber ich vermute mal das die alle nach dem selben Prinzip arbeiten.
Und zwar hat Checkpoint vorher genau analysiert wie sich eine normale Word-Datei verhält in ziemlich allen Variationen die es da so gibt.
Nun wird deine Datei hochgeladen und gestartet. Nun wird überprüft ob sich dein Word-Dokument so verhält wie erwartet. Wenn nicht wird sie nochmal nen Tacken länger analysiert und ggf. blockiert.

Bei Word, Excel und co ist das ja noch einfach schwieriger sind dann schon .exe oder ähnliches. Weil diese Dateien können ja schon mal was löschen was ja auch so gewünscht ist.

Und zum Thema Virenscanner der hatte bei uns weder beim Proxy oder aufm dem System angeschlagen als ein Crypto-Trojaner über eine swf-Datei eingeschleust worden ist. Welche wohl über eine manipulierte Werbung kam.

Gruß
Smiley

Ja vom Grundprinzip ist das wie gesagt ne feine Sache! Aber ich weiß ja nicht was sich die Jungs da drüben noch so alles einfallen lassen. Zumindest kann das Marketing erst mal viel erzählen bzw. auch genauso viel verschweigen.

Stell dir vor der Bundestag setzt ne Sophos mit Sandstorm ein und die Amis grätschen reihenweise Informationen ab...mehr oder weniger unbemerkt weil das "Spionagegerät" selbst beschafft wurde. Nennt mich Schizophren aber könnte mir das bei den letzten Skandalen schon vorstellen.

Klar man muss abwägen...denke das sophos das abmahnungsschreiben von Mitarbeiter xy eines kleinen Mittelständlers nicht interessiert - trotzd m blöd wenn das Ding dann evtl. irgendwo in Amerika oder in einem RZ in Deutschland liegt.
certifiedit.net
certifiedit.net 30.08.2016 um 19:24:02 Uhr
Goto Top
..und jetzt Spinnen wir das Spiel mal mit Office 365 und allen anderen Clouddiensten weiter...

Wobei man es in der Sophos nicht aktivieren muss. Was für mich zum Beispiel ein Pro Punkt ist.
stefann
stefann 31.08.2016 um 09:32:16 Uhr
Goto Top
Hallo Hendrik,

wir haben das bei uns ca. 3 Monate lang getestet und sind nun zu dem Ergebnis gekommen, dass Sandstorm kein ausgereiftes Feature ist und haben es daher wieder abgeschaltet.
Die Endanwender waren schwer zu überzeugen, dass Wartezeiten beim PDF-Download (auch geringe Größen) bei bis zu 20 Minuten lagen.
Des Weiteren ist das Logging u.ä. komplett unbrauchbar gewesen. Das Reporting zeigte teilweise falsche Zahlen an und es fehlten einige Infos.
Anpassungsmöglichkeiten der Texte/Darstellung gab es keine.
Eine Konfiguration ist generell eigentlich gar nicht vorhanden, es gibt nur "an" oder "aus" (unterscheidbar zwischen Web und Mail). Einzelsettings für Dokumententypen (docx, xlsx, pdf, usw.) gab es nicht.

Dann kam es noch zu einem Problem beim Versand von einem kleinen "Newsletter": Einige Mails wurden erst mehrere Tage später zugestellt, da Sandstorm mit der Analyse beschäftigt war. Logs waren auch hier nicht hilfreich.

Alles in allem fühlten wir uns wie ein Betatester, wenn überhaupt....
Erkannt wurde auch nie etwas...aber das mag auch daran liegen, dass die meisten Dinge bereits vorher ausgefiltert wurden.
Von daher....sinnlose aus unserer Sicht.
Ansonsten ist die UTM eine gute Appliance.

Gruß, Stefan
Coreknabe
Coreknabe 31.08.2016 um 09:34:09 Uhr
Goto Top
Moin,

auch wenn das Thema schon als gelöst markiert ist, muss ich meinem Mitteilungsdrang noch etwas Luft machen face-wink

Wir nutzen ATD von Barracuda und sind sehr zufrieden damit. Datenschutzrechtlich ist das natürlich bedenklich, aber das nehme ich für uns im Sinne einer erhöhten Sicherheit in Kauf.

Nachteil ist, dass der Download dann teils recht lange dauert. Kann ein Problem sein, muss aber nicht. Das Gute daran ist, dass es die User teils von unsinnigen Downloads abhält (Boah, das dauert mir zu lange, lad ich jetzt mal nicht runter). Was sie aber nicht daran hindert, den Download u.U. zuhause anzuschubsen und per USB in das Unternehmen zu tragen... Minimiert das Risiko aber schon mal etwas. Nachjustieren müssen wirst Du in jedem Fall, bei uns sind z.B. PDFs von der "Erst-scannen-dann-zustellen-Regel" ausgeschlossen, da immer mal wieder schnell eine Anleitung o.ä. benötigt wird, das ist für die Arbeit dann eher hinderlich, wenn der Download so lange dauert. Ebenso sind mutmaßlich sichere Downloads (Herstellerseiten / Microsoft Updates) auf eine Whitelist gesetzt, die werden bestenfalls im Nachhinein gescannt.

Tipp wegen Cryptolocker und Co: SPF aktivieren (ganz wichtig) und die Zustellung von Word-Dokumenten per Mail blockieren. Damit hast Du schon mal ne ganze Ecke weniger Probleme, ohne Sandboxing zu nutzen!

Gruß