Sophos Sandstorm - Hat schon jemand Erfahrungen damit?
Guten Morgen.
Da ich sehr gerne gewissen Problemem vorbeuge, dachte ich mir das ich einfach mal die Frage in die Runde stelle.
Meine Vorgesetzte hat mir heute Morgen mal ein Mail diesbezüglich weitergeleritet die sie von Sophos erhalten hat.
Einfach mal schreiben ob ihr schon praktische Erfahrungen damit habt oder was ihr so davon haltet.
Da ich sehr gerne gewissen Problemem vorbeuge, dachte ich mir das ich einfach mal die Frage in die Runde stelle.
Meine Vorgesetzte hat mir heute Morgen mal ein Mail diesbezüglich weitergeleritet die sie von Sophos erhalten hat.
Einfach mal schreiben ob ihr schon praktische Erfahrungen damit habt oder was ihr so davon haltet.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 313926
Url: https://administrator.de/contentid/313926
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
19 Kommentare
Neuester Kommentar
Hi.
Just another method to pull some more money out of the clients pocket.
If I'd like to have a "sandstorm", I rather go to the desert ;-p
Regards
Just another method to pull some more money out of the clients pocket.
If I'd like to have a "sandstorm", I rather go to the desert ;-p
Regards
Hi
Im Grunde ist das eine erweiterte Heuristik. Angeblich prüfen da Menschen die Datei manuell, wenn das System sagt, da könnte was sein.
Ob das stimmt... Weiss man nicht. Man sollte allerdings bedenken, das die Sache einen starken Upload benötigt. Sandstorm lädt ha allle Mails und Downloads erst mal in die Cloud. Bei mehreren Usern kann das schon stark belasten.
Und am Ende vom Tag ist das ganze auch nur eine kleine Marketing Masche im snakeoilmarkt ....
Im Grunde ist das eine erweiterte Heuristik. Angeblich prüfen da Menschen die Datei manuell, wenn das System sagt, da könnte was sein.
Ob das stimmt... Weiss man nicht. Man sollte allerdings bedenken, das die Sache einen starken Upload benötigt. Sandstorm lädt ha allle Mails und Downloads erst mal in die Cloud. Bei mehreren Usern kann das schon stark belasten.
Und am Ende vom Tag ist das ganze auch nur eine kleine Marketing Masche im snakeoilmarkt ....
Hallo Hendrik,
ich kann dir die Sophos UTM/SG ohne Sandstorm (ist zumindest momentan nicht automatisch aktiv/drin) empfehlen. Ich halte nichts von zu viel Public/Semi Private Clouds - kommt natürlich auf die IT-Strategie an und dementsprechend schau ich auch nach einer gewissen Unabhängigkeit meiner Systeme/Kunden.
Nicht desto trotz halte ich die Heuristik der SGs für sehr gut. Durch Sandstorm wird das outgesourced und wer weiss, was für Daten dabei herausgeblasen werden. (nicht, dass ich Sophos etwas unterstellen will, aber on premise ist eben immer noch sicherer als eine zentralisierte Datenhaltung).
Können uns darüber gerne per PN unterhalten.
VG,
Christian
ich kann dir die Sophos UTM/SG ohne Sandstorm (ist zumindest momentan nicht automatisch aktiv/drin) empfehlen. Ich halte nichts von zu viel Public/Semi Private Clouds - kommt natürlich auf die IT-Strategie an und dementsprechend schau ich auch nach einer gewissen Unabhängigkeit meiner Systeme/Kunden.
Nicht desto trotz halte ich die Heuristik der SGs für sehr gut. Durch Sandstorm wird das outgesourced und wer weiss, was für Daten dabei herausgeblasen werden. (nicht, dass ich Sophos etwas unterstellen will, aber on premise ist eben immer noch sicherer als eine zentralisierte Datenhaltung).
Können uns darüber gerne per PN unterhalten.
VG,
Christian
Hallo,
die Datenschutzfrage ist schon bei anderen Kunden von Sophos aufgekommen:
-> https://community.sophos.com/products/unified-threat-management/f/51/t/7 ...
-> https://www.bfdi.bund.de/bfdi_forum/showthread.php?t=6321
Es scheint die Vermutung im Raum zu stehen, dass die übertragenen Daten nicht gespeichert werden sondern im flüchtigen Arbeitsspeicher liegen der Sophos Cloud liegen. Desweitern werden die Daten wohl in die Niederlande bzw. USA zur Analyse geschickt. Es hängt von den DNS-Einstellungen und Standort der UTM/SG ab welches Rechenzentrum genau genutzt wird.
An sich finde ich so eine Sandbox-Lösung gar nicht schlecht...aber irgendwie habe ich trotzdem ein ungutes Gefühl jede "verdächtige" Datei in die Cloud zu schicken. Es wird keine Angabe darüber gemacht wie die Software eine Datei als verdächtig deklariert - ist eine Word-Datei per se verdächtig?! Es wird dadurch ja so gut wie jede Datei hochgeladen. Jede selbst erstellte Excel-Tabelle hat einen einzigartigen Hashwert und müsste deshalb zur Überprüfung hochgeladen werden.
Ich finde den Kontrollverlust über die Daten im Vergleich zum Nutzen dieser Lösung zu hoch - ich denke die Sicherheitsleistung des Virenscanners/IPS-Systems etc. auf der Geräten ist durchaus ausreichend.
die Datenschutzfrage ist schon bei anderen Kunden von Sophos aufgekommen:
-> https://community.sophos.com/products/unified-threat-management/f/51/t/7 ...
-> https://www.bfdi.bund.de/bfdi_forum/showthread.php?t=6321
Es scheint die Vermutung im Raum zu stehen, dass die übertragenen Daten nicht gespeichert werden sondern im flüchtigen Arbeitsspeicher liegen der Sophos Cloud liegen. Desweitern werden die Daten wohl in die Niederlande bzw. USA zur Analyse geschickt. Es hängt von den DNS-Einstellungen und Standort der UTM/SG ab welches Rechenzentrum genau genutzt wird.
An sich finde ich so eine Sandbox-Lösung gar nicht schlecht...aber irgendwie habe ich trotzdem ein ungutes Gefühl jede "verdächtige" Datei in die Cloud zu schicken. Es wird keine Angabe darüber gemacht wie die Software eine Datei als verdächtig deklariert - ist eine Word-Datei per se verdächtig?! Es wird dadurch ja so gut wie jede Datei hochgeladen. Jede selbst erstellte Excel-Tabelle hat einen einzigartigen Hashwert und müsste deshalb zur Überprüfung hochgeladen werden.
Ich finde den Kontrollverlust über die Daten im Vergleich zum Nutzen dieser Lösung zu hoch - ich denke die Sicherheitsleistung des Virenscanners/IPS-Systems etc. auf der Geräten ist durchaus ausreichend.
Hi,
Also wir nutzen die zwar Checkpoint Sandbox aber ich vermute mal das die alle nach dem selben Prinzip arbeiten.
Und zwar hat Checkpoint vorher genau analysiert wie sich eine normale Word-Datei verhält in ziemlich allen Variationen die es da so gibt.
Nun wird deine Datei hochgeladen und gestartet. Nun wird überprüft ob sich dein Word-Dokument so verhält wie erwartet. Wenn nicht wird sie nochmal nen Tacken länger analysiert und ggf. blockiert.
Bei Word, Excel und co ist das ja noch einfach schwieriger sind dann schon .exe oder ähnliches. Weil diese Dateien können ja schon mal was löschen was ja auch so gewünscht ist.
Und zum Thema Virenscanner der hatte bei uns weder beim Proxy oder aufm dem System angeschlagen als ein Crypto-Trojaner über eine swf-Datei eingeschleust worden ist. Welche wohl über eine manipulierte Werbung kam.
Gruß
Smiley
Zitat von @Philipp711:
An sich finde ich so eine Sandbox-Lösung gar nicht schlecht...aber irgendwie habe ich trotzdem ein ungutes Gefühl jede "verdächtige" Datei in die Cloud zu schicken. Es wird keine Angabe darüber gemacht wie die Software eine Datei als verdächtig deklariert - ist eine Word-Datei per se verdächtig?! Es wird dadurch ja so gut wie jede Datei hochgeladen. Jede selbst erstellte Excel-Tabelle hat einen einzigartigen Hashwert und müsste deshalb zur Überprüfung hochgeladen werden.
An sich finde ich so eine Sandbox-Lösung gar nicht schlecht...aber irgendwie habe ich trotzdem ein ungutes Gefühl jede "verdächtige" Datei in die Cloud zu schicken. Es wird keine Angabe darüber gemacht wie die Software eine Datei als verdächtig deklariert - ist eine Word-Datei per se verdächtig?! Es wird dadurch ja so gut wie jede Datei hochgeladen. Jede selbst erstellte Excel-Tabelle hat einen einzigartigen Hashwert und müsste deshalb zur Überprüfung hochgeladen werden.
Also wir nutzen die zwar Checkpoint Sandbox aber ich vermute mal das die alle nach dem selben Prinzip arbeiten.
Und zwar hat Checkpoint vorher genau analysiert wie sich eine normale Word-Datei verhält in ziemlich allen Variationen die es da so gibt.
Nun wird deine Datei hochgeladen und gestartet. Nun wird überprüft ob sich dein Word-Dokument so verhält wie erwartet. Wenn nicht wird sie nochmal nen Tacken länger analysiert und ggf. blockiert.
Bei Word, Excel und co ist das ja noch einfach schwieriger sind dann schon .exe oder ähnliches. Weil diese Dateien können ja schon mal was löschen was ja auch so gewünscht ist.
Und zum Thema Virenscanner der hatte bei uns weder beim Proxy oder aufm dem System angeschlagen als ein Crypto-Trojaner über eine swf-Datei eingeschleust worden ist. Welche wohl über eine manipulierte Werbung kam.
Gruß
Smiley
Zitat von @Smileychen:
Hi,
Also wir nutzen die zwar Checkpoint Sandbox aber ich vermute mal das die alle nach dem selben Prinzip arbeiten.
Und zwar hat Checkpoint vorher genau analysiert wie sich eine normale Word-Datei verhält in ziemlich allen Variationen die es da so gibt.
Nun wird deine Datei hochgeladen und gestartet. Nun wird überprüft ob sich dein Word-Dokument so verhält wie erwartet. Wenn nicht wird sie nochmal nen Tacken länger analysiert und ggf. blockiert.
Bei Word, Excel und co ist das ja noch einfach schwieriger sind dann schon .exe oder ähnliches. Weil diese Dateien können ja schon mal was löschen was ja auch so gewünscht ist.
Und zum Thema Virenscanner der hatte bei uns weder beim Proxy oder aufm dem System angeschlagen als ein Crypto-Trojaner über eine swf-Datei eingeschleust worden ist. Welche wohl über eine manipulierte Werbung kam.
Gruß
Smiley
Hi,
Also wir nutzen die zwar Checkpoint Sandbox aber ich vermute mal das die alle nach dem selben Prinzip arbeiten.
Und zwar hat Checkpoint vorher genau analysiert wie sich eine normale Word-Datei verhält in ziemlich allen Variationen die es da so gibt.
Nun wird deine Datei hochgeladen und gestartet. Nun wird überprüft ob sich dein Word-Dokument so verhält wie erwartet. Wenn nicht wird sie nochmal nen Tacken länger analysiert und ggf. blockiert.
Bei Word, Excel und co ist das ja noch einfach schwieriger sind dann schon .exe oder ähnliches. Weil diese Dateien können ja schon mal was löschen was ja auch so gewünscht ist.
Und zum Thema Virenscanner der hatte bei uns weder beim Proxy oder aufm dem System angeschlagen als ein Crypto-Trojaner über eine swf-Datei eingeschleust worden ist. Welche wohl über eine manipulierte Werbung kam.
Gruß
Smiley
Ja vom Grundprinzip ist das wie gesagt ne feine Sache! Aber ich weiß ja nicht was sich die Jungs da drüben noch so alles einfallen lassen. Zumindest kann das Marketing erst mal viel erzählen bzw. auch genauso viel verschweigen.
Stell dir vor der Bundestag setzt ne Sophos mit Sandstorm ein und die Amis grätschen reihenweise Informationen ab...mehr oder weniger unbemerkt weil das "Spionagegerät" selbst beschafft wurde. Nennt mich Schizophren aber könnte mir das bei den letzten Skandalen schon vorstellen.
Klar man muss abwägen...denke das sophos das abmahnungsschreiben von Mitarbeiter xy eines kleinen Mittelständlers nicht interessiert - trotzd m blöd wenn das Ding dann evtl. irgendwo in Amerika oder in einem RZ in Deutschland liegt.
Hallo Hendrik,
wir haben das bei uns ca. 3 Monate lang getestet und sind nun zu dem Ergebnis gekommen, dass Sandstorm kein ausgereiftes Feature ist und haben es daher wieder abgeschaltet.
Die Endanwender waren schwer zu überzeugen, dass Wartezeiten beim PDF-Download (auch geringe Größen) bei bis zu 20 Minuten lagen.
Des Weiteren ist das Logging u.ä. komplett unbrauchbar gewesen. Das Reporting zeigte teilweise falsche Zahlen an und es fehlten einige Infos.
Anpassungsmöglichkeiten der Texte/Darstellung gab es keine.
Eine Konfiguration ist generell eigentlich gar nicht vorhanden, es gibt nur "an" oder "aus" (unterscheidbar zwischen Web und Mail). Einzelsettings für Dokumententypen (docx, xlsx, pdf, usw.) gab es nicht.
Dann kam es noch zu einem Problem beim Versand von einem kleinen "Newsletter": Einige Mails wurden erst mehrere Tage später zugestellt, da Sandstorm mit der Analyse beschäftigt war. Logs waren auch hier nicht hilfreich.
Alles in allem fühlten wir uns wie ein Betatester, wenn überhaupt....
Erkannt wurde auch nie etwas...aber das mag auch daran liegen, dass die meisten Dinge bereits vorher ausgefiltert wurden.
Von daher....sinnlose aus unserer Sicht.
Ansonsten ist die UTM eine gute Appliance.
Gruß, Stefan
wir haben das bei uns ca. 3 Monate lang getestet und sind nun zu dem Ergebnis gekommen, dass Sandstorm kein ausgereiftes Feature ist und haben es daher wieder abgeschaltet.
Die Endanwender waren schwer zu überzeugen, dass Wartezeiten beim PDF-Download (auch geringe Größen) bei bis zu 20 Minuten lagen.
Des Weiteren ist das Logging u.ä. komplett unbrauchbar gewesen. Das Reporting zeigte teilweise falsche Zahlen an und es fehlten einige Infos.
Anpassungsmöglichkeiten der Texte/Darstellung gab es keine.
Eine Konfiguration ist generell eigentlich gar nicht vorhanden, es gibt nur "an" oder "aus" (unterscheidbar zwischen Web und Mail). Einzelsettings für Dokumententypen (docx, xlsx, pdf, usw.) gab es nicht.
Dann kam es noch zu einem Problem beim Versand von einem kleinen "Newsletter": Einige Mails wurden erst mehrere Tage später zugestellt, da Sandstorm mit der Analyse beschäftigt war. Logs waren auch hier nicht hilfreich.
Alles in allem fühlten wir uns wie ein Betatester, wenn überhaupt....
Erkannt wurde auch nie etwas...aber das mag auch daran liegen, dass die meisten Dinge bereits vorher ausgefiltert wurden.
Von daher....sinnlose aus unserer Sicht.
Ansonsten ist die UTM eine gute Appliance.
Gruß, Stefan
Moin,
auch wenn das Thema schon als gelöst markiert ist, muss ich meinem Mitteilungsdrang noch etwas Luft machen
Wir nutzen ATD von Barracuda und sind sehr zufrieden damit. Datenschutzrechtlich ist das natürlich bedenklich, aber das nehme ich für uns im Sinne einer erhöhten Sicherheit in Kauf.
Nachteil ist, dass der Download dann teils recht lange dauert. Kann ein Problem sein, muss aber nicht. Das Gute daran ist, dass es die User teils von unsinnigen Downloads abhält (Boah, das dauert mir zu lange, lad ich jetzt mal nicht runter). Was sie aber nicht daran hindert, den Download u.U. zuhause anzuschubsen und per USB in das Unternehmen zu tragen... Minimiert das Risiko aber schon mal etwas. Nachjustieren müssen wirst Du in jedem Fall, bei uns sind z.B. PDFs von der "Erst-scannen-dann-zustellen-Regel" ausgeschlossen, da immer mal wieder schnell eine Anleitung o.ä. benötigt wird, das ist für die Arbeit dann eher hinderlich, wenn der Download so lange dauert. Ebenso sind mutmaßlich sichere Downloads (Herstellerseiten / Microsoft Updates) auf eine Whitelist gesetzt, die werden bestenfalls im Nachhinein gescannt.
Tipp wegen Cryptolocker und Co: SPF aktivieren (ganz wichtig) und die Zustellung von Word-Dokumenten per Mail blockieren. Damit hast Du schon mal ne ganze Ecke weniger Probleme, ohne Sandboxing zu nutzen!
Gruß
auch wenn das Thema schon als gelöst markiert ist, muss ich meinem Mitteilungsdrang noch etwas Luft machen
Wir nutzen ATD von Barracuda und sind sehr zufrieden damit. Datenschutzrechtlich ist das natürlich bedenklich, aber das nehme ich für uns im Sinne einer erhöhten Sicherheit in Kauf.
Nachteil ist, dass der Download dann teils recht lange dauert. Kann ein Problem sein, muss aber nicht. Das Gute daran ist, dass es die User teils von unsinnigen Downloads abhält (Boah, das dauert mir zu lange, lad ich jetzt mal nicht runter). Was sie aber nicht daran hindert, den Download u.U. zuhause anzuschubsen und per USB in das Unternehmen zu tragen... Minimiert das Risiko aber schon mal etwas. Nachjustieren müssen wirst Du in jedem Fall, bei uns sind z.B. PDFs von der "Erst-scannen-dann-zustellen-Regel" ausgeschlossen, da immer mal wieder schnell eine Anleitung o.ä. benötigt wird, das ist für die Arbeit dann eher hinderlich, wenn der Download so lange dauert. Ebenso sind mutmaßlich sichere Downloads (Herstellerseiten / Microsoft Updates) auf eine Whitelist gesetzt, die werden bestenfalls im Nachhinein gescannt.
Tipp wegen Cryptolocker und Co: SPF aktivieren (ganz wichtig) und die Zustellung von Word-Dokumenten per Mail blockieren. Damit hast Du schon mal ne ganze Ecke weniger Probleme, ohne Sandboxing zu nutzen!
Gruß