Zur Startseite gehen
0,00 €*

Sophos UTM Elevated 9.4 - mit Sophos Sandbox - Integration und zahlreichen Neuerungen

von: Sven Berger | 22. Februar 2016

Momentan noch als Beta-Version, doch schon bald produktiv einsetzbar hebt Sophos mit der UTM Elevated 9.4 die Sicherheit auf ein neues Niveau. Hier möchten wir auf einige Neuerungen eingehen und die neuen Möglichkeiten aufzeigen.

Sophos Sandstorm in UTM 9.4 from Sophos on Vimeo.

Highlights:

Erweiterter Zero-Day Schutz durch das Aufspüren von unerkannten Bedrohungen durch Sophos Sandstorm mit der neuen Cloud-Sandboxing Subscription (Achtung, die neue Subscription ist nicht im FullGuard Bundle bzw. TotalProtect enthalten und muss separat lizenziert werden.)
Neue Konfigurationsmöglichkeiten durch neue Funktion Benutzer und Gruppenbasierte Regeln zu definieren. Einbindung der neuen Sophos Hardware AP15C, RED15w, SG85 und SG85w ist ausschließlich mit UTM 9.4 möglich.

Definition von Sophos Sandstorm

  •  neue "Breach Detection Platform" im Sophos Portfolio
  • Cloud basierte NextGen Sandbox
  • erkennt, blockiert und reagiert auf unbekannte Bedrohungen (APT, ATA, 0-day usw.)
  • dynamische Malwareanalyse
  • gezielter Angriffsschutz, Transparenz und Analyse

Hinweis: Für die XG-Serie ist die Einführung von Sophos Sandstorm im Q4 2016 geplant

Was wird erreicht:

  • Angriffsanalyse
  • Angriffsschutz
  • Angriffssichtbarkeit

Wie funktioniert Sophos Sandboxing? 

Hier eine grobe Beschreibung der Funktionsweise:

Die vorhandene Schwarmintelligenz wird mit Sandboxing perfekt genutzt. Es erfolgt eine dynamische Analyse bspw. E-Mail mit bislang unbekannten Anhang geht ein (vergleichbar mit Anwender möchte Datei im Internet herunterladen). Bislang noch unbekannter Anhang wird von der UTM untersucht, es wird ein Hash-Wert erstellt, um festzustellen, ob die Datei schon untersucht wurde und welches Ergebnis erzielt wurde. Es kann somit direkt festgestellt werden, wie weiter verfahren wird und ob ein positives oder negatives Ergebnis vorliegt. Dabei gibt es drei Möglichtkeiten:

  1. Datei wurde schon einmal in der Sandbox überprüft, es befindet sich Schadcode darin, über Negativliste wird sichergestellt, dass Datei nicht zugestellt wird.
  2. Datei wurde überprüft und ist frei von Schadcode, ergibt einen positiven Wert, d.h. Datei wird an Anwender zugestellt.
  3. Datei noch gar nicht bekannt - Es wird eine Kopie der Datei an die Sophos Labs übertragen und dort in der Sandbox ausgeführt und auf Schadcode untersucht. Es erfolgt ein Prüfung gegenüber diversen Betriebssystemen (Windows, Mac OS, Android), Browsern es kann dann eine Aussage getroffen werden, ob Datei mit positiven oder negativen Ergebnis geprüft wurde. Auf Grundlage dessen, wird die Datei dem Anwender zur Verfügung gestellt oder bei Belastung die Zustellung verhindert. Gleichzeitig wird über entsprechende Datei ein Report erstellt, um den Administrator zu informieren. Dort wird dargestellt, welche schadhaften Segmente die Datei enthielt.

Wo wird es aktiviert?

Voraussetzung für die Aktivierung von Sophos Sandbox ist, dass als primäre AV-Engine die Sophos Engine ausgewählt wird. Sonst gibt es keine neuen Extra-Menüpunkte für Sophos Sandbox. Einstellungen erfolgt unter den betreffenden Menüpunkten der Web Protection u. E-Mail Protection

1. In der Web Protection über zusätzliche Aktivierung unter Web Protection/ Webfilter/ Policies/ Antivirus

2. In der E-Mail Protection kann Sandstorm über die Auswahl des Sandstorm-Häkchens unter SMTP/ Antivirus aktiviert werden.

Neuer Punkt auf Oberfläche "Advanced Protection" mit den bereichen "Advanced Threat Protection" und "Sophos Sandstorm" mit weiteren Informationen.

Unser Fazit: Sandstorm bietet eine zusätzliche, sehr sinnvolle Erweiterung der ohnehin schon gegebenen Sicherheit. Leider als zusätzliche Subscription und leider ist es auch nicht im FullGuard Bundle enthalten. Aber Sophos Sandstorm ist eine Investition in die Sicherheit, die sich für viele Unternehmen lohnen könnte. Interessant wäre wie sich Sophos Sandboxing auf die Performance der UTM auswirkt bzw. wie Sandboxing funktioniert, wenn das Unternehmen über eine eher geringe Bandbreite angeschlossen (Upload) ist und große Dateien verschickt werden. Wir werden diesbezüglich weitere Tests durchführen und hier berichten.

Weitere Highlights der neuen UTM Elevated 9.4:

  • Sophos Transparent Authentication Suite - die eine transparente Authentifizierung für Firewall und Applikatinsregeln gegen das AD ermöglicht.
  • WAF Persistent Session Cookies, die die Zusammenarbeit mit Webapplikationen und Serverfarmen verbessern.
  • IPv6 SSL VPN Support

Neue Sophos UTM-Hardware:

  • Sophos SG85 (SG 85) und SG85w (SG 85w) - die neue Einstiegsebene im Sophos UTM Bereich mit 8 GB Flash-Speicher, ohne Festplatte und vorerst nur einem integrierten Virenscanner (Sophos)
  • Sophos AP15C
  • Sophos RED15w WiFi Appliance

Quelle der Informationen: Sophos GmbH, vielen Dank!

Autor: Sven Berger

20+ Jahre IT-Sicherheits-Experte, Prokurist, Leitung des Bereichs IT-Sicherheit der ito consult GmbH/ UTMshop
Zertifizierungen: Dipl. Betriebswirt; Sophos Certified Architect

Produktgalerie überspringen

Zugehörige Produkte

Sophos RED 15w WiFi Appliance - RED15w
Sophos RED 15w WiFi Appliance - RED15w
Bitte beachten Sie das Nachfolgeprodukt, die Sophos SD-RED 20. Machen Sie aus jedem Standort einen sicheren Standort – mit unseren Remote Ethernet Devices (RED) Haben Sie Zweigstellen, Einzelhandelsstandorte oder weit abgelegene Außenstellen? Oder müssen Sie Ihre Netzwerksicherheit aus anderen Gründen einfach und bezahlbar über Ihren Hauptstandort hinaus ausweiten? Dann sind die Sophos Remote Ethernet Devices ideal für Sie. Mit ihrem einmalig einfachen Konzept und erschwinglichen Preis dienen unsere REDs als elegante Lösung zum Aufbau sicherer verteilter Netzwerke. Sophos RED15w WiFi Appliance mit einem Jahr Garantie. Das Gerät  wird mit einem Multi-Region Netzteil geliefert. Die perfekte Lösung für die kleine Außenstelle mit integriertem Access Point.   Technische Spezifikationen Vorderansicht Rückansicht   Physische Spezifikationen Gehäuse Massiver Stahl Montage Desktop Abmessungen (B x H x T) 165 x 34 x 134,8 mm Gewicht 600 g Leistungsaufnahme < 7 W Temperatur 0–40°C (Betrieb), -20–80°C (Lagerung) Luftfeuchtigkeit 10–90 % (Betrieb), 5–95 % (Lagerung), nicht kondensierend Unterstützung Sophos UTM Sophos XG Firewall Physische Schnittstellen LAN-Schnittstellen 4 x 10/100/1000 Base-TX WAN-Schnittstellen 1 x 10/100/1000 Base-TX USB-Schnittstellen 1 x USB 2.0 Serielle Konsole 1 x RJ45-Konsole LED-Anzeige Power, System, Router, Internet, Tunnel, 4 x LAN, WAN Stromversorgung 110–240 V, 50–60 Hz, max. 1,5 A Kapazität Maximale Benutzer Unbegrenzt Maximaler Durchsatz 90 MBit/s Wireless-Spezifikation Anzahl Antennen 2 externe MIMO-Funktionen 2x2:2 WLAN-Schnittstelle 802.11 a/b/g/n (2,4/5 GHz) Sicherheitsvorschriften Zertifizierungen CE, FCC, UL, IC, VCCI, MIC, CCC, SRRC, RCM Highlights Einfache Ausweitung Ihres sicheren Netzwerks auf beliebige Bereiche Drei Modelle, die für jede Bereitstellungsart geeignet sind: RED 15, 15w und RED 50 Die sicherste AES-256- Bit-Verschlüsselung Nahtloser Betrieb mit Sophos Wireless Access Points Der gleiche Schutz an allen Standorten oder individueller, bedarfsgerechter Schutz – Sie entscheiden Einfache Wartung mit automatischen Updates „Plug-and-Protect“-Bereitstellung Mit Sophos RED können Sie Ihr sicheres Netzwerk einfach auf andere Standorte ausweiten. Dafür ist kein technisches Fachwissen am Remotestandort erforderlich; geben Sie einfach die ID Ihres RED-Geräts in Ihre Sophos Appliance ein und schicken Sie das Gerät an den betreffenden Standort. Sobald das Gerät angeschlossen und mit dem Internet verbunden ist, stellt es eine Verbindung zu Ihrer Firewall her und baut einen sicheren Ethernet-Tunnel auf. Mehr ist nicht zu tun. Flexible Konfiguration Sie können Ihre REDs so einrichten, dass der gesamte Datenverkehr vom Remotestandort zurück an die Firewall getunnelt wird. So lassen sich DHCP und andere Netzwerkelemente des Remotenetzwerks kontrollieren. Oder Sie routen nur Netzwerkverkehr innerhalb des Standorts über RED und ermöglichen einen direkten Internetzugang vom Remotestandort. Sicherer verschlüsselter Tunnel Alle Daten zwischen dem RED und Ihrer Firewall werden unter Einhaltung strengster AES-256-Vorgaben verschlüsselt. So wird eine sichere Verbindung garantiert, die weder manipuliert noch von Hackern kompromittiert werden kann. Mit der Verschlüsselungsperformance unserer neuesten XG und SG Serie wird dieser Schutz zudem vollständig transparent. Einfache zentrale Verwaltung RED ist im Grunde nichts anderes als ein virtuelles Ethernet-Kabel, das Ihre Remotestandorte verbindet. Deshalb ist die zentrale Verwaltung Ihres verteilten Netzwerks so einfach wie die Verwaltung eines einzigen Standorts. Sie können entweder auf lokalen und Remote-Datenverkehr dieselben Firewall-, Internet- und sonstigen Sicherheitsrichtlinien anwenden oder individuelle Richtlinien für einzelne Standorte erstellen.
365,00 €*
Details
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung