[YOUR OPINION] Heartbeat or not?

Hi RStokes,   I agree with you about security concern but in Utm you can choose avira as antivirus. Also with HB you can force endpoint to have SE otherwise they cannot access some LAN resources (dmz for ecample).  Sent from my iPhone using Astaro.org

What about Linux and MAC devices, that don't run Sophos antivirus software?

Ian

Sophos SEC supports all platform so they have to add SEC to project too!!!!

Sent from my iPhone using Astaro.org

Well I personally can't say I like HB so far,
I did everything according to the manual, but my Machines Heartbeat is not noticed by my UTM, so basically it doesn't work

If it works it seems heavily dependent on active Internet
Which also raises some Privacy and Security issues, which I can't entirely agree with

Well I personally can't say I like HB so far,
I did everything according to the manual, but my Machines Heartbeat is not noticed by my UTM, so basically it doesn't work

If it works it seems heavily dependent on active Internet
Which also raises some Privacy and Security issues, which I can't entirely agree with

Interesting to hear arguments for and against.

It will be interesting about the Security issues, as the weakest part of any security software is the console and pushing policy.

It does make me wonder about the management of endpoints from the cloud with Sophos, obviously it should be encrypted, but HOW? Is it a single shared certificate, or does each client have his / her own certificate for client / console communication?

I trust the HB solution on some big customer or very dynamic env where people changes almost everyday and check health on their computer/mobile is very hard without a NAC product. In this way, Sophos can allows admin to secure their sensitive part of LAN, requiring that Sophos is installed. If you think about to VPN users where you cannot check their security level.... A nice feature can be a dissolvable agent (from Sophos NAC), pushed from UTM via browser or vpn client(when HB is set on High level) and run into computer RAM until the connection is on to check for virus, APT, malware, etc.... 
Maybe Sophos can integrate another AV engine inside their appliance to add extra security when inside the LAN Sophos is the endpoint.

"defense in depth", as the typical name for it in this region is more a recommendation than it is a mandatory requirement. There is definitely something to be said about the concept, but when you really think about the historic significance of the idea, it really originates from the banking world where paranoia about a software weakness trumps all.

With the idea of "Heartbeat", it is about adding insight and depth to security; realising (like many other vendors such as FireEye and Checkpoint are finding out very late in the curve) - that network protection alone is insufficient if you lack visibility of where and how that traffic is being generated. Take into account a case where you have a masqueraded IP address, sitting behind a recently merged pair of companies. You have integrated the two at the hip and for cost efficiencies now have a single Internet connection. But a problem, you have another proxy on the other company, due to a need for special website handling to their Intranet. This means any threats reported by such a company are all reported as being from a single IP - that proxy server. You have no easy way of knowing what host the traffic came from, the application, user etc. - and thus no way of easily finding the source. This is a classic example that "defense in depth" fails to cater for effectively.

I would agree that having a multi-vendor approach has advantages; particularly with zero-day exploits being a persistent threat, but by saying I only want Network Protection from vendor A, Antivirus from vendor B, Proxy from vendor C, firewall from vendor D is not only very disjointed and inefficient; but highly costly also for a business as scale discounts will be near impossible and keeping up with upgrades, training etc. darn near impossible.

I would suggest thinking about the whole goal of security in a different light. Think of "defense in depth" in terms of depth of process, policy and technology; not just the vendor and software. I personally am glad to see more vendors realising the link needed between network and endpoint, and in Sophos's case - the recognition that user is the key to the castle.

Instead of focusing on the technology, focus on things like user education, effective reporting and threat mitigation, improved understanding of traffic flows and content and thinking about how best to keep up with the ever changing threat landscape. Removing the capability of heartbeats, as the OP has discussed is like cutting off your leg to save a foot. Defense in depth is about being smart with your decision making, not simply saying the same vendor cannot be in two areas of the business (Microsoft anyone???).

Think of "defense in depth" in terms of depth of process, policy and technology; not just the vendor and software.

Its great to get every ones opinions!

I dont want 'moderate' free speech, lets try and keep this thread about the technology side of it - as its a technology forum! But you are right, Security in Depth is much more than just a vendors latest piece of software - thats what gave life to this thread in the first place.

Its good to hear your views, and its a valid point, having differing vendors may increase detection rates - but will come at a higher cost [both administrative and financially].