Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 8 replies
  • Subscribers 0 subscribers
  • Views 1933 views
  • Users 0 members are here
Options
Suggested

[YOUR OPINION] Heartbeat or not?

RStokes
Hi All,

So I have been giving this some thinking, and one thought of reasoning I came up with:

If I have Sophos on the network doing AV, Anti Malware etc...

Then I have Sophos on the Endpoints... Basically it goes completely against the 'security in depth' principle.

I should in theory, for best protection be using Sophos Coperincus / UTM [ideally with dual engine], and then using something like Bitdefender on the Endpoints.

So I am thinking the Heartbeat has 10/10 for initial 'coolness', but it isnt truley 'security in depth'.

However, I would like to hear your opinions!

[The reason why asking is because I was going to migrate from SEC to Bitdefender - after research & trials, as an endpoint Bitdefender is far far superior to Sophos, but now the Heatbeat feature seriously does look good - I am re evaluating my desicion]
Parents
  • 0
    I trust the HB solution on some big customer or very dynamic env where people changes almost everyday and check health on their computer/mobile is very hard without a NAC product. In this way, Sophos can allows admin to secure their sensitive part of LAN, requiring that Sophos is installed. If you think about to VPN users where you cannot check their security level.... A nice feature can be a dissolvable agent (from Sophos NAC), pushed from UTM via browser or vpn client(when HB is set on High level) and run into computer RAM until the connection is on to check for virus, APT, malware, etc.... 
    Maybe Sophos can integrate another AV engine inside their appliance to add extra security when inside the LAN Sophos is the endpoint.
  • 0 in reply to lferrara
    "defense in depth", as the typical name for it in this region is more a recommendation than it is a mandatory requirement. There is definitely something to be said about the concept, but when you really think about the historic significance of the idea, it really originates from the banking world where paranoia about a software weakness trumps all.

    With the idea of "Heartbeat", it is about adding insight and depth to security; realising (like many other vendors such as FireEye and Checkpoint are finding out very late in the curve) - that network protection alone is insufficient if you lack visibility of where and how that traffic is being generated. Take into account a case where you have a masqueraded IP address, sitting behind a recently merged pair of companies. You have integrated the two at the hip and for cost efficiencies now have a single Internet connection. But a problem, you have another proxy on the other company, due to a need for special website handling to their Intranet. This means any threats reported by such a company are all reported as being from a single IP - that proxy server. You have no easy way of knowing what host the traffic came from, the application, user etc. - and thus no way of easily finding the source. This is a classic example that "defense in depth" fails to cater for effectively.

    I would agree that having a multi-vendor approach has advantages; particularly with zero-day exploits being a persistent threat, but by saying I only want Network Protection from vendor A, Antivirus from vendor B, Proxy from vendor C, firewall from vendor D is not only very disjointed and inefficient; but highly costly also for a business as scale discounts will be near impossible and keeping up with upgrades, training etc. darn near impossible.

    I would suggest thinking about the whole goal of security in a different light. Think of "defense in depth" in terms of depth of process, policy and technology; not just the vendor and software. I personally am glad to see more vendors realising the link needed between network and endpoint, and in Sophos's case - the recognition that user is the key to the castle.

    Instead of focusing on the technology, focus on things like user education, effective reporting and threat mitigation, improved understanding of traffic flows and content and thinking about how best to keep up with the ever changing threat landscape. Removing the capability of heartbeats, as the OP has discussed is like cutting off your leg to save a foot. Defense in depth is about being smart with your decision making, not simply saying the same vendor cannot be in two areas of the business (Microsoft anyone???).
  • 0 in reply to thatguy_dave
    Think of "defense in depth" in terms of depth of process, policy and technology; not just the vendor and software.


    Its great to get every ones opinions!

    I dont want 'moderate' free speech, lets try and keep this thread about the technology side of it - as its a technology forum! But you are right, Security in Depth is much more than just a vendors latest piece of software - thats what gave life to this thread in the first place.

    Its good to hear your views, and its a valid point, having differing vendors may increase detection rates - but will come at a higher cost [both administrative and financially].
Reply
  • 0 in reply to thatguy_dave
    Think of "defense in depth" in terms of depth of process, policy and technology; not just the vendor and software.


    Its great to get every ones opinions!

    I dont want 'moderate' free speech, lets try and keep this thread about the technology side of it - as its a technology forum! But you are right, Security in Depth is much more than just a vendors latest piece of software - thats what gave life to this thread in the first place.

    Its good to hear your views, and its a valid point, having differing vendors may increase detection rates - but will come at a higher cost [both administrative and financially].
Children
No Data
Unfiltered HTML