Malvertising still getting through.

This will be a first for me on this forum, this is NOT a complaint, but rather just an observation.

I am punishing this eval unit best I can, throwing everything at it, which includes dual AV, all IPS (Snort) options with no time limit, and also enabling file patterns.

Had user (limited) approach me today that they had an unknown security message. It was a fake antivirus message from "Microsoft" about needing to clean a virus. Luckily they were savvy enough to alert me without clicking.

I can't honestly say what would have occurred had they clicked it (hopefully nothing in my environment), I just find it somewhat disconcerting that with all these layers, these things still blow through.

This was coming from a .blue domain in an ad on FoxNews homepage. Here's what it went past to get to user...

OpenDNS -> Sophos SG125 with dual AV / all IPS options / file patterns -> Invincea FreeSpace with all options (jailed / hardened / and blacklist fed browser) -> Symantec Endpoint Protection with Insight plugin enabled in FreeSpace browser -> limited user on Win7pro64.

So just how many "licks" does it take to get to the center of a "secure" juicy pop? I still don't know the answer to that one. I'm moving everyone to Commodore 64's next week. Stay paranoid everyone.

First off you need ot have the dns like this:

client--windows Ad---UTM---wan DNS.  Otherwise you bypass the atp protection of utm...

secondly make sure all software is up to date.  get rid of things like flash and java if you can...

also if you don't have to use IE.....don't.

First off you need ot have the dns like this:

client--windows Ad---UTM---wan DNS.  Otherwise you bypass the atp protection of utm...

No PDC, I'm new here so please entertain my curiosity and go ahead and tell my why I need one for ATP. I don't recall that "feature" in the brochure.

Client---UTM(ATP)---OpenDNS

Sorry, I'm not seeing it. Are you saying UTM internal DNS is leapfrogging ATP because this is definitely newsworthy to me if it is. It also would be a shockingly piss poor design it this is true. Are you telling me I need to spend thousands of additional dollars and NOT use one of the UTM's advertised features in order to benefit from the other? Not to mention the added burden of maintaining gear I don't want or need.

I would have been in agreement with you on the no IE thing a couple of years back. This was something I strictly enforced myself. All users were prohibited from using unless it was business necessity and only after being unable to use Firefox for that site's functionality.

However, my last hard look at this yielded this is no longer the rule. Mozilla has fallen way behind in hardening, Chrome isn't exactly the bullet proof shield either. I've always been an Apple guy and use Safari for convenience, but certainly not for it's protection.

The last hard look I took at this subject was around a year ago, and much to my chagrin, IE has actually become a leader in strides to secure the browser. Corporate reality also dictates users can access sites in a functional manner, and like it or not, this often means IE. I actually enforce use of Invincea FreeSpace only, which is a running clone of IE (or others), jailed, trashed daily, and then regenerated fresh. Like Chrome on steroids. You're just not going to get a bunch of casual office workers to embrace Aviator.

Don't slay the messenger, I'm just telling you what I read in dark places by people way smarter than me at this stuff.

William, I've gone easter egg hunting for your warning and did find this. Sophos UTM is the gift that just keeps on giving isn't it?

I'm pretty sure this was not their intent, but at this point all bets are off. Wow. Just wow.

ATP works very well.  That's one error out of many many installs that have gone well.  

as far as your points above:
if you are using internal utm dns the primary dns you are fine in regards to ATP.

Nothing is perfect but the fact is IE still has the same faulty design that makes it the gateway for exploits and malvertising that it has always been.  Couple that with flash and java and ANY browser will get nailed if those are not kept updated(most aren't).

I do not have a single client(corporate or personal) that uses ie.  The reality is IE is no longer required for folks to do their jobs.  For the 1 site that might balk at chrome IE is in the highest security mode and whitelists are designed for that site..that's it.

if you are using a program that emulates IE...sandbox or not you are going to have issues....

The best thing you can do is NOT use symantec, macafee, or trend micro(those a/v suites make me a fair amount of $$$)....if you don't have to have flash of java remove them, Do not use IE, have utm blocking the suspicious and p o r n  categories...and the rest is policy enforcement.

IME ads and p o r n (and its ilk) are where most of your online threats are.  If folks want to see p o r n  they can infect their machines not the office's.  I can say right now it's been more than 2 years since a client of mine has gotten infected by anything.  This is as much due to their embracing a strict technology policy(and enforcing it) as it is the technology.

ATP works very well.  That's one error out of many many installs that have gone well.  

as far as your points above:
if you are using internal utm dns the primary dns you are fine in regards to ATP.

I'm a little confused at your response here, you just earlier were blanket statement telling me I would have a problem If I didn't do things "like this". That doesn't sound like a single install kind of thing. In the other thread the anomalous behavior is referred to as an improvement (which I find comical).

Nothing is perfect but the fact is IE still has the same faulty design that makes it the gateway for exploits and malvertising that it has always been.  Couple that with flash and java and ANY browser will get nailed if those are not kept updated(most aren't).

I'm in agreement with you that nothing is perfect and browsers/plugins need to be kept updated. I disagree that IE is the same browser it has always been. Enhanced Protected Mode and Enhanced Security Configuration mode have weathered the latest rounds of 0days.

I do not have a single client(corporate or personal) that uses ie.  The reality is IE is no longer required for folks to do their jobs.  For the 1 site that might balk at chrome IE is in the highest security mode and whitelists are designed for that site..that's it.

Get out much? IE still maintains somewhere between 30% to 60% market share (depending on whose stats you choose to accept). The fact none of your clients use IE when you are the one dictating they only use Chrome doesn't really say much. 100% of our group of companies use IE. So what? Of course they do, I enforce that. If you've only found 1 site that balks without IE, again, you don't get out much. What I really like most about your beloved Chrome is the "prerendering" where Google gets to decide for me that I am "probably" going to be going to that infected site in my search list next, so they're just going to load it for me in the background. Gee, thanks Google, you just infected my machine for me.

if you are using a program that emulates IE...sandbox or not you are going to have issues....

Yes, along with the same types of issues you are going to have with Chrome, Firefox, Opera, Safari, etc... sandbox or not. I started this thread with what was merely an observation, you need multiple layers and layers of security and your still screwed. Sandboxing is ONE of those layers, and done properly (FreeSpace) reduces attack surface dramatically.

The best thing you can do is NOT use symantec, macafee, or trend micro(those a/v suites make me a fair amount of $$$)....if you don't have to have flash of java remove them, Do not use IE, have utm blocking the suspicious and p o r n  categories...and the rest is policy enforcement.

I would argue that the best SINGLE thing you can do is run all users including yourself as limited. Symantec is stll the king dingaling like it or not (I don't). If you deal with Fortune 500 vendors like I do, some of them actually REQUIRE you use it on their equipment or they WON'T support you. Sometimes you just gotta go with the flow. Haven't tested UTM vs OpenDNS on the **** blocking so I can't comment on it's effectiveness. OpenDNS has always done such a good job for me on this it's not a priority in my evaluation of UTM's capabilities.

IME ads and p o r n (and its ilk) are where most of your online threats are.  If folks want to see p o r n  they can infect their machines not the office's.

Wow, you and I agree on something 100%.

I can say right now it's been more than 2 years since a client of mine has gotten infected by anything.  This is as much due to their embracing a strict technology policy(and enforcing it) as it is the technology.

I'm gonna go ahead and move a couple of steps back away from you now. Don't want to be hit with the second hand lightning and all. If you think nothing's getting through you are clearly delusional my friend. Again, that's what I started this thread about in the first place.

You don't have to believe me...but if i was as deluded as you think i am i wouldn't have a business...mine is still here..and it's growing.  I don't tell my client they are 100% secure..they know one mistake..zero-day..human error...any number of things can get them screwed.  You can call me whatever you wish.  I have my most sensitive clients independently audited by a vendor of their choosing not mine.  So far no infections.  I don't believe keeping malware out is impossible.  I also don't sit on my ass once i get thing sin place.  I monitor and stay in contact with my clients.  Can they get compromised?  Absolutely.  Is it a certainty?  Not if basic philosophies that i've outlined here(and on my website) are followed.  They have been tried and true for almost 15 years.  Feel free to stand away from me...i'll happily embrace the ones who don't...and keep growing my business in the process.

I wish you much success. We just have to agree to disagree on some things. Google BadBIOS for giggles some time. When professional security researchers can't keep this cancer out, I'm more prone to think we're in trouble.

I wish you much success. We just have to agree to disagree on some things. Google BadBIOS for giggles some time. When professional security researchers can't keep this cancer out, I'm more prone to think we're in trouble.

I'm familiar.  Living a defeatist attitude isn't going to help you or your clients or boss.  Remaining vigilant yes..acting like your handle on these boards no.