Malvertising still getting through.

This will be a first for me on this forum, this is NOT a complaint, but rather just an observation.

I am punishing this eval unit best I can, throwing everything at it, which includes dual AV, all IPS (Snort) options with no time limit, and also enabling file patterns.

Had user (limited) approach me today that they had an unknown security message. It was a fake antivirus message from "Microsoft" about needing to clean a virus. Luckily they were savvy enough to alert me without clicking.

I can't honestly say what would have occurred had they clicked it (hopefully nothing in my environment), I just find it somewhat disconcerting that with all these layers, these things still blow through.

This was coming from a .blue domain in an ad on FoxNews homepage. Here's what it went past to get to user...

OpenDNS -> Sophos SG125 with dual AV / all IPS options / file patterns -> Invincea FreeSpace with all options (jailed / hardened / and blacklist fed browser) -> Symantec Endpoint Protection with Insight plugin enabled in FreeSpace browser -> limited user on Win7pro64.

So just how many "licks" does it take to get to the center of a "secure" juicy pop? I still don't know the answer to that one. I'm moving everyone to Commodore 64's next week. Stay paranoid everyone.

First off you need ot have the dns like this:

client--windows Ad---UTM---wan DNS.  Otherwise you bypass the atp protection of utm...

First off you need ot have the dns like this:

client--windows Ad---UTM---wan DNS.  Otherwise you bypass the atp protection of utm...

No PDC, I'm new here so please entertain my curiosity and go ahead and tell my why I need one for ATP. I don't recall that "feature" in the brochure.

Client---UTM(ATP)---OpenDNS

Sorry, I'm not seeing it. Are you saying UTM internal DNS is leapfrogging ATP because this is definitely newsworthy to me if it is. It also would be a shockingly piss poor design it this is true. Are you telling me I need to spend thousands of additional dollars and NOT use one of the UTM's advertised features in order to benefit from the other? Not to mention the added burden of maintaining gear I don't want or need.

I would have been in agreement with you on the no IE thing a couple of years back. This was something I strictly enforced myself. All users were prohibited from using unless it was business necessity and only after being unable to use Firefox for that site's functionality.

However, my last hard look at this yielded this is no longer the rule. Mozilla has fallen way behind in hardening, Chrome isn't exactly the bullet proof shield either. I've always been an Apple guy and use Safari for convenience, but certainly not for it's protection.

The last hard look I took at this subject was around a year ago, and much to my chagrin, IE has actually become a leader in strides to secure the browser. Corporate reality also dictates users can access sites in a functional manner, and like it or not, this often means IE. I actually enforce use of Invincea FreeSpace only, which is a running clone of IE (or others), jailed, trashed daily, and then regenerated fresh. Like Chrome on steroids. You're just not going to get a bunch of casual office workers to embrace Aviator.

Don't slay the messenger, I'm just telling you what I read in dark places by people way smarter than me at this stuff.

First off you need ot have the dns like this:

client--windows Ad---UTM---wan DNS.  Otherwise you bypass the atp protection of utm...

No PDC, I'm new here so please entertain my curiosity and go ahead and tell my why I need one for ATP. I don't recall that "feature" in the brochure.

Client---UTM(ATP)---OpenDNS

Sorry, I'm not seeing it. Are you saying UTM internal DNS is leapfrogging ATP because this is definitely newsworthy to me if it is. It also would be a shockingly piss poor design it this is true. Are you telling me I need to spend thousands of additional dollars and NOT use one of the UTM's advertised features in order to benefit from the other? Not to mention the added burden of maintaining gear I don't want or need.

I would have been in agreement with you on the no IE thing a couple of years back. This was something I strictly enforced myself. All users were prohibited from using unless it was business necessity and only after being unable to use Firefox for that site's functionality.

However, my last hard look at this yielded this is no longer the rule. Mozilla has fallen way behind in hardening, Chrome isn't exactly the bullet proof shield either. I've always been an Apple guy and use Safari for convenience, but certainly not for it's protection.

The last hard look I took at this subject was around a year ago, and much to my chagrin, IE has actually become a leader in strides to secure the browser. Corporate reality also dictates users can access sites in a functional manner, and like it or not, this often means IE. I actually enforce use of Invincea FreeSpace only, which is a running clone of IE (or others), jailed, trashed daily, and then regenerated fresh. Like Chrome on steroids. You're just not going to get a bunch of casual office workers to embrace Aviator.

Don't slay the messenger, I'm just telling you what I read in dark places by people way smarter than me at this stuff.