Malvertising still getting through.

ATP works very well.  That's one error out of many many installs that have gone well.  

as far as your points above:
if you are using internal utm dns the primary dns you are fine in regards to ATP.

Nothing is perfect but the fact is IE still has the same faulty design that makes it the gateway for exploits and malvertising that it has always been.  Couple that with flash and java and ANY browser will get nailed if those are not kept updated(most aren't).

I do not have a single client(corporate or personal) that uses ie.  The reality is IE is no longer required for folks to do their jobs.  For the 1 site that might balk at chrome IE is in the highest security mode and whitelists are designed for that site..that's it.

if you are using a program that emulates IE...sandbox or not you are going to have issues....

The best thing you can do is NOT use symantec, macafee, or trend micro(those a/v suites make me a fair amount of $$$)....if you don't have to have flash of java remove them, Do not use IE, have utm blocking the suspicious and p o r n  categories...and the rest is policy enforcement.

IME ads and p o r n (and its ilk) are where most of your online threats are.  If folks want to see p o r n  they can infect their machines not the office's.  I can say right now it's been more than 2 years since a client of mine has gotten infected by anything.  This is as much due to their embracing a strict technology policy(and enforcing it) as it is the technology.

ATP works very well.  That's one error out of many many installs that have gone well.  

as far as your points above:
if you are using internal utm dns the primary dns you are fine in regards to ATP.

I'm a little confused at your response here, you just earlier were blanket statement telling me I would have a problem If I didn't do things "like this". That doesn't sound like a single install kind of thing. In the other thread the anomalous behavior is referred to as an improvement (which I find comical).

Nothing is perfect but the fact is IE still has the same faulty design that makes it the gateway for exploits and malvertising that it has always been.  Couple that with flash and java and ANY browser will get nailed if those are not kept updated(most aren't).

I'm in agreement with you that nothing is perfect and browsers/plugins need to be kept updated. I disagree that IE is the same browser it has always been. Enhanced Protected Mode and Enhanced Security Configuration mode have weathered the latest rounds of 0days.

I do not have a single client(corporate or personal) that uses ie.  The reality is IE is no longer required for folks to do their jobs.  For the 1 site that might balk at chrome IE is in the highest security mode and whitelists are designed for that site..that's it.

Get out much? IE still maintains somewhere between 30% to 60% market share (depending on whose stats you choose to accept). The fact none of your clients use IE when you are the one dictating they only use Chrome doesn't really say much. 100% of our group of companies use IE. So what? Of course they do, I enforce that. If you've only found 1 site that balks without IE, again, you don't get out much. What I really like most about your beloved Chrome is the "prerendering" where Google gets to decide for me that I am "probably" going to be going to that infected site in my search list next, so they're just going to load it for me in the background. Gee, thanks Google, you just infected my machine for me.

if you are using a program that emulates IE...sandbox or not you are going to have issues....

Yes, along with the same types of issues you are going to have with Chrome, Firefox, Opera, Safari, etc... sandbox or not. I started this thread with what was merely an observation, you need multiple layers and layers of security and your still screwed. Sandboxing is ONE of those layers, and done properly (FreeSpace) reduces attack surface dramatically.

The best thing you can do is NOT use symantec, macafee, or trend micro(those a/v suites make me a fair amount of $$$)....if you don't have to have flash of java remove them, Do not use IE, have utm blocking the suspicious and p o r n  categories...and the rest is policy enforcement.

I would argue that the best SINGLE thing you can do is run all users including yourself as limited. Symantec is stll the king dingaling like it or not (I don't). If you deal with Fortune 500 vendors like I do, some of them actually REQUIRE you use it on their equipment or they WON'T support you. Sometimes you just gotta go with the flow. Haven't tested UTM vs OpenDNS on the **** blocking so I can't comment on it's effectiveness. OpenDNS has always done such a good job for me on this it's not a priority in my evaluation of UTM's capabilities.

IME ads and p o r n (and its ilk) are where most of your online threats are.  If folks want to see p o r n  they can infect their machines not the office's.

Wow, you and I agree on something 100%.

I can say right now it's been more than 2 years since a client of mine has gotten infected by anything.  This is as much due to their embracing a strict technology policy(and enforcing it) as it is the technology.

I'm gonna go ahead and move a couple of steps back away from you now. Don't want to be hit with the second hand lightning and all. If you think nothing's getting through you are clearly delusional my friend. Again, that's what I started this thread about in the first place.

ATP works very well.  That's one error out of many many installs that have gone well.  

as far as your points above:
if you are using internal utm dns the primary dns you are fine in regards to ATP.

I'm a little confused at your response here, you just earlier were blanket statement telling me I would have a problem If I didn't do things "like this". That doesn't sound like a single install kind of thing. In the other thread the anomalous behavior is referred to as an improvement (which I find comical).

Nothing is perfect but the fact is IE still has the same faulty design that makes it the gateway for exploits and malvertising that it has always been.  Couple that with flash and java and ANY browser will get nailed if those are not kept updated(most aren't).

I'm in agreement with you that nothing is perfect and browsers/plugins need to be kept updated. I disagree that IE is the same browser it has always been. Enhanced Protected Mode and Enhanced Security Configuration mode have weathered the latest rounds of 0days.

I do not have a single client(corporate or personal) that uses ie.  The reality is IE is no longer required for folks to do their jobs.  For the 1 site that might balk at chrome IE is in the highest security mode and whitelists are designed for that site..that's it.

Get out much? IE still maintains somewhere between 30% to 60% market share (depending on whose stats you choose to accept). The fact none of your clients use IE when you are the one dictating they only use Chrome doesn't really say much. 100% of our group of companies use IE. So what? Of course they do, I enforce that. If you've only found 1 site that balks without IE, again, you don't get out much. What I really like most about your beloved Chrome is the "prerendering" where Google gets to decide for me that I am "probably" going to be going to that infected site in my search list next, so they're just going to load it for me in the background. Gee, thanks Google, you just infected my machine for me.

if you are using a program that emulates IE...sandbox or not you are going to have issues....

Yes, along with the same types of issues you are going to have with Chrome, Firefox, Opera, Safari, etc... sandbox or not. I started this thread with what was merely an observation, you need multiple layers and layers of security and your still screwed. Sandboxing is ONE of those layers, and done properly (FreeSpace) reduces attack surface dramatically.

The best thing you can do is NOT use symantec, macafee, or trend micro(those a/v suites make me a fair amount of $$$)....if you don't have to have flash of java remove them, Do not use IE, have utm blocking the suspicious and p o r n  categories...and the rest is policy enforcement.

I would argue that the best SINGLE thing you can do is run all users including yourself as limited. Symantec is stll the king dingaling like it or not (I don't). If you deal with Fortune 500 vendors like I do, some of them actually REQUIRE you use it on their equipment or they WON'T support you. Sometimes you just gotta go with the flow. Haven't tested UTM vs OpenDNS on the **** blocking so I can't comment on it's effectiveness. OpenDNS has always done such a good job for me on this it's not a priority in my evaluation of UTM's capabilities.

IME ads and p o r n (and its ilk) are where most of your online threats are.  If folks want to see p o r n  they can infect their machines not the office's.

Wow, you and I agree on something 100%.

I can say right now it's been more than 2 years since a client of mine has gotten infected by anything.  This is as much due to their embracing a strict technology policy(and enforcing it) as it is the technology.

I'm gonna go ahead and move a couple of steps back away from you now. Don't want to be hit with the second hand lightning and all. If you think nothing's getting through you are clearly delusional my friend. Again, that's what I started this thread about in the first place.