Ich stelle mal wieder eine Frage aus der Leserschaft hier im Blog ein, um auf das Schwarmwissen zuzugreifen. Benjamin T. steht vor der Frage, Sophos Endpoint Protection mit Sophos Central abzulösen. Er fragte bei mir an, ob ich eine Alternative kenne. Da ich aber von nix eine Ahnung habe, davon aber ganz viel, stelle ich die Anfrage des Lesers mal hier im Blog ein. Vielleicht helfen die Erfahrungen bzw. Rückmeldungen der Leserschaft – hat ja im Blog-Beitrag Kennt wer eine Alternative für "Sophos UTM SG"? für die Sophos UTM SG-Firewall aus meiner Sicht auch ganz gut geklappt.
Anzeige
Suche nach einer Alternative
Der Leser ist in einem im Mittelstand tätigen Unternehmen für die IT-Ausstattung zuständig. Auf meine Bitte hin hat der Leser mit seinen Mitarbeitern einige Randbedingungen formuliert, die an eine Lösung gestellt wird.
Was ist das Problem?
Die IT des Lesers befindet sich derzeit in einem Prozess, in dem man aktiv nach einer geeigneten Alternative zur bestehenden Sicherheitslösung, der Sophos Endpoint Protection mit Sophos Central, sucht. Auf meine Nachfragt hat Benjamin einige der Herausforderungen und Probleme skizziert, mit denen die IT im betreffenden Unternehmen konfrontiert ist. Hier die Herausforderungen mit Sophos Endpoint Protection und Sophos Central, sowie die Wünsche und Erwartungen an eine neue Lösung, die der Leser formuliert hat.
- Komplexität des Central Portals: Die Bedienung und Navigation im Sophos Central Portal empfinden die IT-Mitarbeiter aus dem aktuellen Fall als zu komplex und wenig benutzerfreundlich.
- Vorliebe für On-Premise-Lösungen: Der Leser schreibt, dass die Erfahrungen der IT mit der Cloud-basierten Lösung von Sophos nicht "durchweg positiv" waren. Im praktischen Betrieb berichtet der Leser, das man wiederholt Schwierigkeiten beim Zugriff auf Sophos Central hatte. Eine On-Premise-Lösung wäre daher, zumindest aus der aktuellen Sicht der Unternehmens-IT, vorzuziehen.
- Inkonsistenzen in der Auswertung: Der Leser beklagt aus seiner Erfahrung heraus auch Inkonsistenzen, in der Auswertung. Bei der Installation von Sophos Endpoint auf Mac OS-Systemen traten beispielsweise Inkonsistenzen auf. Obwohl die Installation lokal erfolgreich erschien, wurden in Sophos Central Fehler gemeldet, die ohne Support nicht zu klären waren. Diese Erfahrungen erleben die IT-Mitarbeiter des Unternehmens aber auch auf Windows Umgebungen, das Mac-Thema war es nur ein aktuelles Beispiel.
- Hohe Kosten pro Endnutzer: Benjamin schreibt, dass deren IT die Kosten pro Endpoint-Nutzer im aktuellen Abonnement als überproportional hoch empfindet.
- Unübersichtliche Berichte: Die Berichte von Sophos Central seien oft überladen und führen nicht zu konkreten, handlungsrelevanten Informationen über Bedrohungen, beschreibt der Leser seine Erfahrungen.
- Support-Probleme: Im Betrieb haben die Mitarbeiter der Unternehmens-IT festgestellt, dass der Support von Sophos entweder zu langsam reagiert oder bei auftretenden Problemen keine zufriedenstellende Antwort liefert.
Gehe ich die obigen angerissenen Punkt durch, kristallisiert sich heraus, dass die derzeit eingesetzte Sicherheitslösung Sophos Endpoint Protection mit Sophos Central wohl nicht optimal für das Unternehmen passt. Das ist der Ausgangspunkt, um sich nach einer alternativen Lösung umzuschauen.
Was soll die neue Sicherheitslösung können?
Der Leser hat auf meine Anregung einige Punkte formuliert, die er an eine neue Lösung für seine IT-Umgebung als Anforderung stellt. Hier seine Wünsche für eine neue Lösung:
Anzeige
- Einfache und intuitive Benutzeroberfläche: Die IT legt großen Wert auf eine benutzerfreundliche Oberfläche, die eine einfache Navigation und schnelle Zugriffe ermöglicht. Ist natürlich eine "Geschmacksfrage", was unter "benutzerfreundliche Oberfläche" verstanden wird – aber vielleicht ergeben sich diesbezüglich ja neue Erkenntnisse, die der Leser bewerten kann.
- Direkte Benachrichtigungen bei Bedrohungen: Ein wichtiges Kriterium ist auch eine zeitnahe und direkte Benachrichtigung bei Virenfunden oder anderen Sicherheitsbedrohungen auf den Rechnern des Unternehmens – das wird als essentiell bezeichnet, was ich sofort unterschreiben kann.
- Effektive Erkennung von Ransomware auf Servern: Eine robuste und sichere Erkennung von Ransomware, insbesondere auf den Servern des Unternehmens, ist ein kritischer Aspekt, schreibt der Leser.
- Einfache Auswertung: Wichtig seien auch klare und aussagekräftige Berichte, die konkrete Handlungsempfehlungen bieten. Das sei für das Sicherheitsmanagement der IT-Abteilung im Unternehmen unerlässlich. Würde ich, angesichts des Fachkräftemangels und der Leistungsverdichtung in den IT-Abteilungen sofort unterschreiben.
- Bevorzugung einer On-Premise-Lösung: Basierend auf den bisherigen Erfahrungen mit der Sophos-Cloud-Lösung präferiert die IT jetzt eine On-Premise-Sicherheitslösung.
Der Leser formuliert dabei, dass es für die IT eines im Mittelstand tätigen Unternehmen wichtig sei, dass die Lösung nicht nur technisch effizient, sondern auch wirtschaftlich tragbar ist. Man erhofft sich über den Blog-Beitrag hier Einblicke aus der Leserschaft zu erhalten, wie "Endpoint Protection" in ähnlichen Unternehmensumgebungen eingesetzt wird. Zudem stellt sich die Frage, ob es eine kosteneffiziente Lösung für Unternehmen einer Größe (angegeben sind ca. 1.700 Clients, davon 99% Windows , 1.000 Anwender, 100 Server) gibt. Zusätzlich ist der Leser besonders an Erfahrungen mit Microsoft Defender-Plänen interessiert.
Wie schrieb der Leser in seiner Mail: Wir sind auf der Suche nach Empfehlungen und Feedback von Personen oder Organisationen, die ähnliche Anforderungen hatten und erfolgreich eine Alternative zu Sophos Endpoint mit Sophos Central gefunden haben. Jegliche Empfehlungen oder Ratschläge zu verfügbaren Lösungen, die unsere oben genannten Kriterien erfüllen, wären sehr willkommen.
Und damit gebe ich das Thema in der Leserschaft zur Diskussion frei – hatte es zwar schon für die Weihnachtstage geplant, bin aber nicht so weit gekommen, um das aufzubereiten. Kurzum: Eure Meinungen und Erfahrungen aus konkreten Szenarien sind gefragt.
Anzeige
Wir haben zurzeit WithSecure (ehemals F-Secure) Businesss im Einsatz.
Dieses war alles noch lokal welches wir jetzt mit dem Nachfolger Elements ablösen.
Leider nur noch als Cloudlösung.
Jedoch hat es ein paar wichtige Features und kostet uns sehr wenig:
– 2.- pro Host
– Kann 3rd Party Software updaten (Patch Management)
– Zentrale Steuerung und Überwachung
– Einfache Handhabung und viele Einstellmöglichkeiten
– Support nicht blitzschnell aber immer hilfreich
– Linux Clients auch verfügbar
– Alarmierung via syslog oder Mail
die Cloud-Variante ist noch nicht obligatorisch, aber die Kosten pro Host sind etwas niedriger… so als Übersicht:
https://www.withsecure.com/de/support/download
das läuft eine Weile auch ohne Lizenz.
die Erkennung und Aktualisierung von Drittsoftware kann einfach per Richtlinie verteilt werden, klappt aber leider nicht immer.
die Integration mit der Windows-Firewall ist gut gemacht und auf Knopfdruck kann andere Antivirensoftware deinstalliert werden, die Lastverteilung über den Policy-Manager-Proxy habe ich noch nicht gebraucht
ich kenne mittlerweile einige Schutzlösungen, aber die gefällt mir immer noch am Besten.
SentinelOne oder CrowdStrike. Defender for Endpoint ist auch sehr gut. Wir nutzen SentinelOne.
Hie eine neutrale Quelle mit Tests der Enterprise Lösungen.
https://attackevals.mitre-engenuity.org/enterprise/turla/
Würde SentinelOne empfehlen. Gerade was die einfache und übersichtliche Bedienung angeht. Ansonsten zur Orientierung mal den letzten Gartner Magic Quadrant für Endpoint Protection Plattformen lesen. Ist Marketing, aber zur Übersicht der Vor- und Nachteile zur Eingrenzung der Auswahl gut.
(Transparenzhinweis: Ich arbeite bei einem SentinelOne Partner)
Wir haben auch SentinelOne im Einsatz und sind MEGA zufrieden. Sehr einfach, und bin überzeugt, dass es aktuell eines der "besten/sichersten" Lösungen auf dem Markt ist!
ABER: Gibt es denn auch Lösungen SentinelOne als kleines Mittelständische Unternehmen zu bekommen?
Oder z.B. kleine Handwerksbetriebe mit 5-10 Rechnern? Gibts da Reseller die das für kleine Unternehmen übernehmen?
Hast du da Empfehlungen für solches Clientel?
Lieben Gruß
Ludwig
Ich setze auf die Bitdefender GravityZone, die es OnPrem und in der Cloud gibt.
Ich würde auf eine Kombination von 2 Produkten setzen:
– Securepoint UTM für´s Netzwerk mit integriertem Antivirenschutz.
– Eset Protect (Cloud), mit den Produkten Eset Endpoint Security. Server Security und Endpoint Antivirus.
Genau! UTM + ESET
Allerdings braucht man den Endpoint Kram nicht, zu viel Verwaltung.
Bei uns läuft Server Security (ex File Server Security), Mail Server Security, Intenet Security (ex NOD32 Antivirus) auf 1250+ Geräten.
Seit 8 Jahren kein Fauxpas!
Die Kombination mit dem SecurePoint AV funktioniert aktuell allerdings auch sehr gut! Wir sind begeistert davon aktuell.
ein POC mit ESET kann ich empfehlen. Sicherheits Software ist nie trivial und auch hier gibt es bei der Bedienung die ein oder andere Besonderheit. Wir sind sehr zufrieden aktuell.
Da läuft noch die alte Sophos On-Prem-Lösung? Die ist doch seit Juni 2023 EOL und bekommt keine Updates mehr und nichts!?!? Wahnsinn, sowas noch zu betreiben und jetzt erst über eine Nachfolge nachzudenken! Sophos hat schon vor 2 oder 3 Jahren über das Ende von OnPrem informiert.
Wir haben uns verschiedene Alternativen angesehen und sind bei Sophos geblieben, aus dem Grund weil wir unser altes Regelwerk (natürlich manuell) recht einfach 1:1 übertragen konnten, da die Grundstruktur gleich bleibt, außerdem weil der Lern- und Wartungsaufwand verglichen mit dem Umstieg auf andere Lösungen viel geringer ist (z.B. als Extrem dazu – für McAfee hätten wir extra noch zwei Leute zusätzlich gebraucht), und wir merken auch dass die Schutzleistung (leider auch die false-Positives, z.B. die WSUS-Server machen ständig "verdächtige" Sachen…) verbessert ist.
Nein wir haben keine On-Prem-Lösung im Einsatz.
Wir kommen von Sophos On-Prem und waren sehr zufrieden, sind es aber mit der Umstellung auf Sophos Central nicht mehr.
ESET Protect (on Prem), bisher nur gute Erfahrungen bei Kunden gehabt.
Hier wird noch eine 100% on premise Lösung angeboten. Unterstützt alle Betriebssysteme (Windows, Linux, macOS, Android, iOS). GUI und Konfiguration fast schon selbst erklärend und gut dokumentiert.
Die On Prem Lösung besteht aus zwei VMs/Systemen:
Eset Protect Appliance -> zentrale Verwaltung und Weboberfläche
Eset Bridge -> spezieller gehärteter Proxy mit Caching Funktion über den die Clients Updates und Virenpattern laden
Man kann sich bei ESET kostenlos die ESET Protect Appliance herunterladen (VMware VM oder HyperV). Das ist die On Premise Appliance für die Verwaltung der Clients. Dann dazu noch ein paar Testlizenzen klicken (30 Tage gültig). Da kann man sich das ganze mal anschauen: ESET Protect Appliance einrichten -> ESET Bridge auf einer 2. Linux- oder Windows-VM installieren und Lizenz-Key in der ESET Appliance eingeben, fertig.
Dem stimme ich vill zu. Die einzigen Themen, die wir hatten betrafen Macs mit den Sdobe Suites. Das fühlte sich langsam an.
Wir verwenden Panda AD360 (gehört zu WatchGuard) und kommen damit recht gut zurecht. Ein Pluspunkt ist für mich klar der Lock-Modus, welche den Programmstart auf Clients / Servern auf bekannte, gutartige Programme einschränkt. Unbekannte Programme werden erstmal gestoppt und im Labor bewertet. Ist das Programm als gutartig klassifiziert, dann ist der Start möglich. Man kann als Admin natürlich auch immer übersteuern, wenn man das benötigt.
Die Benachrichtigung in der Konsole und per Mail funktioniert zuverlässig und zeitnah. Das ganze Produkt ist aber cloudbasiert, eine On-Prem Installation ist leider nicht möglich. Man bekommt aber ohne Probleme eine Teststellung für einen Monat um das Produkt zu testen. Wie Günter schon schrieb: Vieles hängt am Ende auch von den persönlichen Vorlieben ab.
diesen "Lock-Mode" habe ich auch schon bei der Konkurrenz gesucht und bisher nicht finden können.
Das Vulnerability Management Modul ist so lala, das Modul ist nun teilweise gratis inkludiert im AD360, Patchmanagement ist noch in der kostenpflichtigen Variante des Moduls dabei, sehr viel Software wird aber gar nicht erkannt und beschränkt sich eher auf StandardSoftware von MS da funktioniert's zuverlässig (vulnerable Software von Nvidia hat es aber zB nicht erkannt)
das SIEM Modul ist im Backend von Datadog, wenn ich mich richtig erinnere…war aber in der Form nicht wirklich zu gebrauchen.
Bei Sophos gibt es z.B. auch eine Lockdown-Option:
https://doc.sophos.com/central/customer/help/de-de/ManageYourProducts/ServerProtection/ServerConfigureLockdown/index.html
Wir (kleines IT Unternehmen) bieten nun unseren Kunden auch bevorzugt WithSecure/F-Secure an, früher war Sophos unsere Standard AV Lösung. Wir haben sehr positive Erfahrungen gemacht.
Wurden mehr Viren und Trojaner abgewehrt als vorher? Was konkret ist die positive Erfahrung?
Die Anzahl der abgewehrten Viren/Trojaner kann ich nicht vergleichen, technisch funktionieren beide soweit. In den letzen 5-7 Jahren hatten wir mit Sophos 2 Outbreaks (wenn ich mich richtig erinnere) bei ca. 30-40 Kunden vom Kleinunternehmen bis Mittelstand. WithSecure setzen wir erst seit gut anderhalb Jahren ein. Aktuell haben wir bei Sophos (einige Kunden setzen diesen noch ein) eher Problemen mit FalsePositives. Positiv ist auf jeden Fall eine klarere Produktschiene und vernünftige Ansprechpartner. Das war auch schlußendlich der Grund zu wechseln. Sehr gut ist das Thema Patchmanagement bzw. Softwarestandsprüfung. Man weiss, ob Software mit Sicherheitslücken auf den Geräten verteilt ist und kann diese (auch von der Konsole aus) updaten. (Müsste auch bei der On Premise Variante gehen)
Ricoh Bullwall gegen Ransomware. Betrieb ohne Agents und On-Premise. Damit allerdings nur die Server überwachen. Für die Clients und zusätzlich Server F-Secure Business als On-Premise.
Kurze Zusammenfassung von Antworten, die ich auf Facebook bekommen habe.
Leser 1: Zu "Interesse an Defender Plänen inklusive Server Lizensierung": "Das wird nichts. Vor allem nicht wenn er wie angegeben 100 Server hat dann kann er sich vom Defender for Business Servers in dem Bereich verabschieden der zieht nur bis 60 Server danach geht es in Richtung Defender for Cloud mit Serverplänen was ein bisschen zusätzliche Architektur erfordert."
Leser 2: "Wäre Palo Alto Cortex XDR in Zusammenarbeit mit M365 Defender Plan 1 hier keine Alternative? Kostet ein wenig mehr ist aber On-Premise & Cloud."
Leser 3: "Ich schmeiß mal Sentinel One in den Raum. Ein echt gutes Stück Software und Management in der Cloud. "
Leser 4+5: "Trend Micro Vision One?" – "Trend Micro Apex One"
Leser 6: "Sophos verliert seit geraumer Zeit im gehobenen Mittelstand Kunden. Bei isolierter Betrachtung mit Focus auf eine moderne Endpoint Security Lösung haben unsere Kunden im letzten Jahr sehr oft die Entscheidung für crowdstrike getroffen. Endpoints decken bei crowdstrike auch Server ab. Unkompliziertes Rollout.
Wenn der Kunde einen E5 Plan Microsoft lizenziert hat, kann aus monetären Erwägungen ein Blick auf Defender für Endpoint u.a. sinnvoll sein.
Bei einer Entwicklung einer strategischen Security Architektur mit Ziel zentrale Sicht über alle Instanzen onpremise bis in die Cloud ist Fortinet mit den vielen Portfolioelementen ein interessanter Hersteller. Fortimanager FortiAnalyzer können als VM lokal betrieben werden."
Leser 7: "Ich kenne, (neben Kaspersky, CrowdStrike, McAfee) die Sophos Lösungen seit über 10 Jahren, habe sie selbst vertrieben und gemanaged. Auch die "Endpoint-Überraschungen". Ich weiß ehrlich nicht warum gerade Sophos so gehypted wird und hatte schon arg Ärger mit meinem damaligen AG und Sophos direkt, weil sie m.E. nach gerade was das Management angeht, hinterher hinken oder völlig überladen sind. Und diese Abhängigkeit zur Central nervt mich extrem.
Seit 2004 kenne und verwende ich ESET. Cloud, On-Prem. Installieren, läuft. Auf zig tausenden Rechnern… ich kann an zwei Händen abzählen, wie häufig ich etwas eskalieren musste. Und wenn dies mal der Fall war, konnte ich telefonieren oder bekam sogar per Fernwartung Hilfe. Schon ein ganz anderes Service-Level als beim blauen Riesen.
Was richtig praktibel ist: Hat man die On-Prem (die nutze ich in 9 von 10 Fällen, schwenke aber so langsam auf Cloud Managed um), dann ändert man fix die Konfig und ist in der Cloud. Und das supermegatolle daran ist, dass man sich nicht umgewöhnen muss.
Die GUI bzw Konfigurationsstruktur ist am lokalen Client/Server, in der Policy (Server verteilt) und auch in der Cloud nahezu identisch. Und was auch mega ist: Ich installiere einen Client, nehme alle Konfigs für AV, IPS, Firewall vor, kann in Ruhe testen, speichere die Konfig, und verteile sie dann an wen auch immer über den Server und bin sogar unfassbar flexibel wenn zB CAD Rechner Ausnahmen erhälten müssen, der 1st Level Support aber nicht und so… einfach mega.
Alles in allem finde ich hat Eset ein unfassbar gutes Preis Leistungsverhältnis. Die MailSecurity filtert bei uns noch nach der Sophos Sachen raus, wo selbst die Distri staunt warum Sophos sowas trotz Sandstorm(!) durchlässt. Und wenn ich mal was im Netzwerk scanne, dann meckert ESET sehr fix dass eine Lücke versucht wird auszunutzen … Also: Team ESET "
Leser 8: Hardware : Meraki security mx 250 Appliance mit der Advanced licence. IDS, IPS. Endpoint protection : Mircosoft Defender E5 komplett durch konfiguriert inkl. Exo online Mail ATP. Dann Cisco umbrella SaaS DNS security integriert in die Meraki MX und als agent auf die Endpunkte. Dann brauchen sie am besten ein Cloud Soc wie zb Pillar die aixpedit.de biete so was z.b an. Die Idee onprem service zu nutzen würde ich ganz schnell wieder vergessen …
Ich empfehle diese neutralen und sehr genau aufgezeigten Testergebnisse in denen auch der Hersteller eingebunden ist. Einige bessern nach andere schützen „out of the box". Es werden alle arten von Angriffen durchgeführt. Für uns ist es doch sonst unmöglich zwischen guten Markrting und tatsächlicher Wirkung zu unterscheiden.
https://attackevals.mitre-engenuity.org/enterprise/turla/
Wie bereits bei FB erwähnt:
Ich kenne Sophos (CrowdStrike,Kaspersky, McAfee) wirklich lange und habe die Endpoint Entwicklung seit Astaro-Sophos Wechsel mit erlebt (ich habe bei einem recht gut angesehen DL gearbeietet). Die Endpoint hat mich wirklich nie überzeugt. Gab auch öfter mal Kopfschütteln meinerseits. Aber wenn man gute Margen und Geschenke bekommt, muss man die Klappe halten…
Der Support… reden wir nicht drüber. Die Cloud-Zwang-Schiene die Sophos gerade fährt, führt irgendwann in eine wirtschaftliche Sackgasse. Aber dessen ist man sich ja durchaus bewusst.
Mindestens genau so lange kenne ich ESET in tausendfacher Installation auf verschiedensten Umgebungen. Im Vergleich zu allen anderen Lösungen, selten so wenig Supportfälle gehabt und gleichzeitig flexibel ohne Ende. Ob nun auf Windows Server, Linux, Clients, Verschlüsselung.. es läuft einfach. Und der Umstand der einfachen immer gleich bleibenden GUI ist ein Faktor der bei mehr als einem "Supporter" in der Abteilung echt ein Gewinn ist.
Ich empfehle Eset nicht als Partner, sondern aus Überzeugung aus meinem IT- und Dienstleisteralltag (Sowohl in der DL, als auch in Führungspositinen und immer mit technischer Leitung).
Wir nutzen den FortiClient EMS als Virenscanner/EPP in Kombination mit den Fortigate Firewalls – funktioniert ganz gut
als kleiner IT-Dienstleister setzen wir auch schon seit ca. 9 Jahren auf WithSecure (ehemals F-Secure) in der Self-Hosting Variante mit dem Policy Manager und den Business Lizenzen aber auch zunehmend die Cloud Basierte Lösung mit Elements.
Wir sind zufrieden. Es gibt sicherlich günstigere Lösungen, aber am Ende soll es ja auch funktionieren.
Wir setzen mittlerweile Crowdstrike ein. Gibt es in verschiedenen Stufen (EDR, Firewall Management der Devices usw) und sind sehr zufrieden bisher. Läuft alles in der EU-Cloud und die Konfiguration ist simple und sehr gut dokumentiert. Wir hatten vorher Avira und Sophos OnPrem im Einsatz. Nicht irritieren lassen von den UVP Preisen ;-) Man erhält von einem deutschen Vertrieb ein individuelles Angebot und auch eine super Beratung. Ein PoC etc ist auch alles möglich und hatten wir damals auch in Anspruch genommen.
Alles läuft vollautomatisch und bei Problemen erhalten wir eine Mail und können direkt Maßnahmen ergreifen. Sogar das Device komplett vom Netz trennen und nur noch via Crowdstrike zugreifen, ist möglich.
Hallo,
bitte beachten das einige Lösungen cloudbasiert in den USA die Daten ablegen. da gehen Datenschützer und Betriebsräte schnell steil (zu recht).
Auch hin dem Punkt ist on-premise eigentlich eigentlich ein must have.
¯\_(ツ)_/¯
so wie die Frage gestellt wurde und unter welchen Umständen … man nun diese Umfrage startet kann ich nur raten, bitte bei Sophos bleiben. ist nicht böse gemeint.
guten Rutsch!
Komm erzähl – da hast Du mich aber neugierig gemacht. Was haben die vielen Kommentatoren hier und meine Wenigkeit nicht verstanden? Frage jetzt für einen Freund bzw. den Leser.
Hallo,
wir machen gerade ein PoC G DATA 365.
Sind noch am Beginn des PoC, aber die ersten Schritte sind gut begleitet worden.
Auf Grund der nicht immer vorhanden 7/24 Verfügbarkeit (Personaldecke)
erkaufen wir uns nicht nur die Sicherheit sondern auch das Dooing im Falle des Falles.
Und dem hinterher rennen von False Positive Meldungen sind wir vielleicht auch etwas los :-)
LG
ThePrayer
On Premisis Lösungen im EDR/XDR-Bereich sind inzwischen recht rar geworden und und sind funktional oft ihren Cloud-Geschwistern aus selbem Hause unterlegen.
SentinelOne und Crowdstrike wurden bereits genannt, nach einem Test von beiden setzen wir SentinelOne ein.
Das Management erfolgt in der Cloud, die Daten landen in unserem Fall in einem Rechenzentrum in Frankfurt/Main.
In weiten Teilen ist es einfach administrierbar, die Threat Hunting Möglichkeiten sind sehr gut. Der englischsprachige Support direkt vom Hersteller reagiert schnell und ist kompetent.
Im PoC-Vergleich war auch Crowdstrike sehr gut und hat mir persönlich sogar "einen Ticken" besser gefallen.
Noch nicht genannt wurde ein weiterer Platzhirsch: "cybereason". Zum Zeitpunkt unserer PoCs war es noch sehr Windows-lastig, machte aber ebenfalls einen guten Eindruck.
Wir sind kürzlich von Sophos Central zu Cybereason EDR gewechselt.
Die Administration ist deutlich einfacher als bei Sophos, aber wie bei (vermutlich) jeder EDR / MDR Lösung sind auch hier viele Anpassungen, Ausnahmen etc. notwendig. Leider fehlt mir aber auch bei Cybereason (wie schon zuvor bei Sophos) ein exaktes Monitoring am Client, welches Modul denn jetzt gerade wieder rein spuckt und die Applikation ausbremst, um die passende Ausnahme-Regel zu erstellen.
Wenn ich mir das jetzt so durchlese, fragst du 100 Leute, bekommst du 101 verschiedene Antworten, da ist man hinterher genauso schlau wie zuvor.
Crowdstrike, SentinelOne und das noch nicht genannte Cynet 360 sind sehr interessant und haben wir neben Sophos, McAfee, TrendMicro und BitDefender und MS-Defender auch verglichen und teils auch ausprobiert. Alles sehr starke Lösungen mit guter Erkennungsrate, SentinelOne speziell höre ich von Sicherheitsdienstleistern mit denen ich so zusammenarbeite ziemlich oft. Es kommt dann aber oftmals auf "Nebensächlichkeiten" an, welche Lösung man nimmt. MS-Defender hatten wir nur rein genommen weil es mit DriveLock eine gute Zusatz-Lösung gibt, um auch USB- und Bluetooth-Geräte-Nutzung damit zu limitieren, aber uns war die Administration vom Defender selbst zu mühselig, da das größtenteils nur über mühselig erstellte Richtlinien in Azure geht, eine Wissenschaft für sich. McAfee war auch sehr aufwändig, weil zum einen die Administrationsoberfläche unübersichtlich komplex ist und vieles nur mit "Expert-Rules" umsetzbar ist, was andere Lösungen per Mausklicks ermöglichen, außerdem hatten wir im Test teils Probleme mit den Engine-Updates auf den Servern, die oft mehrfach rebooten mussten, bis die wieder liefen – wenn man nur kurze Wartungsfenster hat, ist das ein no-go. Crowdstrike, SentinelOne und das noch nicht genannte Cynet 360, die drei waren insbesondere bei den EDR/XDR-Funktionen beeindruckend, haben aber beim Management von USB/Bluetooth-Geräten geschwächelt, Cynet konnte garnicht mit Bluetooth umgehen, beim Device-Management könnten sich allerdings alle anderen Lösungen einschließlich Sophos diverse Scheiben von DriveLock abschneiden – besser als mit diesem Defender-Zusatz geht es nicht. Diese "Softskills", Benutzbarkeit, vorhandenes Knowhome und Device-Management haben uns schließlich bei Sophos bleiben lassen, dessen Erkennungsleistung immer noch sehr gut ist, und EDR/XDR funktioniert auch, wenn auch nicht ganz so detailliert wie speziell SentinelOne, allerdings ist durch ein Update im Cloud basierten Management von Sophos momentan diese Device-Management-Sachen schlechter als während des POCs, jetzt noch rauszubekommen, an welchen PC ein USB-Gerät angeschlossen wurde, ist momentan nicht direkt möglich, bekommt man momentan nur über den angezeigten angemeldeten User raus, wenn nicht nur nt-authority/local system angezeigt wird. Was wirklich gut ist, ist der Support von Sophos, wenn man einen engagierten Distributor dazwischen hat, wir haben die Lizenz über Infraforce vom TÜV Hessen bezogen, die sind da ziemlich engagiert und kompetent.
Wir haben 'Cortex' – das ist eine Mischung aus klassischer AV und KI/Cloud gestützter selbstlernender Verhaltensanalyse für jeden PC individuell.
In einer gewissen Einstiegs-Phase über einige Wochen wird das klassische Verhalten jedes PCs analysiert. Ab dem Zeitpunkt der finalen Scharfschaltung werden alle verhaltens Auffälligkeiten gemeldet. Dh wenn PC2 laufend zu Server1 verbindet – ok. Wenn PC1 plötzlich damit anfängt – wird das wenn das nicht gewhitelistet ist reportet.
Gleichzeitig wird das ganze von Cortex Technikern begleitet.
Das hst soweit im Haus die Anwender getriggert das die dazu übergehen nichts mehr allein zu Downloaden – jede neue Exe kann zur Meldung führen die seitens der IT wohlwollend kritisch hinterfragt wird.
Von Anfangs ständigen FalsePositive Meldungen ist das über die Jahre immer weniger geworden.
Ein interessanter Ansatz, ich denke das KI-Zeugs und detaillierte Verhaltensanalyse wird auch in Zukunft in andere AV-Lösungen einziehen, aber sowas kann Benutzer auch in den Wahnsinn treiben, ich denke da z.B. an Firmen die intern auch Softwareentwicklung haben, oder an die Admins die sowieso überall unterwegs sein müssen. Mit KI passiert momentan im IT-Sec-Bereich so einiges, ich finde ja z.B. dieses Varonis sehr spannend, gibts schon ein paar Jahre aber offensichtlich haben die kürzlich mit einer neuen KI einen Zahn zugelegt, das ist interessant weil es mit seiner KI "abseits" der PCs der Nutzer im Hintergrund "lauert" und das Geschehen im "Tafelsilber", also auf den Fileservern, Exchange, Sharepoint, OneDrive, Confluence, Proxy, Storage usw. beobachtet. Wir wollen uns das im kommenden Jahr mal ansehen und ich bin noch auf der Suche nach vergleichbaren Lösungen damit es tatsächlich ein "Vergleich" verschiedener Lösungen wird. Rapid7 kommt da evtl. noch in Frage.
@Günter Born also einige Aussagen passen halt auch nicht in die "Grundsätzliche Anforderung". Ich hab mir das jetzt noch zwei dreimal durchgelesen.
Viele denken das "ich" mit einer Security Lösung eine Strategische Lösung hinbekomme und Personal sparen kann. Das stimmt nicht !!! Ganz klares Nein.
– Erstens braucht es eine strategische Ausrichtung,
– dann braucht es Personal, die aktives Sec-Ops betreiben,
– Management ist hier das A und O.
Diese Aufgabe können Administratoren in der heutigen Zeit nicht nebenbei machen. Dafür sind Vektoren viel zu groß.
Also mit Anforderung ich löse eine Komponente x mit y ab ist es nicht getan. Und die Erkenntnis mit dem Personalmangel ist kein Grund, sondern die Bereitschaft ordentlich Gehalt zu zahlen. Gute Sec-Ops/ IT Security Manger / Cybersecurity Consultants sind nicht unter 80-120k zu haben.
Du siehst, das Thema hat mehre Meta-Ebenen und bietet durchaus Spielraum für Emotionen.
Danke, dass Du deinen Kommentar aus FB nach hier übertragen hat. Wird dem Leser sicherlich einige Hinweise auf seinem Entscheidungsweg liefern.
Das mit der Manpower ist ein wichtiges Argument, die Diskussion hatten wir anhand von McAffee/Trellix ja auch, aber versuche momentan gute Admins für eine AV-Lösung (oder mehr jede andere Spezialisierung) zu finden! Der Markt ist leer gefegt.
GData Endpoint Protection Business haben wir im Einsatz
Deutsche Firma, Super Support
Wir haben auch GData im Einsatz und sind sehr zufrieden damit. Läuft onPrem, Berichte sind anpassbar, bei Ereignissen wird gemeldet. Für uns war der Punkt deutscher Hersteller ebenfalls wichtig.
+1 dafür. Haben wir auch im Einsatz. Bisher wenige Probleme gehabt.
Wir haben seit etwa 15 Jahren ESET im Einsatz und noch nie Probleme gehabt. Hatten davor schon McAfee und Sophos. Gegen Sophos sprach das extreme Ausbremsen der Rechner und immer wieder Probleme mit Updates. McAfee war beim Arbeiten mit großen Dateien eine Katastrophe. Ist aber schon sehr lange her. Wie die sich heute verhalten kann ich nicht beurteilen.
Wir sind als KRITIS-Betreiber von McAfee / Trellix zu Sophos Central (mit der XDR-Lösung) gegangen. Haben uns u.a. auch SentinelOne und Crowdstrike angeschaut. Parallel zu XDR betreiben wir auch eine NDR-Lösung und haben über einen Dienstleister eine 24/7-Überwachung mit einem SIEM. NDR und SIEM kosten zusammen pro Jahr doppelt so viel wie Sophos in 3 Jahren.
Hier ist schon viel geschrieben worden. Ich möchte mal einen anderen Aspekt einwerfen, der bei uns am Ende das entscheidende Kriterium war, warum wir z.B. nicht SentinelOne genommen haben: Wir wollten zum Produkt einen Dienstleister haben, der uns bei Bedarf unterstützen kann, der auch unsere Umgebung kennt. Zusätzlich zum Hersteller-Support. Wir hatten für beide Lösungen (SentinelOne und Sophos) adäquate Dienstleister, die schon für uns tätig sind. Das Konzept des "Sophos-Dienstleisters" hat uns im Gesamtpaket besser gefallen. Deshalb schlug das Pendel zu Sophos und nicht zu SentinelOne. Dass Sophos preislich etwas unter SentinelOne lag, hat dann in der Argumentation geholfen, hat aber die Entscheidung nicht beeinflusst.
Die AV-Anbieter, die im Gartner Quadranten vorne sind (Microsoft, Crowdstrike, Sophos, TrendMicro, …) geben sich m.E. von der Funktionalität gar nicht so viel. Eher mal auf das Gesamtpaket schauen.
Auch wenn man nur eine "kleine Bude" mit 200 Clients und keine kritische Infrastruktur ist, sollte man das überlegen. Wir haben keine wirklich gute EDR- / XDR-Lösung gesehen, die ohne Cloud auskommt. Datenschutz und Betriebsrat hatten mit Sophos keine Probleme.
"Datenschutz und Betriebsrat hatten mit Sophos keine Probleme."
Da hatten wir durchaus Diskussionsbedarf, denn Sophos ist ein britisches Unternehmen, deren Datenschutzgesetze sind durch die ehemalige EU-Mitgliedschaft noch ähnlich wie die DSGVO, aber es besteht zu befürchten, dass das sich ändert, und Sophos hat auch Support/Entwicklung in den USA, womit der Cloud-Act wieder zum Tragen kommen könnte. Letztlich haben wir aber doch das "Go" bekommen.
Grobbritanien ist Teil der 5 Eye Initiative.
Schon aus dem Grund sind Produkte aus dem Land eingentlich raus.
Wir hatten das Theme welche Informationen über die Mitarbeiter auf den Servern landen und wer wann welche Informationen über Vorfälle bekommt. Laut Aussagen der zuständigen Kollegen alles unbedenklich aber wir haben keinen lesenden Zugriff auf die Systeme bekommen um es kontrollieren zu können.
Gruß
für OnPrem ist Drivelock empfehlenswert.
Wenn man Windows für die Clients benutzt.
Drivelock sockelt auf die Windows Boardmittel auf, und hat dazu noch ein paar nette Features.
DriveLock ist aber kein Antivirus, sondern nur ein Device-Management. Wenn man keinen anderen AV installiert, ist das dann der Defender, dessen Managemnt in Azure/Intune noch stark verbesserungswürdig ist. Auch EDR steckt auf Management-Seite von Defender noch eher in der Beta-Phase…
Ich kann auch Panda AD 360 (oder neu Watchguard EDPR) empfehlen, wie es "Singlethreaded" bereits erwähnt hat. Wir verwenden es bei ca. 800 Clients bei mehreren Kunden und es bereitet sehr wenig aufwand.
Dank dem "Lock" Mode hatten wir bei diesen Kunden in den letzten Jahren keine Viren, Trojaner oder Ransomware. Die Verwaltung ist unserer Meinung nach einfach und übersichtlich, die Analysefunktionen und Reportings sind gut.
Es gibt eine Demoumgebung, auf welcher ziemlich viel los ist und man die Funktionen live Beobachten kann:
https://aetherdemo.pandasecurity.com/
User: DemoEngAd360@panda.com
Password: DemoEngAd360#123
Mache selbst seit mehr als 15 Jahren Panda, nun Watchguard und kann mich Mario nur anschließen. Aktuell verschmelzen beide Welten (Panda und Watchguard Produkte), sodass man nur eine zentrale Console benötigt, um alle Produkte zu managen. Firewall, Endpoint, 2FA. Natürlich mit unterschiedlichen Berechtigungsmöglichkeiten.
Deutscher Support, falls man mal anrufen muss.
Wir haben Erfahrung im Bereich Panda Endpoint (jetzt Watchguard) und Bitdefender Gravity Zone. Kurzum, beide Lösungen funktionieren. Was hier wahrscheinlich jeder über "seine" Lösung sagen wird. Denn die Grundfunktionen sind bei allen großen Anbietern gegeben und am Ende werden einzelne Ereignisse oder auch Erfahrungen den Ausschlag geben, ob man eine Lösung empfiehlt oder nicht.
Aber nun zum Kern meines Beitrags. IT-Sicherheit ist nicht durch einen Anbieter gegeben, sondern nur durch ein Konzept. Wir verkaufen unseren Kunden als Systemhaus gerne eine Endpoint Security, aber was hat der Kunde dadurch gewonnen? Einen irgendwie gearteten Schutz vor irgendwas. Der Kunde denkt ab dem Zeitpunkt, dass er ja jetzt sicher sei. Das ist der Trugschluss.
Sicherheit beginnt bei der Frage, was überhaupt wie geschützt werden muss. Eine Firma dieser Größenordnung benötigt ein Konzept, dass nicht an der Frage hängt, welche Endpoint Security eingesetzt wird.
Was geht an Daten ins Unternehmen rein und wieder raus, was machen Mitarbeiter mit ihren Rechnern, welche Strukturen gibt es? Habe ich zentrale Terminal Server oder viele Road Warrior mit Offline Daten? Wie groß ist meine IT, was kann die personell überhaupt leisten? Ich habe schon Firmen gesehen, die eine 40k Sophos Lösung als HA-Cluster im Rack stehen hatten und niemand hat sich die Logfiles angesehen. Man hatte dem Kunden nur ein Produkt verkauft, aber keinen Support.
Sicherheit ist ein fortlaufender Prozess und wir richten unser Systemhaus gerade genau darauf aus. Wir verkaufen nicht mehr Lösung XY, sondern eine fortwährende Überwachung von Systemen. Das kann bei dem einen Kunden eine hochgerüstete Next Gen Firewall mit Watchguard Endpoint sein, bei kleineren Kunden aber nur ein klassischer Lancom mit Regelsteuerung.
Ich rate heute auch gerne zu Email Gateways wie Hornetsecurity, weil der Hauptangriffsvektor meist immer noch Email mit Outlook ist. Haben wir sehr gute Erfahrungen mit gesammelt.
Ein konkretes Produkt zu empfehlen fällt mir deshalb hier schwer. Watchguard könnte das im Grunde alles (machen aber nichts mehr on premise). Ansonsten top Laden mit sehr guten Produkten und vernünftigen Preisen. Aber richtig rund wie das hier erst, wenn ein Systemhaus dahinter steht, der in Sicherheitsfragen berät. Das halte ich bei dieser Größenordnung für absolute Pflicht und ja, das kostet Geld. Wir rechnen bei Kunden um die 100 Mitarbeiter im Monat ca. 1500€ für IT-Security Monitoring ab. Das schließt alle Ereignisse aus Firewall, Remote Management und Endpoint Security und Email Gateway ein. Denn das beste Produkt nützt nichts, wenn keiner drauf schaut und vor allem die Logs lesen und interpretieren kann.
In diesem Sinne gibt es keinen Produktvorschlag von mir, sondern den Rat, IT-Sicherheit neu zu denken und zu hinterfragen. Konzept + Support + Produkt + Umsetzung. Da muss es hin gehen. Viel Erfolg!
Ich setze KSOS (Kaspersky Small Office Security) ein, kann aber auch andere Produkte von Kaspersky und ESET empfehlen.
PS: ja ich weiß, viele setzen es wegen der Warnung nicht mehr ein.
Ohne Cloud wird es nicht gehen, wenn es eine gute Lösung sein soll. Vielleicht die Erfahrung mit Sophos nicht bzgl. Cloud verallgemeinern. Stand heute machen meiner Meinung nach nur noch EDR /XDR Lösungen (Cloud) Sinn. In Verbindung mit einer Partnerfirma mit 24/7 SOC Team. Das kostet ein wenig, aber da muss jeder für sich entsprechende Prioritäten setzen. Wie überall…..Qualität hat ihren Preis.
Empfehlung:
SentinelOne (ggf.CrowdStrike) in Kombination mit Microsoft Defender for Endpoint.
Läuft prima wenn richtig konfiguriert.