Active Threat Response für Sophos Switches und Access Points
Mit der neuen Funktion Active Threat Response erweitert Sophos die Fähigkeiten der Sophos Access Points (nur AP6-Serie) und Sophos Switches. Dieses Feature ermöglicht eine automatische Reaktion auf Bedrohungen in Echtzeit, insbesondere in Kombination mit Sophos MDR, Sophos XDR oder Drittanbieter-Lösungen. Erst kürzlich erhielt die Sophos Firewall mit dem Update auf Version 20 neue Schutzfunktionen, und nun profitieren auch Sophos Switches und Access Points von dieser verbesserten Bedrohungsabwehr.
Themen
Funktionsweise von Active Threat Response
Bereits auf Endpoints bietet Sophos eine effektive Schutzmassnahme gegen laterale Bewegungen von Angreifern. Laterale Bewegungen beziehen sich auf die Ausbreitung eines Angreifers innerhalb eines Netzwerks, nachdem er einen ersten Zugangspunkt kompromittiert hat. Der Angreifer versucht dabei, sich von einem Gerät zum nächsten zu bewegen, um sensible Daten zu stehlen oder weitere Systeme zu infizieren.
Jedoch ist nicht jedes Gerät im Netzwerk mit dem Sophos Endpoint ausgestattet, und genau diese ungeschützten Geräte sind oft das Ziel von Angriffen. Hier kommt Network Detection and Response (NDR) ins Spiel. NDR überwacht den Netzwerkverkehr kontinuierlich und analysiert Datenpakete auf Anomalien, die auf verdächtige Aktivitäten hinweisen könnten. Dies ermöglicht die Erkennung von Bedrohungen, bevor sie ernsthaften Schaden anrichten können.
Access Points und Switches sind oft die ersten Berührungspunkte in der Netzwerkkommunikation von Endgeräten. Dadurch bieten sie eine ideale Plattform, um Bedrohungen schnell zu erkennen und darauf zu reagieren. Mit Active Threat Response können kompromittierte Systeme mithilfe von Threat Feeds, die über eine API gesteuert werden, in Echtzeit isoliert werden. Dies verhindert die seitliche Bewegung der Angreifer im Netzwerk und ermöglicht gezielte Gegenmassnahmen.
- Sophos Knowledge Base – Active Threat Response Switches
- Sophos Knowledge Base – Active Threat Response Access Points
Bedrohungs-Feeds und Isolation
Die Bedrohungs-Feeds werden von vertrauenswürdigen Quellen (Sophos oder Drittanbietern) bezogen und beinhalten die MAC-Adressen der kompromittierten Geräte. Diese Informationen werden an alle AP6 Access Points und Sophos Switches im Netzwerk weitergeleitet, die im selben Sophos Central Konto verwaltet werden. Sobald ein kompromittiertes Gerät identifiziert wird, wird es sofort isoliert und verliert den Zugang zum Netzwerk. Dies verhindert, dass Angreifer sich weiter ausbreiten können und bietet wertvolle Zeit für Gegenmassnahmen und Bereinigungsprozesse.
Vorteile vom Sophos Ökosystem
Active Threat Response erweitert die einzigartige Funktionalität des Sophos Ökosystems durch mehrere entscheidende Vorteile:
- Isolierung von Hosts: Kabelgebundene und kabellose Geräte, einschliesslich verwalteter Hosts (Clients und Server mit Sophos Endpoint) und nicht verwalteter Geräte (wie Drucker).
- Verhinderung lateraler Bewegungen: Durch die sofortige Isolation kompromittierter Systeme wird verhindert, dass sich Angreifer innerhalb des Netzwerks weiter ausbreiten, was mehr Zeit für die Bereinigung von Vorfällen bietet.
- Nutzung von Bedrohungs-Feeds: Bedrohungs-Feeds aus mehreren vertrauenswürdigen Quellen werden genutzt, um eine umfassende und aktuelle Bedrohungserkennung zu gewährleisten.
Verfügbarkeit und Lizenzen
Active Threat Response ist ab sofort über Sophos Central für Sophos Wireless (nur AP6-Serie) und Sophos Switch verfügbar. Für die Nutzung ist eine gültige Support-Subscription für jeden AP6 Access Point bzw. Switch erforderlich.
Integration mit Sophos Firewall
Obwohl eine Sophos Firewall keine Voraussetzung für die Nutzung von Active Threat Response ist, sorgt die Kombination mit Sophos Wireless, Sophos Switch und Sophos Firewall für einen umfassenden Schutz auf allen Netzwerkebenen. Diese Kombination ermöglicht unterschiedliche Reaktionsmassnahmen und erweiterte Automatisierungen, die eine schnellere Bereinigung von Sicherheitsvorfällen ermöglichen.
Überblick und Einschätzung
Switches
Nach einer Wartezeit von über zwei Jahren bringt Sophos mit Active Threat Response endlich eine Funktion, die Sophos Switches wirklich von anderen abhebt. Bislang unterschieden sich die Sophos Switches kaum von denen anderer Hersteller, abgesehen von der Verwaltung über Sophos Central und dies nach wie vor mit abgespecktem Funktionsumfang.
Active Threat Response stellt dennoch einen bedeutenden Fortschritt in der Bedrohungsabwehr dar. Durch die Integration mit Sophos MDR, Sophos XDR und Drittanbieter-Lösungen wird eine schnelle und effektive Reaktion auf Bedrohungen gewährleistet. Dies ermöglicht nicht nur einen besseren Schutz, sondern auch, Sicherheitsvorfälle effizienter zu managen und die Netzwerkintegrität zu bewahren.
Access Points
Die Sophos AP6 Access Points sind erst seit sechs Monaten auf dem Markt, aber technologisch bereits mit Wi-Fi 6 nicht mehr auf dem neuesten Stand. Darüber hinaus fehlen auf Sophos Central, dem Controller für die Access Points, noch immer Funktionen, die bei den älteren APX-Modellen verfügbar waren und erst gegen Ende des Jahres implementiert werden sollen.
Zudem berichten verschiedene Kunden über Probleme mit den Access Points, insbesondere hinsichtlich der Reichweite. Erst die Einführung von Active Threat Response bringt wieder eine signifikante neue Funktionalität ins Spiel.
Es bleibt jedoch abzuwarten, ob dies ausreicht, um mit den umfangreichen Angeboten anderer Hersteller konkurrieren zu können.
Zusammenfassend kann man sagen, dass die Sophos-Switches und Access Points durch die Einführung von Active Threat Response wertvoller geworden sind. Dennoch hängt die Entscheidung, ob man in Sophos-Netzwerkhardware investieren sollte, stark von den spezifischen Anforderungen und der bestehenden IT-Infrastruktur ab.
FAQ
Für welche Produkte ist Active Threat Response verfügbar?
Active Threat Response ist ab sofort über Sophos Central für Sophos Wireless (nur AP6-Serie) und Sophos Switch verfügbar.
Benötigt man eine spezielle Lizenz oder Subscription, um Active Threat Response nutzen zu können?
Ja, für die Nutzung von Active Threat Response ist eine gültige Support-Subscription für jeden AP6 Access Point bzw. Switch erforderlich.
Welche Geräte unterstützen Active Threat Response?
Es werden die Sophos AP6 Access Points und alle Sophos Switches unterstützt.
Was ist Sophos Active Threat Response?
Active Threat Response ist eine neue Funktion von Sophos, die eine automatische Reaktion auf Bedrohungen in Echtzeit ermöglicht, indem kompromittierte Systeme isoliert werden. Sie ist verfügbar für Sophos Wireless Access Points (nur AP6-Serie) und Sophos Switches.
Kann Active Threat Response ohne Sophos Firewall genutzt werden?
Ja, Active Threat Response kann auch ohne Sophos Firewall genutzt werden. Die Kombination mit Sophos Firewall bietet jedoch einen umfassenderen Schutz auf allen Netzwerkebenen.
Warum sind ungeschützte Geräte im Netzwerk ein Risiko?
Ungeschützte Geräte, die keine Sophos Endpoint Protection installiert haben, sind anfälliger für Angriffe und können als Einstiegspunkt für Angreifer dienen, um sich im Netzwerk auszubreiten.
Wie funktioniert die Isolierung von Hosts?
Die Isolierung von Hosts erfolgt durch Active Threat Response in Kombination mit Sophos Central. Wenn ein kompromittiertes Gerät identifiziert wird, wird dessen MAC-Adresse über eine API an alle verwalteten AP6 Access Points und Sophos Switches weitergeleitet. Diese Geräte, ob kabelgebunden oder kabellos, verwaltet (mit Sophos Endpoint Protection) oder nicht verwaltet (wie ein NAS), werden sofort isoliert und verlieren den Zugang zum Netzwerk. Dadurch wird verhindert, dass Angreifer sich weiter ausbreiten können.
Benötige ich für Active Threat Response MDR und XDR?
Nein, für die Nutzung von Active Threat Response sind Sophos MDR und XDR nicht zwingend erforderlich. Allerdings können Bedrohungsinformationen aus Sophos MDR und XDR sowie anderen Lösungen in das System eingespeist werden, um eine effektivere Erkennung und Reaktion auf Bedrohungen zu ermöglichen.