Warenkorb

keine Produkte im Warenkorb

Sophos Adaptive Attack Protection API

Die Bedrohungslandschaft entwickelt sich ständig weiter und IT-Administratoren stehen vor der Herausforderung, ihre Netzwerke und Endpunkte gegen zunehmend raffiniertere Angriffe zu schützen. Eine besonders innovative Lösung, die dabei hilft, ist die Adaptive Attack Protection API von Sophos. Diese Technologie stellt eine dynamische Schutzvorkehrung dar, die bei der Erkennung von Angriffen automatisch zusätzliche Sicherheitsvorkehrungen aktiviert. In diesem Blogpost wird erläutert, wie die Adaptive Attack Protection API funktioniert, welche Vorteile sie bietet und wie IT-Administratoren sie in ihre Sicherheitsstrategie integrieren können.

Was ist die Adaptive Attack Protection API?

Adaptive Attack Protection (AAP) ist ein automatischer Schutzmechanismus, der bei der Erkennung von aktiven Angriffen auf einem Endpunkt zusätzliche Sicherheitsmassnahmen aktiviert. Dies geschieht ohne manuelles Eingreifen und ermöglicht es Administratoren, Angreifer effektiv zu blockieren und Zeit für weitere Gegenmassnahmen zu gewinnen.

Funktionsweise

Sophos Central Policy - Adaptive Attack Protection
Sophos Central Policy – Adaptive Attack Protection

Die Adaptive Attack Protection erkennt verdächtige Aktivitäten durch zwei Hauptmethoden:

  1. Erkennung von Angriffswerkzeugen: AAP kann die Verwendung gängiger Angriffswerkzeuge identifizieren und entsprechend reagieren.
  2. Erkennung aktiver böswilliger Verhaltensweisen: Durch die Analyse des Verhaltens auf dem Endpunkt kann AAP frühzeitig Anzeichen für einen laufenden Angriff erkennen und entsprechende Verteidigungsmassnahmem aktivieren.

Source: Sophos KB – Adaptive Attack Protetion

In solchen Situationen werden temporäre Einschränkungen aktiviert, die im Alltag zwar hinderlich, aber im Falle eines Angriffs notwendig sind, um die Ausbreitung der Bedrohung zu verhindern.

Vorteile der Adaptive Attack Protection API

1. Automatische Aktivierung

Die AAP ist standardmässig in allen Sophos Central Endpoint Produkten enthalten und muss nicht manuell aktiviert werden. Sobald ein potenzieller Angriff erkannt wird, werden automatisch die entsprechenden Schritte ergriffen.

2. Erweiterter Schutz bei Angriffen

Wenn AAP einen „hands-on-keyboard“-Angreifer erkennt, werden erhöhte Schutzmechanismen aktiviert. Dabei werden auch Aktionen blockiert, die im Alltag unbedenklich, in der Angriffsituation jedoch gefährlich sind. Dies verschafft den Verteidigern mehr Zeit, um den Angriff zu neutralisieren.

3. Erweiterte API-Funktionalitäten

Durch die Erweiterungen der Endpoint API ist es möglich, Adaptive Attack Protection manuell zu aktivieren oder zu deaktivieren. Dies ist besonders nützlich, wenn verdächtige Aktivitäten beobachtet werden, aber eine vollständige Isolierung des Geräts erhebliche betriebliche Störungen verursachen könnte.

4. Erhöhte Sichtbarkeit und Kontrolle

Administratoren werden über neue Ereignisse und Warnungen informiert, sobald AAP auf einem Gerät aktiv wird. Dies ermöglicht eine proaktive Überwachung und schnelle Reaktion auf Bedrohungen.

YouTube Video
Sophos Adaptive Attack Protection (AAP) – Overview

Integration in die Sicherheitsstrategie

Die Adaptive Attack Protection API bietet IT-Administratoren die Möglichkeit, ihre Sicherheitsmassnahmen flexibel und situationsabhängig anzupassen. Hier sind einige empfohlene Einsatzszenarien:

1. Automatisierte Reaktion auf Bedrohungen

Durch die automatische Aktivierung der AAP-Funktionalitäten können IT-Teams auf Bedrohungen reagieren, ohne auf manuelle Eingriffe angewiesen zu sein. Dies reduziert die Zeit bis zur Gegenmassnahme und minimiert das Risiko eines erfolgreichen Angriffs.

2. Gezielte Aktivierung während Untersuchungen

Bei der Untersuchung verdächtiger Aktivitäten kann AAP manuell aktiviert werden, um zusätzliche Abwehrmassnahmen zu ergreifen, ohne das Gerät vollständig vom Netzwerk zu isolieren. So können potenzielle Schäden minimiert werden, während weiterhin Untersuchungen durchgeführt werden.

3. Langfristige Aktivierung für kritische Endpunkte

Für besonders kritische Endpunkte oder während einer anhaltenden Bedrohungslage kann AAP über die API für einen längeren Zeitraum aktiviert bleiben. Dies bietet zusätzliche Sicherheit und schützt sensible Systeme vor möglichen Angriffen.

Demo der Adaptive Attack Protection

In diesem Demo-Video wird gezeigt, wie die AAP von Sophos in Echtzeit auf einen aktiven Angriff reagiert. Der Angreifer versucht verschiedene gängige Methoden, um das System zu kompromittieren, darunter das Ausführen bösartiger PowerShell-Skripte, das Herunterladen verdächtiger Dateien und das Erstellen neuer Benutzerkonten. Sehen Sie, wie Sophos Endpoint automatisch erhöhte Schutzmassnahmen aktiviert, um diese Bedrohungen zu blockieren und Ihre IT-Umgebung zu schützen.

YouTube Video
Demo: Sophos Adaptive Attack Protection (AAP)

FAQ

Muss AAP manuell aktiviert werden?

Nein, sie ist in allen Sophos Endpoint-Lizenzen standardmäßig aktiviert und muss nicht manuell konfiguriert werden.

Wie lange bleibt AAP aktiv?

AAP bleibt so lange aktiv, wie verdächtige Aktivitäten erkannt werden. Die Dauer kann auch manuell verlängert werden.

Kann AAP auf Servern eingesetzt werden?

Ja, Adaptive Attack Protection ist sowohl auf Endpunkten als auch auf Servern verfügbar.

Beeinträchtigt AAP die Systemleistung?

Die Auswirkungen auf die Systemleistung sind minimal und nur während der Aktivierung von AAP relevant.

David
David

David ist verantwortlich für die Bestellabwicklung in unserem Onlineshop, sodass Produkte und Lizenzen schnell und effizient ausgeliefert werden. Er unterstützt unsere Kunden umfassend bei der Auswahl des geeigneten Sophos-Produkts. David verfügt über fundierte Kenntnisse aller Sophos-Produkte und bietet spezialisierten Support für die Sophos Central Sparte.

Newsletter abonnieren

Wir versenden monatlich einen Newsletter mit allen Blogbeiträgen des jeweiligen Monats.