Zum Inhalt springen
Avanet
Sophos Central Update - Enhanced Protection für Server u.v.m.

Sophos Central Update - Enhanced Protection für Server u.v.m.

In den letzten zwei Monaten hat Sophos mehrere Neuerungen für die Central-Plattform veröffentlicht, die sich in diesem Beitrag kompakt zusammengefasst finden. Zunächst geht es um das baldige Ende der Unterstützung von Windows 7 und Windows Server 2008 R2.

Baldiges Ende der Unterstützung von Windows 7 und Windows Server 2008 R2

Sowohl für Windows 7 als auch für Windows Server 2008 R2 hat Microsoft den Support am 14. Januar 2020 endgültig eingestellt. In der Folge wird auch Sophos diese beiden Betriebssysteme nur noch begrenzt unterstützen. Die Standard-Unterstützung endet offiziell am 31. Dezember 2021.

Windows 7

  • Ende der Standard-Unterstützung: 31. Dezember 2021
  • Ende der verlängerten Unterstützung: 31. März 2025

Windows Server 2008 R2

  • Ende der Standard-Unterstützung: 31. Dezember 2021
  • Ende der verlängerten Unterstützung: 31. März 2025

Info: Die Unterstützung von Windows Server 2008 endet am 31. Juli 2020.

Erwerben einer verlängerten Unterstützung

Sophos bietet für Umgebungen, in denen der 31. Dezember 2021 für eine Ablösung der Systeme nicht ausreicht, eine verlängerte Unterstützung an. Mit einer zusätzlichen Lizenz wird der Support für folgende Produkte bis zum 31. März 2025 verlängert:

  • Intercept X Advanced/Intercept X Advanced with EDR
  • Intercept X Advanced for Server/Intercept X Advanced for Server with EDR
  • Central Endpoint Protection/Central Server Protection
  • Endpoint Protection Standard/Endpoint Protection Advanced
  • Server Protection for Virtualization, Windows und Linux/Server Protection Enterprise

Wer an einer verlängerten Unterstützung interessiert ist, kann sich bequem über das Kontaktformular melden – daraufhin wird ein passendes Angebot erstellt.

Sophos Intercept X Enhanced Protection (Beta) jetzt für Server verfügbar

Im Oktober 2019 hat Sophos ein Betaprogramm für Intercept X Enhanced Protection gestartet. Ziel ist es, Intercept X weiter auszubauen und zusätzliche Funktionen zur Abwehr aktueller Malware bereitzustellen. Ransomware-Angriffe reissen auch 2020 nicht ab – Namen wie EMOTET sind allgegenwärtig. Entsprechend arbeitet Sophos mit Hochdruck daran, die Intercept X-Technologie kontinuierlich zu stärken.

In der ersten Version umfasste Intercept X Enhanced Protection bereits die beiden Funktionen Anti-Malware Scanning Interface (AMSI) und Intrusion Prevention System (IPS).

Im Dezember 2019 kamen weitere zentrale Schutzmechanismen für Windows-Systeme hinzu, die nun auch für Windows Server ab Version 2008 R2 verfügbar sind:

Schutz gegen verschlüsselnde Dateisystem-Angriffe (EFS Guard)

Seit Windows 2000 hat Microsoft in sein Betriebssystem eine Funktion mit dem Namen EFS (Encrypting File System) integriert. Nicht zu verwechseln mit BitLocker, bei dem eine komplette Festplatte verschlüsselt werden kann, wird EFS zur Verschlüsselung bestimmter Dateien und Ordner verwendet.

Angreifende haben Wege gefunden, diese Funktion zu missbrauchen und Dateien direkt über die APIs der systemeigenen Verschlüsselungsfunktion (EFS) zu verschlüsseln. Der „Vorteil“ für die Angreifer: Es muss keine zusätzliche Schadsoftware nachgeladen werden. Mit EFS Guard kann Intercept X nun genau vor solchen Angriffen schützen.

Schutz gegen verschlüsselnde Dateisystem-Angriffe (EFS Guard)

Dynamischer Shellcode-Schutz

Die Entwickler neuer Malware setzen immer häufiger sogenannte „Stagers“ ein. Dabei handelt es sich um kleine, scheinbar harmlose Programme, die den eigentlichen Schadcode in den temporären Speicher nachladen und dort ausführen. Klassische Anti-Malware-Lösungen erkennen solche Muster nur schwer. Durch eine Verhaltensanalyse kann der dynamische Shellcode-Schutz genau vor dieser Technik schützen. Sobald ein Verhalten festgestellt wird, das dem eines Stagers entspricht, greift die Erkennung ein und stoppt die Anwendung.

Dynamischer Shellcode-Schutz

CTF ist eine Schwachstelle in einer Windows-Komponente, die bereits seit Windows XP existiert. Sie ermöglicht es nicht autorisierten Angreifenden, beliebige Windows-Prozesse zu steuern – inklusive Anwendungen, die in einer Sandbox ausgeführt werden. Damit das CTF-Protokoll nicht länger ausgenutzt werden kann, hat das Sophos Threat-Mitigation-Team die Funktion CTF Guard entwickelt und in die Threat-Protection-Richtlinie integriert.

CTF Protocol Caller validieren (CTF Guard)

Die Funktion ApiSetGuard verhindert, dass Anwendungen bösartige DLLs laden, die sich als ApiSet-Stub-DLL ausgeben. ApiSet-Stub-DLLs unterstützen Programme dabei, mit neueren Windows-Versionen kompatibel zu bleiben. Angreifende können manipulierte ApiSet-Stub-DLLs auf einem System ablegen, um Funktionen zu verändern – etwa um den Manipulationsschutz von Sophos auszuhebeln und den Sophos-Client zu beenden.

Side-Loading unsicherer Module verhindern (ApiSetGuard)

E-Mail-DKIM-Signierung

Wer Sophos Central E-Mail für das Scannen von eingehendem und ausgehendem Mailverkehr einsetzt, kann Nachrichten nun mit einer DKIM-Signatur versehen. Zur Einrichtung wechselt man in die „Einstellungen“ von Central E-Mail und wählt den Menüpunkt „Domäneneinstellungen/Status“. Klickt man auf eine Domäne, für die auch der Outbound-Traffic geprüft wird, erscheint unterhalb der Zusammenfassung die Option, einen neuen DKIM-Schlüssel anzulegen. Anschliessend wird eine kurze Anleitung mit allen nötigen Angaben zur Konfiguration des DKIM-Eintrags eingeblendet.

Sophos Central Email Gateway - E-Mail-DKIM-Signierung

Individuell anpassbare E-Mail-Adresse für Phish Threat Training

Sophos Central Phish Threat dient dazu, Mitarbeitende im Unternehmen für Phishing-E-Mails zu sensibilisieren. Bislang wirkten die automatisierten Trainings- und Registrierungs-E-Mails jedoch nicht immer vertrauenswürdig, wenn sie von „Sophos training@staysafe.sophos.com“ stammten. Manch eine Person dürfte sich gefragt haben, ob sie wirklich auf den enthaltenen Link klicken soll. 😅

Sophos hat reagiert und ermöglicht es nun, für Ertappt-E-Mails, Erinnerungs-E-Mails und Registrierungs-E-Mails, die an Endbenutzerinnen und -benutzer versendet werden, eine eigene Domain zu hinterlegen.

Dazu wechselt man in die „Einstellungen“ von Phish Threat und öffnet den Menüpunkt „Trainingsanmeldungs- und Erinnerungs-E-Mails“. Dort lässt sich eine benutzerdefinierte E-Mail-Adresse aktivieren und verifizieren. In Tests landeten sowohl die Verifizierungs-E-Mail als auch die anschliessende Test-E-Mail zunächst im Spam-Ordner. 🙄 Die Konfiguration gilt pro Central-Konto und kann nicht kampagnenweise unterschiedlich gesetzt werden.

Individuell anpassbare E-Mail-Adresse für Phish Threat Training
David

David

David verantwortet Inhalte, Struktur und digitale Umsetzung bei Avanet. Sein Fokus liegt darauf, komplexe technische Themen klar, präzise und suchmaschinenfreundlich aufzubereiten.