Ir al contenido
Avanet
Active Threat Response para Sophos Switches y Access Points

Active Threat Response para Sophos Switches y Access Points

Con la nueva función Active Threat Response, Sophos amplía las capacidades de los Sophos Access Points (solo AP6 Series) y Sophos Switches. Esta función permite una respuesta automática a amenazas en tiempo real, especialmente en combinación con Sophos MDR, Sophos XDR o soluciones de terceros. Hace poco, Sophos Firewall recibió nuevas funciones de protección con la actualización a la versión 20, y ahora Sophos Switches y Access Points también se benefician de esta defensa mejorada frente a amenazas.

Funcionamiento de Active Threat Response

Sophos ya ofrece en endpoints una medida de protección eficaz contra los movimientos laterales de los atacantes. Los movimientos laterales describen la expansión de un atacante dentro de una red después de haber comprometido un primer punto de acceso. El atacante intenta moverse de un dispositivo a otro para robar datos sensibles o infectar otros sistemas.

Sin embargo, no todos los dispositivos de la red cuentan con Sophos Endpoint, y precisamente esos dispositivos desprotegidos suelen ser el objetivo de los ataques. Aquí entra en juego Network Detection and Response (NDR). NDR supervisa continuamente el tráfico de red y analiza los paquetes de datos en busca de anomalías que puedan indicar actividades sospechosas. Esto permite detectar amenazas antes de que puedan causar daños graves.

Access Points y Switches suelen ser los primeros puntos de contacto en la comunicación de red de los dispositivos finales. Por eso ofrecen una plataforma ideal para detectar amenazas rápidamente y responder a ellas. Con Active Threat Response, los sistemas comprometidos pueden aislarse en tiempo real mediante Threat Feeds controlados a través de una API. Esto impide el movimiento lateral de los atacantes en la red y permite contramedidas específicas.

Threat Feeds y aislamiento

Los Threat Feeds se obtienen de fuentes de confianza (Sophos o terceros) e incluyen las direcciones MAC de los dispositivos comprometidos. Esta información se envía a todos los AP6 Access Points y Sophos Switches de la red que se gestionan en la misma cuenta de Sophos Central. En cuanto se identifica un dispositivo comprometido, se aísla de inmediato y pierde el acceso a la red. Esto impide que los atacantes puedan seguir propagándose y proporciona tiempo valioso para contramedidas y procesos de limpieza.

Active Threat Response - Network Attack
Active Threat Response - Network Attack Example

Ventajas del ecosistema Sophos

Active Threat Response amplía la funcionalidad única del ecosistema Sophos con varias ventajas cruciales:

  1. Aislamiento de hosts: Dispositivos cableados e inalámbricos, incluidos hosts gestionados (clientes y servidores con Sophos Endpoint) y dispositivos no gestionados (como impresoras).
  2. Prevención de movimientos laterales: El aislamiento inmediato de los sistemas comprometidos evita que los atacantes se sigan propagando dentro de la red, lo que proporciona más tiempo para la remediación de incidentes.
  3. Uso de Threat Feeds: Se utilizan Threat Feeds de varias fuentes de confianza para garantizar una detección de amenazas completa y actualizada.

Disponibilidad y licencias

Active Threat Response ya está disponible a través de Sophos Central para Sophos Wireless (solo AP6 Series) y Sophos Switch. Para utilizarlo se requiere una Support Subscription válida para cada AP6 Access Point o Switch.

Integración con Sophos Firewall

Aunque Sophos Firewall no es un requisito para utilizar Active Threat Response, la combinación con Sophos Wireless, Sophos Switch y Sophos Firewall proporciona una protección integral en todas las capas de red. Esta combinación permite distintas medidas de respuesta y automatizaciones ampliadas, que ayudan a resolver incidentes de seguridad con mayor rapidez.

Resumen y evaluación

Switches

Después de más de dos años de espera, Sophos introduce por fin con Active Threat Response una función que realmente diferencia a Sophos Switches de otros switches. Hasta ahora, Sophos Switches apenas se distinguían de los de otros fabricantes, salvo por la gestión a través de Sophos Central, y aun así con un alcance funcional reducido.

No obstante, Active Threat Response representa un avance importante en la defensa frente a amenazas. Gracias a la integración con Sophos MDR, Sophos XDR y soluciones de terceros, se garantiza una respuesta rápida y eficaz ante amenazas. Esto no solo permite una mejor protección, sino también gestionar los incidentes de seguridad de forma más eficiente y preservar la integridad de la red.

Access Points

Los Sophos AP6 Access Points llevan apenas seis meses en el mercado, pero tecnológicamente, con Wi-Fi 6, ya no están del todo al día. Además, en Sophos Central, el controlador de los Access Points, siguen faltando funciones que estaban disponibles en los modelos APX más antiguos y que no se implementarán hasta finales de año.

Además, varios clientes informan de problemas con los Access Points, especialmente en lo relativo al alcance. Solo la introducción de Active Threat Response vuelve a aportar una funcionalidad nueva y significativa.

Sin embargo, queda por ver si esto es suficiente para competir con la amplia oferta de otros fabricantes.

En resumen, Sophos Switches y Access Points han ganado valor con la introducción de Active Threat Response. No obstante, la decisión de invertir en hardware de red de Sophos depende en gran medida de los requisitos concretos y de la infraestructura de TI existente.

Preguntas frecuentes

¿Para qué productos está disponible Active Threat Response?

Active Threat Response ya está disponible a través de Sophos Central para Sophos Wireless (solo AP6 Series) y Sophos Switch.

¿Se necesita una licencia o suscripción especial para usar Active Threat Response?

Sí, para usar Active Threat Response se requiere una Support Subscription válida para cada AP6 Access Point o Switch.

¿Qué dispositivos son compatibles con Active Threat Response?

Son compatibles los Sophos AP6 Access Points y todos los Sophos Switches.

¿Qué es Sophos Active Threat Response?

Active Threat Response es una nueva función de Sophos que permite una respuesta automática a amenazas en tiempo real mediante el aislamiento de sistemas comprometidos. Está disponible para Sophos Wireless Access Points (solo AP6 Series) y Sophos Switches.

¿Se puede usar Active Threat Response sin Sophos Firewall?

Sí, Active Threat Response también se puede usar sin Sophos Firewall. Sin embargo, combinarlo con Sophos Firewall ofrece una protección más completa en todas las capas de la red.

¿Por qué los dispositivos desprotegidos en la red son un riesgo?

Los dispositivos desprotegidos que no tienen instalada Sophos Endpoint Protection son más vulnerables a los ataques y pueden servir como punto de entrada para que los atacantes se propaguen por la red.

¿Cómo funciona el aislamiento de hosts?

El aislamiento de hosts lo realiza Active Threat Response en combinación con Sophos Central. Cuando se identifica un dispositivo comprometido, su dirección MAC se envía a través de una API a todos los AP6 Access Points gestionados y Sophos Switches de la red. Estos dispositivos, ya sean cableados o inalámbricos, gestionados (con Sophos Endpoint Protection) o no gestionados (como un NAS), se aíslan de inmediato y pierden el acceso a la red. Esto impide que los atacantes puedan seguir propagándose.

¿Necesito MDR y XDR para Active Threat Response?

No, para usar Active Threat Response no se requieren obligatoriamente Sophos MDR ni XDR. No obstante, la inteligencia de amenazas de Sophos MDR y XDR, así como de otras soluciones, puede incorporarse al sistema para permitir una detección y respuesta ante amenazas más eficaces.
Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.