Carrito de compra

No hay productos en el carrito.

Active Threat Response para switches y puntos de acceso Sophos

Con la nueva función Active Threat Response, Sophos amplía las capacidades de los Access Points de Sophos (sólo serie AP6) y de los Sophos Switch. Esta función permite una respuesta automática a las amenazas en tiempo real, especialmente en combinación con Sophos MDR, Sophos XDR o soluciones de terceros. Sophos Firewall se ha actualizado recientemente a la versión 20 con nuevas funciones de protección, y ahora los Sophos Switch y Access Points también se benefician de esta defensa contra amenazas mejorada.

Cómo funciona Active Threat Response

Sophos ya ofrece una protección eficaz contra los movimientos laterales de los atacantes en los puntos finales. El movimiento lateral se refiere a la propagación de un atacante dentro de una red tras comprometer un punto de acceso inicial. El atacante intenta pasar de un dispositivo a otro para robar datos confidenciales o infectar otros sistemas.

Sin embargo, no todos los dispositivos de la red están equipados con Sophos Endpoint, y son precisamente estos dispositivos desprotegidos los que suelen ser objeto de ataques. Aquí es donde entra en juego la Detección y Respuesta a la Red (NDR). NDR supervisa continuamente el tráfico de la red y analiza los paquetes de datos en busca de anomalías que puedan indicar actividades sospechosas. Esto permite reconocer las amenazas antes de que puedan causar daños graves.

Los Access Points y los conmutadores suelen ser los primeros puntos de contacto en la comunicación de red de los dispositivos finales. Esto las convierte en una plataforma ideal para reconocer y responder rápidamente a las amenazas. Con Active Threat Response, los sistemas comprometidos pueden aislarse en tiempo real utilizando fuentes de amenazas controladas mediante una API. Esto impide el movimiento lateral de los atacantes en la red y permite contramedidas selectivas.

Alimentación y aislamiento de amenazas

Los feeds de amenazas se obtienen de fuentes de confianza (Sophos o proveedores externos) y contienen las direcciones MAC de los dispositivos comprometidos. Esta información se envía a todos los Access Points AP6 y Sophos Switch de la red que se gestionen en la misma cuenta de Sophos Central. En cuanto se identifica un dispositivo comprometido, se aísla inmediatamente y pierde el acceso a la red. Esto impide que los atacantes sigan propagándose y proporciona un tiempo valioso para las contramedidas y los procesos de limpieza.

Active Threat Response - Ataque a la Red
Active Threat Response – Network Attack Example

Ventajas del ecosistema Sophos

Active Threat Response amplía la funcionalidad única del ecosistema de Sophos con varias ventajas clave:

  1. Aislamiento de host: dispositivos con cable e inalámbricos, incluidos hosts gestionados (clientes y servidores con Sophos Endpoint) y dispositivos no gestionados (como impresoras).
  2. Evita el movimiento lateral: El aislamiento inmediato de los sistemas comprometidos impide que los atacantes se propaguen más dentro de la red, proporcionando más tiempo para limpiar los incidentes.
  3. Uso de feeds de amenazas: Se utilizan feeds de amenazas de múltiples fuentes de confianza para garantizar una detección de amenazas completa y actualizada.

Disponibilidad y licencias

Active Threat Response ya está disponible a través de Sophos Central para Sophos Wireless (sólo serie AP6) y Sophos Switch. Se requiere una suscripción de soporte válida para cada Access Points o conmutador AP6 para su uso.

Integración con Sophos Firewall

Aunque un Sophos Firewall no es un requisito previo para utilizar Active Threat Response, la combinación con Sophos Wireless, Sophos Switch y Sophos Firewall proporciona una protección completa en todos los niveles de la red. Esta combinación permite diferentes medidas de respuesta y automatización avanzada, que permiten resolver más rápidamente los incidentes de seguridad.

Visión general y evaluación

Switches

Tras una espera de más de dos años, Sophos presenta por fin Active Threat Response, una función que realmente diferencia a los Sophos Switch del resto. Hasta ahora, los Sophos Switch apenas se diferenciaban de los de otros fabricantes, aparte de la gestión a través de Sophos Central, que sigue teniendo una gama reducida de funciones.

No obstante, la Active Threat Response representa un avance significativo en la defensa frente a las amenazas. La integración con Sophos MDR, Sophos XDR y soluciones de terceros garantiza una respuesta rápida y eficaz a las amenazas. Esto no sólo proporciona una mejor protección, sino que también permite gestionar los incidentes de seguridad con mayor eficacia y mantener la integridad de la red.

Access Points

Los Access Points Sophos AP6 sólo llevan seis meses en el mercado, pero ya están tecnológicamente desfasados con Wi-Fi 6. Además, Sophos Central, el controlador de los Access Points, aún carece de funciones que estaban disponibles en los modelos APX más antiguos, y no se implementará hasta finales de año.

Además, varios clientes informan de problemas con los Access Points, sobre todo de alcance. Sólo la introducción de Active Threat Response vuelve a aportar una nueva funcionalidad significativa.

Sin embargo, está por ver si será suficiente para competir con las amplias gamas que ofrecen otros fabricantes.


En resumen, los Sophos Switch y Access Points han ganado en valor con la introducción de Active Threat Response. No obstante, la decisión de invertir o no en el hardware de red de Sophos depende en gran medida de los requisitos específicos y de la infraestructura informática existente.

FAQ

¿Para qué productos está disponible Active Threat Response?

Active Threat Response ya está disponible a través de Sophos Central para Sophos Wireless (sólo serie AP6) y Sophos Switch.

¿Necesito una licencia o suscripción especial para poder utilizar Active Threat Response?

Sí, se necesita una suscripción de soporte válida para cada Access Points o conmutador AP6 para poder utilizar Active Threat Response.

¿Qué dispositivos admiten Active Threat Response?

Son compatibles los Access Points AP6 de Sophos y todos los Sophos Switch.

¿Qué es Sophos Active Threat Response?

Active Threat Response es una nueva función de Sophos que permite una respuesta automatizada a las amenazas en tiempo real, aislando los sistemas comprometidos. Está disponible para los Access Points inalámbricos de Sophos (sólo la serie AP6) y los Sophos Switch.

¿Puede utilizarse Active Threat Response sin Sophos Firewall?

Sí, Active Threat Response también puede utilizarse sin Sophos Firewall. Sin embargo, la combinación con Sophos Firewall ofrece una protección más completa en todos los niveles de la red.

¿Por qué son un riesgo los dispositivos desprotegidos en la red?

Los dispositivos desprotegidos que no tienen instalado Sophos Endpoint Protection son más vulnerables a los ataques y pueden servir como punto de entrada para que los atacantes se propaguen por la red.

¿Cómo funciona el aislamiento del anfitrión?

Los hosts se aíslan mediante Active Threat Response en combinación con Sophos Central. Cuando se identifica un dispositivo comprometido, su dirección MAC se reenvía a través de una API a todos los Access Points AP6 y Sophos Switch gestionados. Estos dispositivos, ya sean cableados o inalámbricos, gestionados (con Sophos Endpoint Protection) o no gestionados (como un NAS), se aíslan inmediatamente y pierden el acceso a la red. Esto impide que los atacantes sigan propagándose.

¿Necesito MDR y XDR para Active Threat Response?

No, Sophos MDR y XDR no son obligatorios para el uso de Active Threat Response. Sin embargo, la inteligencia sobre amenazas de Sophos MDR y XDR y otras soluciones puede introducirse en el sistema para permitir una detección y respuesta más eficaces a las amenazas.

Patrizio
Patrizio

Patrizio es un experimentado especialista en redes especializado en cortafuegos, conmutadores y puntos de acceso de Sophos. Ayuda a los clientes o a su departamento informático en la configuración y migración de los cortafuegos de Sophos y garantiza una seguridad óptima de la red mediante una segmentación limpia y la gestión de reglas de cortafuegos.

Suscribirse al boletín

Enviamos un boletín mensual con todas las entradas del blog de ese mes.