Ir al contenido
Avanet
Sophos Central Update – Enhanced Protection para servidores y mucho más

Sophos Central Update – Enhanced Protection para servidores y mucho más

3. MARZO 2020

En los dos últimos meses, Sophos ha publicado varias novedades para la plataforma Central, que aquí se resumen de manera concisa. Comenzamos con el inminente fin de soporte para Windows 7 y Windows Server 2008 R2.

Próximo fin de soporte para Windows 7 y Windows Server 2008 R2

Microsoft puso fin al soporte de Windows 7 y Windows Server 2008 R2 el 14 de enero de 2020. Como consecuencia, Sophos solo dará soporte limitado a estos sistemas operativos. El soporte estándar finalizará oficialmente el 31 de diciembre de 2021.

Windows 7

  • Fin del soporte estándar: 31 de diciembre de 2021
  • Fin del soporte ampliado: 31 de marzo de 2025

Windows Server 2008 R2

  • Fin del soporte estándar: 31 de diciembre de 2021
  • Fin del soporte ampliado: 31 de marzo de 2025

Información: el soporte para Windows Server 2008 finalizará el 31 de julio de 2020.

Soporte ampliado

Para entornos en los que el 31 de diciembre de 2021 no sea un plazo suficiente para sustituir todos los sistemas, Sophos ofrece una ampliación de soporte. Mediante una licencia adicional, el soporte de los siguientes productos se prolonga hasta el 31 de marzo de 2025:

  • Intercept X Advanced / Intercept X Advanced with EDR
  • Intercept X Advanced for Server / Intercept X Advanced for Server with EDR
  • Central Endpoint Protection / Central Server Protection
  • Endpoint Protection Standard / Endpoint Protection Advanced
  • Server Protection for Virtualization, Windows y Linux / Server Protection Enterprise

Quien esté interesado en esta ampliación de soporte puede ponerse en contacto fácilmente a través del formulario de contacto para recibir una oferta personalizada.

Sophos Intercept X Enhanced Protection (beta) ahora también para servidores

En octubre de 2019, Sophos lanzó un programa beta para Intercept X Enhanced Protection. El objetivo es ampliar Intercept X e incorporar funciones adicionales para defenderse de las amenazas actuales. Los ataques de ransomware siguen siendo muy frecuentes también en 2020; nombres como EMOTET están a la orden del día. Por ello, Sophos trabaja intensamente en reforzar de manera continua la tecnología Intercept X.

En su primera versión, Intercept X Enhanced Protection incluía ya dos funciones: Anti‑Malware Scanning Interface (AMSI) y Intrusion Prevention System (IPS).

En diciembre de 2019 se añadieron otros mecanismos de protección clave para sistemas Windows, que ahora están disponibles también para Windows Server a partir de la versión 2008 R2:

Protección frente a ataques de Encrypting File System (EFS Guard)

Desde Windows 2000, Microsoft integra en su sistema operativo la función EFS (Encrypting File System). A diferencia de BitLocker, que cifra una unidad completa, EFS se usa para cifrar archivos y carpetas concretos.

Los atacantes han encontrado formas de aprovechar esta función con fines maliciosos y cifrar archivos directamente mediante las API de la función de cifrado integrada (EFS). La «ventaja» para ellos es que no necesitan descargar malware adicional. Con EFS Guard, Intercept X puede ahora protegerse específicamente frente a este tipo de ataques.

Protección frente a ataques de Encrypting File System (EFS Guard)

Protección dinámica frente a shellcode

Los desarrolladores de malware recurren cada vez más a los llamados «stagers»: pequeños programas aparentemente inofensivos que descargan el código malicioso real en la memoria temporal y lo ejecutan allí. Las soluciones antimalware clásicas tienen dificultades para detectar este patrón. Gracias al análisis de comportamiento, la protección dinámica frente a shellcode puede defenderse precisamente de esta técnica. En cuanto se detecta un comportamiento similar al de un stager, la detección entra en acción y detiene la aplicación.

Protección dinámica frente a shellcode

CTF es una vulnerabilidad en un componente de Windows presente desde Windows XP. Permite a atacantes no autorizados controlar prácticamente cualquier proceso de Windows, incluidas aplicaciones que se ejecutan en una sandbox. Para evitar que se siga explotando el protocolo CTF, el equipo Sophos Threat Mitigation ha desarrollado la función CTF Guard e integrado esta capacidad en la política de protección contra amenazas.

Validar CTF Protocol Caller (CTF Guard)

La función ApiSetGuard impide que las aplicaciones carguen DLL maliciosas que se hacen pasar por ApiSet‑Stub DLLs. Estas DLL stub ayudan a que las aplicaciones sigan siendo compatibles con versiones más recientes de Windows. Un atacante puede colocar DLL stub manipuladas en el sistema para modificar el comportamiento de funciones –por ejemplo, para intentar desactivar la protección contra manipulaciones de Sophos y detener el cliente de Sophos.

Evitar el side‑loading de módulos no seguros (ApiSetGuard)

Firma DKIM de correos electrónicos

Quienes usan Sophos Central Email para analizar el tráfico entrante y saliente pueden ahora firmar los correos con DKIM. Para configurar esta opción, hay que ir a «Ajustes» en Central Email y seleccionar el menú «Configuración de dominio/Estado». Al hacer clic en un dominio para el que también se analiza el tráfico saliente, aparece bajo el resumen la opción de crear una nueva clave DKIM. A continuación se muestra una breve guía con todos los datos necesarios para configurar el registro DKIM.

Sophos Central Email Gateway – firma DKIM de correos electrónicos

Dirección de correo personalizable para formaciones de Phish Threat

Sophos Central Phish Threat sirve para concienciar a los empleados sobre los correos de phishing. Hasta ahora, los correos automatizados de formación y registro no siempre parecían fiables cuando procedían de «Sophos training@staysafe.sophos.com». Más de una persona se habrá preguntado si realmente debía hacer clic en el enlace. 😅

Sophos ha reaccionado y ahora permite utilizar un dominio propio para las captured‑you emails (correos de «te hemos pillado»), recordatorios y correos de registro que se envían a los usuarios finales.

Para ello, hay que ir a «Ajustes» en Phish Threat y abrir el menú «Correos de registro y recordatorio de formación». Allí se puede activar y verificar una dirección de correo personalizada. En nuestras pruebas, tanto el correo de verificación como el posterior correo de prueba terminaron inicialmente en la carpeta de spam. 🙄 La configuración se aplica a cada cuenta de Central y no puede definirse de forma distinta para cada campaña.

Dirección de correo personalizable para formaciones de Phish Threat
David

David

David es responsable del contenido, la estructura y la implementacion digital en Avanet. Su enfoque consiste en presentar temas tecnicos complejos de forma clara, precisa y orientada a buscadores.