Active Threat Response pour Sophos Switches et Access Points

Avec la nouvelle fonction Active Threat Response, Sophos étend les capacités des Sophos Access Points (série AP6 uniquement) et des Sophos Switches. Cette fonctionnalité permet une réponse automatique aux menaces en temps réel, notamment en combinaison avec Sophos MDR, Sophos XDR ou des solutions tierces. Récemment, Sophos Firewall a reçu de nouvelles fonctions de protection avec la mise à jour vers la version 20, et Sophos Switches et Access Points bénéficient désormais eux aussi de cette défense améliorée contre les menaces.

Fonctionnement d’Active Threat Response

Sophos offre déjà sur les endpoints une mesure de protection efficace contre les mouvements latéraux des attaquants. Les mouvements latéraux désignent la propagation d’un attaquant au sein d’un réseau après la compromission d’un premier point d’entrée. L’attaquant tente alors de passer d’un appareil à l’autre afin de voler des données sensibles ou d’infecter d’autres systèmes.

Cependant, tous les appareils du réseau ne sont pas équipés de Sophos Endpoint, et ces appareils non protégés sont souvent précisément la cible d’attaques. C’est là qu’intervient le Network Detection and Response (NDR). NDR surveille continuellement le trafic réseau et analyse les paquets de données à la recherche d’anomalies susceptibles d’indiquer une activité suspecte. Cela permet de détecter les menaces avant qu’elles ne puissent causer de sérieux dommages.

Les Access Points et Switches sont souvent les premiers points de contact dans la communication réseau des terminaux. Ils offrent donc une plateforme idéale pour détecter rapidement les menaces et y réagir. Avec Active Threat Response, les systèmes compromis peuvent être isolés en temps réel à l’aide de Threat Feeds pilotés via une API. Cela empêche les mouvements latéraux des attaquants dans le réseau et permet de prendre des contre-mesures ciblées.

Threat Feeds et isolation

Les Threat Feeds proviennent de sources fiables (Sophos ou fournisseurs tiers) et contiennent les adresses MAC des appareils compromis. Ces informations sont transmises à tous les AP6 Access Points et Sophos Switches du réseau qui sont gérés dans le même compte Sophos Central. Dès qu’un appareil compromis est identifié, il est immédiatement isolé et perd l’accès au réseau. Cela empêche les attaquants de se propager davantage et donne un temps précieux pour les contre-mesures et les opérations de remédiation.

Active Threat Response - Network Attack Example

Avantages de l’écosystème Sophos

Active Threat Response étend les fonctionnalités uniques de l’écosystème Sophos avec plusieurs avantages décisifs :

Isolation des hôtes : appareils filaires et sans fil, y compris les hôtes gérés (clients et serveurs avec Sophos Endpoint) et les appareils non gérés (comme les imprimantes).
Prévention des mouvements latéraux : l’isolation immédiate des systèmes compromis empêche les attaquants de se propager davantage au sein du réseau, ce qui laisse plus de temps pour remédier aux incidents.
Utilisation de Threat Feeds : des Threat Feeds provenant de plusieurs sources fiables sont utilisés afin de garantir une détection complète et à jour des menaces.

Disponibilité et licences

Active Threat Response est disponible dès maintenant via Sophos Central pour Sophos Wireless (série AP6 uniquement) et Sophos Switch. Pour l’utiliser, une Support Subscription valide est requise pour chaque AP6 Access Point ou Switch.

Intégration avec Sophos Firewall

Bien qu’une Sophos Firewall ne soit pas une condition préalable à l’utilisation d’Active Threat Response, la combinaison de Sophos Wireless, Sophos Switch et Sophos Firewall offre une protection complète à tous les niveaux du réseau. Cette combinaison permet différentes mesures de réponse et des automatisations avancées, qui accélèrent la remédiation des incidents de sécurité.

Aperçu et évaluation

Switches

Après plus de deux ans d’attente, Sophos apporte enfin avec Active Threat Response une fonction qui distingue réellement Sophos Switches des offres concurrentes. Jusqu’à présent, Sophos Switches ne se différenciaient guère des switches d’autres fabricants, en dehors de la gestion via Sophos Central, toujours avec un périmètre fonctionnel réduit.

Néanmoins, Active Threat Response représente un progrès significatif dans la défense contre les menaces. Grâce à l’intégration avec Sophos MDR, Sophos XDR et des solutions tierces, une réponse rapide et efficace aux menaces est assurée. Cela permet non seulement une meilleure protection, mais aussi une gestion plus efficace des incidents de sécurité et la préservation de l’intégrité du réseau.

Access Points

Les Sophos AP6 Access Points ne sont sur le marché que depuis six mois, mais avec le Wi-Fi 6 ils ne sont déjà plus à la pointe sur le plan technologique. De plus, Sophos Central, le contrôleur des Access Points, manque encore de fonctions qui étaient disponibles sur les anciens modèles APX et qui ne devraient être implémentées que vers la fin de l’année.

Plusieurs clients signalent également des problèmes avec les Access Points, notamment en ce qui concerne la portée. Seule l’introduction d’Active Threat Response apporte de nouveau une fonctionnalité réellement significative.

Il reste cependant à voir si cela suffit à concurrencer les offres étendues d’autres fabricants.

En résumé, Sophos Switches et Access Points gagnent en valeur avec l’introduction d’Active Threat Response. Néanmoins, la décision d’investir dans du matériel réseau Sophos dépend fortement des exigences spécifiques et de l’infrastructure informatique existante.

FAQ

Pour quels produits Active Threat Response est-il disponible ?

Active Threat Response est désormais disponible via Sophos Central pour Sophos Wireless (série AP6 uniquement) et Sophos Switch.

Faut-il une licence ou un abonnement spécial pour utiliser Active Threat Response ?

Oui, pour utiliser Active Threat Response, une Support Subscription valide est requise pour chaque AP6 Access Point ou Switch.

Quels appareils prennent en charge Active Threat Response ?

Les Sophos AP6 Access Points et tous les Sophos Switches sont pris en charge.

Qu'est-ce que Sophos Active Threat Response ?

Active Threat Response est une nouvelle fonctionnalité de Sophos qui permet une réponse automatique aux menaces en temps réel en isolant les systèmes compromis. Elle est disponible pour Sophos Wireless Access Points (série AP6 uniquement) et Sophos Switches.

Active Threat Response peut-elle être utilisée sans Sophos Firewall ?

Oui, Active Threat Response peut également être utilisée sans Sophos Firewall. Cependant, la combinaison avec Sophos Firewall offre une protection plus complète à tous les niveaux du réseau.

Pourquoi les appareils non protégés sur le réseau constituent-ils un risque ?

Les appareils non protégés qui n’ont pas Sophos Endpoint Protection installé sont plus vulnérables aux attaques et peuvent servir de point d’entrée pour les attaquants afin de se propager dans le réseau.

Comment fonctionne l'isolation des hôtes ?

L’isolation des hôtes est effectuée par Active Threat Response en combinaison avec Sophos Central. Lorsqu’un appareil compromis est identifié, son adresse MAC est transmise via une API à tous les AP6 Access Points et Sophos Switches gérés du réseau. Ces appareils, qu’ils soient filaires ou sans fil, gérés (avec Sophos Endpoint Protection) ou non gérés (comme un NAS), sont immédiatement isolés et perdent l’accès au réseau. Cela empêche les attaquants de se propager davantage.

Ai-je besoin de MDR et XDR pour Active Threat Response ?

Non, Sophos MDR et XDR ne sont pas obligatoires pour utiliser Active Threat Response. Toutefois, les informations sur les menaces provenant de Sophos MDR et XDR ainsi que d’autres solutions peuvent être intégrées au système afin de permettre une détection et une réponse plus efficaces aux menaces.