Vai al contenuto
Avanet
Active Threat Response per Sophos Switch e Access Point

Active Threat Response per Sophos Switch e Access Point

Con la nuova funzione Active Threat Response, Sophos estende le capacità dei Sophos Access Points (solo serie AP6) e dei Sophos Switches. Questa funzione consente una risposta automatica alle minacce in tempo reale, in particolare in combinazione con Sophos MDR, Sophos XDR o soluzioni di terze parti. Di recente, Sophos Firewall ha ricevuto nuove funzioni di protezione con l’aggiornamento alla versione 20, e ora anche Sophos Switch e Access Point beneficiano di questa difesa dalle minacce migliorata.

Funzionamento di Active Threat Response

Già sugli endpoint, Sophos offre una misura di protezione efficace contro i movimenti laterali degli aggressori. I movimenti laterali indicano la propagazione di un attaccante all’interno di una rete dopo aver compromesso un primo punto di accesso. L’attaccante cerca quindi di spostarsi da un dispositivo all’altro per sottrarre dati sensibili o infettare altri sistemi.

Tuttavia, non tutti i dispositivi della rete sono dotati di Sophos Endpoint, e proprio questi dispositivi non protetti sono spesso bersaglio di attacchi. È qui che entra in gioco Network Detection and Response (NDR). NDR monitora continuamente il traffico di rete e analizza i pacchetti alla ricerca di anomalie che potrebbero indicare attività sospette. Questo consente di rilevare le minacce prima che possano causare danni seri.

Access Point e switch sono spesso i primi punti di contatto nella comunicazione di rete dei dispositivi finali. Offrono quindi una piattaforma ideale per rilevare rapidamente le minacce e reagire. Con Active Threat Response, i sistemi compromessi possono essere isolati in tempo reale tramite Threat Feeds controllati via API. Questo impedisce il movimento laterale degli aggressori nella rete e consente contromisure mirate.

Threat Feeds e isolamento

I Threat Feeds provengono da fonti affidabili (Sophos o terze parti) e contengono gli indirizzi MAC dei dispositivi compromessi. Queste informazioni vengono inoltrate a tutti gli AP6 Access Point e Sophos Switch della rete gestiti nello stesso account Sophos Central. Non appena un dispositivo compromesso viene identificato, viene isolato immediatamente e perde l’accesso alla rete. Questo impedisce agli aggressori di diffondersi ulteriormente e offre tempo prezioso per contromisure e attività di bonifica.

Active Threat Response - Network Attack
Active Threat Response - Network Attack Example

Vantaggi dell’ecosistema Sophos

Active Threat Response amplia le funzionalità uniche dell’ecosistema Sophos con diversi vantaggi decisivi:

  1. Isolamento degli host: Dispositivi cablati e wireless, inclusi host gestiti (client e server con Sophos Endpoint) e dispositivi non gestiti (come stampanti).
  2. Prevenzione dei movimenti laterali: L’isolamento immediato dei sistemi compromessi impedisce agli aggressori di diffondersi ulteriormente all’interno della rete, offrendo più tempo per la bonifica degli incidenti.
  3. Utilizzo di Threat Feeds: Threat Feeds provenienti da più fonti affidabili vengono utilizzati per garantire un rilevamento completo e aggiornato delle minacce.

Disponibilità e licenze

Active Threat Response è ora disponibile tramite Sophos Central per Sophos Wireless (solo serie AP6) e Sophos Switch. Per utilizzarlo è necessaria una Support Subscription valida per ogni AP6 Access Point o Switch.

Integrazione con Sophos Firewall

Sebbene Sophos Firewall non sia un prerequisito per utilizzare Active Threat Response, la combinazione di Sophos Wireless, Sophos Switch e Sophos Firewall offre una protezione completa su tutti i livelli di rete. Questa combinazione abilita diverse misure di risposta e automazioni avanzate, consentendo una bonifica più rapida degli incidenti di sicurezza.

Panoramica e valutazione

Switch

Dopo un’attesa di oltre due anni, con Active Threat Response Sophos introduce finalmente una funzione che distingue davvero i Sophos Switch dagli altri. Finora i Sophos Switch si differenziavano appena da quelli di altri produttori, fatta eccezione per la gestione tramite Sophos Central, peraltro ancora con un set di funzioni ridotto.

Active Threat Response rappresenta comunque un progresso significativo nella difesa dalle minacce. Grazie all’integrazione con Sophos MDR, Sophos XDR e soluzioni di terze parti, viene garantita una risposta rapida ed efficace alle minacce. Questo consente non solo una protezione migliore, ma anche una gestione più efficiente degli incidenti di sicurezza e il mantenimento dell’integrità della rete.

Access Point

I Sophos AP6 Access Point sono sul mercato solo da sei mesi, ma dal punto di vista tecnologico, con Wi-Fi 6, non sono già più all’ultimo stato dell’arte. Inoltre, in Sophos Central, il controller per gli Access Point, mancano ancora funzioni disponibili sui vecchi modelli APX e che dovrebbero essere implementate solo verso la fine dell’anno.

Inoltre, diversi clienti segnalano problemi con gli Access Point, in particolare per quanto riguarda la portata. Solo l’introduzione di Active Threat Response porta di nuovo una funzionalità nuova e significativa.

Resta tuttavia da vedere se ciò sia sufficiente per competere con l’ampia offerta di altri produttori.

In sintesi, Sophos Switch e Access Point sono diventati più interessanti con l’introduzione di Active Threat Response. Tuttavia, la decisione di investire in hardware di rete Sophos dipende fortemente dai requisiti specifici e dall’infrastruttura IT esistente.

FAQ

Per quali prodotti è disponibile Active Threat Response?

Active Threat Response è ora disponibile tramite Sophos Central per Sophos Wireless (solo serie AP6) e Sophos Switch.

È necessaria una licenza o un abbonamento speciale per utilizzare Active Threat Response?

Sì, per utilizzare Active Threat Response è necessaria una Support Subscription valida per ogni AP6 Access Point o Switch.

Quali dispositivi supportano Active Threat Response?

Sono supportati i Sophos AP6 Access Point e tutti i Sophos Switch.

Cos'è Sophos Active Threat Response?

Active Threat Response è una nuova funzione di Sophos che consente una risposta automatica alle minacce in tempo reale isolando i sistemi compromessi. È disponibile per Sophos Wireless Access Point (solo serie AP6) e Sophos Switch.

Active Threat Response può essere utilizzata senza Sophos Firewall?

Sì, Active Threat Response può essere utilizzata anche senza Sophos Firewall. Tuttavia, la combinazione con Sophos Firewall offre una protezione più completa su tutti i livelli della rete.

Perché i dispositivi non protetti nella rete sono un rischio?

I dispositivi non protetti, sui quali non è installata Sophos Endpoint Protection, sono più esposti agli attacchi e possono fungere da punto di ingresso da cui gli aggressori si diffondono nella rete.

Come funziona l'isolamento degli host?

L’isolamento degli host avviene tramite Active Threat Response in combinazione con Sophos Central. Quando viene identificato un dispositivo compromesso, il suo indirizzo MAC viene inoltrato tramite API a tutti gli AP6 Access Point gestiti e ai Sophos Switch della rete. Questi dispositivi, cablati o wireless, gestiti (con Sophos Endpoint Protection) o non gestiti (come un NAS), vengono isolati immediatamente e perdono l’accesso alla rete. Questo impedisce agli aggressori di diffondersi ulteriormente.

Ho bisogno di MDR e XDR per Active Threat Response?

No, per l’utilizzo di Active Threat Response non sono strettamente necessari Sophos MDR e XDR. Tuttavia, le informazioni sulle minacce provenienti da Sophos MDR e XDR, così come da altre soluzioni, possono essere inserite nel sistema per consentire un rilevamento e una risposta più efficaci alle minacce.
Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.