Vai al contenuto
Avanet
Sophos Central Update – Enhanced Protection per server e molto altro

Sophos Central Update – Enhanced Protection per server e molto altro

3. MARZO 2020

Negli ultimi due mesi Sophos ha introdotto diverse novità per la piattaforma Central, riassunte in modo compatto in questo articolo. Si inizia con la prossima fine del supporto per Windows 7 e Windows Server 2008 R2.

Imminente fine del supporto per Windows 7 e Windows Server 2008 R2

Per Windows 7 e Windows Server 2008 R2 Microsoft ha definitivamente interrotto il supporto il 14 gennaio 2020. Di conseguenza anche Sophos offrirà solo un supporto limitato per questi due sistemi operativi. Il supporto standard termina ufficialmente il 31 dicembre 2021.

Windows 7

  • Fine del supporto standard: 31 dicembre 2021
  • Fine del supporto esteso: 31 marzo 2025

Windows Server 2008 R2

  • Fine del supporto standard: 31 dicembre 2021
  • Fine del supporto esteso: 31 marzo 2025

Info: il supporto per Windows Server 2008 termina il 31 luglio 2020.

Acquisto di un supporto esteso

Per gli ambienti in cui il termine del 31 dicembre 2021 non è sufficiente per sostituire i sistemi, Sophos offre un supporto esteso. Con una licenza aggiuntiva il supporto per i seguenti prodotti viene prolungato fino al 31 marzo 2025:

  • Intercept X Advanced/Intercept X Advanced with EDR
  • Intercept X Advanced for Server/Intercept X Advanced for Server with EDR
  • Central Endpoint Protection/Central Server Protection
  • Endpoint Protection Standard/Endpoint Protection Advanced
  • Server Protection for Virtualization, Windows e Linux/Server Protection Enterprise

Chi è interessato a un supporto esteso può contattarci comodamente tramite il modulo di contatto – verrà quindi preparata un’offerta adeguata.

Sophos Intercept X Enhanced Protection (beta) ora disponibile anche per server

Nell’ottobre 2019 Sophos ha avviato un programma beta per Intercept X Enhanced Protection. L’obiettivo è ampliare ulteriormente Intercept X e offrire funzionalità aggiuntive per contrastare il malware attuale. Anche nel 2020 gli attacchi ransomware non accennano a diminuire – nomi come EMOTET sono onnipresenti. Di conseguenza Sophos lavora intensamente per rafforzare continuamente la tecnologia Intercept X.

Nella prima versione Intercept X Enhanced Protection includeva già le due funzioni Anti-Malware Scanning Interface (AMSI) e Intrusion Prevention System (IPS).

Nel dicembre 2019 sono stati aggiunti ulteriori meccanismi di protezione fondamentali per i sistemi Windows, ora disponibili anche per Windows Server dalla versione 2008 R2:

Protezione contro gli attacchi Encrypting File System (EFS Guard)

Da Windows 2000 Microsoft ha integrato nel sistema operativo una funzionalità chiamata EFS (Encrypting File System). Da non confondere con BitLocker, che consente di crittografare un intero disco, EFS viene utilizzato per crittografare singoli file e cartelle.

Gli aggressori hanno trovato modi per abusare di questa funzionalità e crittografare i file direttamente tramite le API della funzione di crittografia integrata (EFS). Il “vantaggio” per gli aggressori: non è necessario scaricare ulteriore malware. Con EFS Guard Intercept X può ora proteggere in modo mirato da questo tipo di attacchi.

Protezione contro gli attacchi Encrypting File System (EFS Guard)

Protezione dinamica contro il shellcode

Gli sviluppatori di nuovo malware ricorrono sempre più spesso ai cosiddetti “stager”. Si tratta di piccoli programmi apparentemente innocui che caricano il vero codice malevolo nella memoria temporanea ed eseguono lì il payload. Le soluzioni anti‑malware classiche faticano a riconoscere questo schema. Grazie all’analisi del comportamento, la protezione dinamica contro il shellcode consente di difendersi proprio da questa tecnica. Non appena viene rilevato un comportamento tipico di uno stager, l’algoritmo di rilevamento interviene e arresta l’applicazione.

Protezione dinamica contro il shellcode

CTF è una vulnerabilità in un componente di Windows presente fin da Windows XP. Consente ad aggressori non autorizzati di controllare processi Windows arbitrari – comprese le applicazioni eseguite in una sandbox. Per impedire che il protocollo CTF venga sfruttato, il team Sophos Threat Mitigation ha sviluppato la funzionalità CTF Guard e l’ha integrata nei criteri di protezione dalle minacce.

Convalidare CTF Protocol Caller (CTF Guard)

La funzionalità ApiSetGuard impedisce alle applicazioni di caricare DLL malevole che si spacciano per ApiSet stub DLL. Queste ultime aiutano i programmi a rimanere compatibili con le versioni più recenti di Windows. Gli aggressori possono collocare ApiSet stub DLL manipolate su un sistema per modificare il funzionamento dei programmi – ad esempio per aggirare la protezione contro le manomissioni di Sophos e terminare il client Sophos.

Impedire il side‑loading di moduli non sicuri (ApiSetGuard)

Firma DKIM delle email

Chi utilizza Sophos Central Email per analizzare il traffico in entrata e in uscita può ora firmare i messaggi con DKIM. Per configurare la funzione si apre il menu “Impostazioni” di Central Email e si seleziona la voce “Impostazioni/stato del dominio”. Facendo clic su un dominio per il quale viene analizzato anche il traffico in uscita, sotto il riepilogo viene visualizzata l’opzione per creare una nuova chiave DKIM. Viene quindi mostrata una breve guida con tutte le informazioni necessarie per configurare il record DKIM.

Sophos Central Email Gateway – firma DKIM delle email

Indirizzo email personalizzabile per la formazione Phish Threat

Sophos Central Phish Threat serve a sensibilizzare il personale aziendale sulle email di phishing. Finora tuttavia le email automatizzate di formazione e registrazione non sempre apparivano affidabili, dato che provenivano da “Sophos training@staysafe.sophos.com”. Più di una persona avrà probabilmente avuto dei dubbi se fosse davvero il caso di fare clic sul link. 😅

Sophos ha reagito e ora consente di definire un dominio personalizzato per le email di notifica di rilevamento, le email di promemoria e le email di registrazione inviate alle persone destinatarie.

Per farlo si aprono le “Impostazioni” di Phish Threat e la sezione “Email di registrazione e promemoria per la formazione”. Qui è possibile attivare e verificare un indirizzo email personalizzato. Nei test effettuati, sia l’email di verifica sia la successiva email di prova sono inizialmente finite nella cartella spam. 🙄 La configurazione vale per ogni singolo account Central e non può essere impostata in modo diverso a livello di singole campagne.

Indirizzo email personalizzabile per la formazione Phish Threat
David

David

David e responsabile dei contenuti, della struttura e dell'implementazione digitale in Avanet. Il suo obiettivo e rendere chiari, precisi e ottimizzati per i motori di ricerca i temi tecnici complessi.