Active Threat Response voor Sophos Switches en Access Points

Met de nieuwe functie Active Threat Response breidt Sophos de mogelijkheden van de Sophos Access Point (alleen AP6-serie) en Sophos Switches uit. Deze functie maakt een automatische real-time respons op bedreigingen mogelijk, met name in combinatie met Sophos MDR, Sophos XDR of oplossingen van derden. Onlangs ontving de Sophos Firewall met de update naar Versie 20 nieuwe beveiligingsfuncties, en nu profiteren ook Sophos Switches en Access Points van deze verbeterde dreigingsverdediging.

Werking van Active Threat Response

Sophos biedt al op endpoints een effectieve beschermingsmaatregel tegen laterale bewegingen van aanvallers. Laterale bewegingen verwijzen naar de verspreiding van een aanvaller binnen een netwerk, nadat deze een eerste toegangspunt heeft gecompromitteerd. De aanvaller probeert zich daarbij van het ene apparaat naar het andere te bewegen om gevoelige gegevens te stelen of verdere systemen te infecteren.

Echter, niet elk apparaat in het netwerk is uitgerust met Sophos Endpoint, en precies deze onbeschermde apparaten zijn vaak het doelwit van aanvallen. Hier komt Network Detection and Response (NDR) in het spel. NDR monitort het netwerkverkeer continu en analyseert datapakketten op afwijkingen die kunnen duiden op verdachte activiteiten. Dit maakt de detectie van bedreigingen mogelijk voordat ze ernstige schade kunnen aanrichten.

Access points en switches zijn vaak de eerste contactpunten in de netwerkcommunicatie van eindapparaten. Daardoor bieden ze een ideaal platform om bedreigingen snel te detecteren en erop te reageren. Met Active Threat Response kunnen gecompromitteerde systemen met behulp van dreigingsfeeds, die via een API worden aangestuurd, in realtime worden geïsoleerd. Dit voorkomt de laterale beweging van aanvallers in het netwerk en maakt gerichte tegenmaatregelen mogelijk.

Dreigingsfeeds en isolatie

De dreigingsfeeds zijn afkomstig van betrouwbare bronnen (Sophos of derden) en bevatten de MAC-adressen van de gecompromitteerde apparaten. Deze informatie wordt doorgestuurd naar alle AP6 Access Points en Sophos Switches in het netwerk die in hetzelfde Sophos Central-account worden beheerd. Zodra een gecompromitteerd apparaat wordt geïdentificeerd, wordt het onmiddellijk geïsoleerd en verliest het de toegang tot het netwerk. Dit voorkomt dat aanvallers zich verder kunnen verspreiden en biedt waardevolle tijd voor tegenmaatregelen en opruimingsprocessen.

Active Threat Response - Netwerkaanvalvoorbeeld

Voordelen van het Sophos-ecosysteem

Active Threat Response breidt de unieke functionaliteit van het Sophos-ecosysteem uit met verschillende cruciale voordelen:

Isolatie van hosts: Bedrade en draadloze apparaten, inclusief beheerde hosts (clients en servers met Sophos Endpoint) en onbeheerde apparaten (zoals een NAS).
Voorkomen van laterale bewegingen: Door de onmiddellijke isolatie van gecompromitteerde systemen wordt voorkomen dat aanvallers zich verder verspreiden binnen het netwerk, wat meer tijd biedt voor het opruimen van incidenten.
Gebruik van dreigingsfeeds: Dreigingsfeeds uit meerdere betrouwbare bronnen (Sophos of derden) worden gebruikt om een uitgebreide en up-to-date dreigingsdetectie te garanderen.

Beschikbaarheid en licenties

Active Threat Response is nu beschikbaar via Sophos Central voor Sophos Wireless (alleen AP6-serie) en Sophos Switch. Voor het gebruik is een geldig supportabonnement voor elke AP6 Access Point of Switch vereist.

Integratie met Sophos Firewall

Hoewel een Sophos Firewall geen vereiste is voor het gebruik van Active Threat Response, zorgt de combinatie met Sophos Wireless, Sophos Switch en Sophos Firewall voor een uitgebreide bescherming over alle netwerklagen. Deze combinatie maakt verschillende responsmaatregelen en uitgebreide automatiseringen mogelijk die een snellere opruiming van beveiligingsincidenten mogelijk maken.

Overzicht en beoordeling

Switches

Na een wachttijd van meer dan twee jaar introduceert Sophos met Active Threat Response eindelijk een functie die Sophos Switches echt onderscheidt van andere. Tot nu toe verschilden Sophos Switches nauwelijks van die van andere fabrikanten, afgezien van het beheer via Sophos Central en dit nog steeds met een beperkt scala aan functies.

Desalniettemin vertegenwoordigt Active Threat Response een belangrijke vooruitgang in de dreigingsverdediging. Door integratie met Sophos MDR, Sophos XDR en oplossingen van derden wordt een snelle en effectieve respons op bedreigingen gewaarborgd. Dit maakt niet alleen een betere bescherming mogelijk, maar ook een efficiënter beheer van beveiligingsincidenten en het behoud van de netwerkintegriteit.

Access Points

De Sophos AP6 Access Points zijn pas zes maanden op de markt, maar technologisch zijn ze met Wi-Fi 6 al niet meer up-to-date. Bovendien ontbreken op Sophos Central, de controller voor de Access Points, nog steeds functies die beschikbaar waren op de oudere APX-modellen en die pas tegen het einde van het jaar geïmplementeerd zouden moeten worden.

Bovendien melden verschillende klanten problemen met de Access Points, met name met betrekking tot het bereik. Pas de introductie van Active Threat Response brengt weer een significante nieuwe functionaliteit met zich mee.

Het blijft echter afwachten of dit voldoende is om te kunnen concurreren met het uitgebreide aanbod van andere fabrikanten.

Samenvattend kan men stellen dat de Sophos-switches en Access Points door de introductie van Active Threat Response waardevoller zijn geworden. Toch hangt de beslissing om te investeren in Sophos netwerkhardware sterk af van de specifieke eisen en de bestaande IT-infrastructuur.

FAQ

Voor welke producten is Active Threat Response beschikbaar?

Active Threat Response is nu beschikbaar via Sophos Central voor Sophos Wireless (alleen AP6-serie) en Sophos Switch.

Heeft men een speciale licentie of abonnement nodig om Active Threat Response te kunnen gebruiken?

Ja, voor het gebruik van Active Threat Response is een geldig supportabonnement voor elke AP6 Access Point of Switch vereist.

Welke apparaten ondersteunen Active Threat Response?

De Sophos AP6 Access Points en alle Sophos Switches worden ondersteund.

Wat is Sophos Active Threat Response?

Active Threat Response is een nieuwe functie van Sophos die een automatische realtime reactie op bedreigingen mogelijk maakt door gecompromitteerde systemen te isoleren. Het is beschikbaar voor Sophos Wireless Access Points (alleen AP6-serie) en Sophos Switches.

Kan Active Threat Response zonder Sophos Firewall worden gebruikt?

Ja, Active Threat Response kan ook zonder Sophos Firewall worden gebruikt. De combinatie met Sophos Firewall biedt echter een uitgebreidere bescherming over alle netwerklagen.

Waarom vormen onbeschermde apparaten in het netwerk een risico?

Onbeschermde apparaten die geen Sophos Endpoint Protection hebben geïnstalleerd, zijn kwetsbaarder voor aanvallen en kunnen dienen als toegangspunt voor aanvallers om zich in het netwerk te verspreiden.

Hoe werkt de isolatie van hosts?

De isolatie van hosts vindt plaats door Active Threat Response in combinatie met Sophos Central. Wanneer een gecompromitteerd apparaat wordt geïdentificeerd, wordt het MAC-adres via een API doorgestuurd naar alle beheerde AP6 Access Points en Sophos Switches in het netwerk. Deze apparaten, bedraad of draadloos, beheerd (met Sophos Endpoint Protection) of onbeheerd (zoals een NAS), worden onmiddellijk geïsoleerd en verliezen de toegang tot het netwerk. Dit voorkomt dat aanvallers zich verder kunnen verspreiden.

Heb ik MDR en XDR nodig voor Active Threat Response?

Nee, voor het gebruik van Active Threat Response zijn Sophos MDR en XDR niet strikt noodzakelijk. Echter, dreigingsinformatie van Sophos MDR en XDR, evenals andere oplossingen, kan in het systeem worden ingevoerd om een effectievere detectie en respons op bedreigingen mogelijk te maken.