Active Threat Response voor Sophos Switches en Access Points
Met de nieuwe functie Active Threat Response breidt Sophos de mogelijkheden van Sophos Access Points (alleen AP6-serie) en Sophos Switches uit. Deze functie maakt automatische realtime respons op bedreigingen mogelijk, vooral in combinatie met Sophos MDR, Sophos XDR of oplossingen van derden. Onlangs kreeg Sophos Firewall met de update naar versie 20 nieuwe beveiligingsfuncties, en nu profiteren ook Sophos Switches en Access Points van deze verbeterde dreigingsafweer.
Werking van Active Threat Response
Sophos biedt al op endpoints een effectieve beschermingsmaatregel tegen laterale bewegingen van aanvallers. Laterale bewegingen verwijzen naar de verspreiding van een aanvaller binnen een netwerk, nadat deze een eerste toegangspunt heeft gecompromitteerd. De aanvaller probeert zich daarbij van het ene apparaat naar het andere te bewegen om gevoelige gegevens te stelen of verdere systemen te infecteren.
Niet elk apparaat in het netwerk is echter uitgerust met Sophos Endpoint, en juist deze onbeschermde apparaten zijn vaak het doelwit van aanvallen. Hier komt Network Detection and Response (NDR) in beeld. NDR monitort het netwerkverkeer continu en analyseert datapakketten op afwijkingen die op verdachte activiteiten kunnen wijzen. Daardoor kunnen bedreigingen worden herkend voordat ze ernstige schade aanrichten.
Access Points en Switches zijn vaak de eerste contactpunten in de netwerkcommunicatie van eindapparaten. Daardoor bieden ze een ideaal platform om bedreigingen snel te herkennen en erop te reageren. Met Active Threat Response kunnen gecompromitteerde systemen met behulp van Threat Feeds die via een API worden aangestuurd in realtime worden geïsoleerd. Dit voorkomt laterale bewegingen van aanvallers in het netwerk en maakt gerichte tegenmaatregelen mogelijk.
- Sophos Knowledge Base - Active Threat Response Switches
- Sophos Knowledge Base - Active Threat Response Access Points
Threat Feeds en isolatie
De Threat Feeds zijn afkomstig van betrouwbare bronnen (Sophos of derden) en bevatten de MAC-adressen van gecompromitteerde apparaten. Deze informatie wordt doorgestuurd naar alle AP6 Access Points en Sophos Switches in het netwerk die in hetzelfde Sophos Central-account worden beheerd. Zodra een gecompromitteerd apparaat wordt geïdentificeerd, wordt het onmiddellijk geïsoleerd en verliest het toegang tot het netwerk. Dit voorkomt dat aanvallers zich verder verspreiden en biedt waardevolle tijd voor tegenmaatregelen en opschoning.
Voordelen van het Sophos-ecosysteem
Active Threat Response breidt de unieke functionaliteit van het Sophos-ecosysteem uit met verschillende cruciale voordelen:
- Isolatie van hosts: Bekabelde en draadloze apparaten, inclusief beheerde hosts (clients en servers met Sophos Endpoint) en onbeheerde apparaten (zoals printers).
- Voorkomen van laterale bewegingen: Door de onmiddellijke isolatie van gecompromitteerde systemen wordt voorkomen dat aanvallers zich verder verspreiden binnen het netwerk, wat meer tijd biedt voor de opschoning van incidenten.
- Gebruik van Threat Feeds: Threat Feeds uit meerdere betrouwbare bronnen worden gebruikt om uitgebreide en actuele dreigingsdetectie te garanderen.
Beschikbaarheid en licenties
Active Threat Response is per direct beschikbaar via Sophos Central voor Sophos Wireless (alleen AP6-serie) en Sophos Switch. Voor gebruik is een geldige supportsubscription voor elk AP6 Access Point of elke Switch vereist.
Integratie met Sophos Firewall
Hoewel een Sophos Firewall geen voorwaarde is voor het gebruik van Active Threat Response, zorgt de combinatie met Sophos Wireless, Sophos Switch en Sophos Firewall voor uitgebreide bescherming op alle netwerklagen. Deze combinatie maakt verschillende responsmaatregelen en uitgebreidere automatiseringen mogelijk, waardoor beveiligingsincidenten sneller kunnen worden opgeschoond.
Overzicht en beoordeling
Switches
Na een wachttijd van meer dan twee jaar brengt Sophos met Active Threat Response eindelijk een functie die Sophos Switches echt onderscheidt. Tot nu toe verschilden Sophos Switches nauwelijks van die van andere fabrikanten, afgezien van het beheer via Sophos Central, en dat nog steeds met een afgeslankte functionaliteit.
Toch betekent Active Threat Response een belangrijke stap vooruit in de dreigingsafweer. Door de integratie met Sophos MDR, Sophos XDR en oplossingen van derden wordt een snelle en effectieve respons op bedreigingen mogelijk. Dit zorgt niet alleen voor betere bescherming, maar maakt het ook mogelijk om beveiligingsincidenten efficiënter te beheren en de netwerkintegriteit te behouden.
Access Points
De Sophos AP6 Access Points zijn pas zes maanden op de markt, maar technologisch zijn ze met Wi-Fi 6 al niet meer helemaal actueel. Bovendien ontbreken in Sophos Central, de controller voor de Access Points, nog steeds functies die bij de oudere APX-modellen beschikbaar waren en naar verwachting pas tegen het einde van het jaar worden geïmplementeerd.
Daarnaast melden verschillende klanten problemen met de Access Points, vooral op het gebied van bereik. Pas met de introductie van Active Threat Response komt er weer een significante nieuwe functionaliteit bij.
Het blijft echter afwachten of dit voldoende is om te kunnen concurreren met het uitgebreide aanbod van andere fabrikanten.
Samenvattend kan men zeggen dat Sophos Switches en Access Points door de introductie van Active Threat Response waardevoller zijn geworden. Toch hangt de beslissing om in Sophos-netwerkhardware te investeren sterk af van de specifieke eisen en de bestaande IT-infrastructuur.
FAQ
Voor welke producten is Active Threat Response beschikbaar?
Is er een speciale licentie of subscription nodig om Active Threat Response te kunnen gebruiken?
Welke apparaten ondersteunen Active Threat Response?
Wat is Sophos Active Threat Response?
Kan Active Threat Response zonder Sophos Firewall worden gebruikt?
Waarom vormen onbeschermde apparaten in het netwerk een risico?
Hoe werkt de isolatie van hosts?
Heb ik MDR en XDR nodig voor Active Threat Response?
