Naar de inhoud
Avanet
Sophos Adaptive Attack Protection API

Sophos Adaptive Attack Protection API

26. SEPTEMBER 2024

Het dreigingslandschap evolueert voortdurend en IT-beheerders staan voor de uitdaging om hun netwerken en eindpunten te beschermen tegen steeds geavanceerdere aanvallen. Een bijzonder innovatieve oplossing die daarbij helpt, is de Adaptive Attack Protection API van Sophos. Deze technologie vertegenwoordigt een dynamische beveiligingsmaatregel die bij het detecteren van aanvallen automatisch extra veiligheidsvoorzorgen activeert. In deze blogpost wordt uitgelegd hoe de Adaptive Attack Protection API werkt, welke voordelen het biedt en hoe IT-beheerders deze in hun beveiligingsstrategie kunnen integreren.

Wat is de Adaptive Attack Protection API?

Adaptive Attack Protection (AAP) is een automatisch beschermingsmechanisme dat bij het detecteren van actieve aanvallen op een eindpunt extra beveiligingsmaatregelen activeert. Dit gebeurt zonder handmatige tussenkomst en stelt beheerders in staat om aanvallers effectief te blokkeren en tijd te winnen voor verdere tegenmaatregelen.

Werking

Sophos Central Policy - Adaptive Attack Protection
Sophos Central Policy - Adaptive Attack Protection

De Adaptive Attack Protection detecteert verdachte activiteiten via twee hoofmethoden:

  1. Detectie van aanvalstools: AAP kan het gebruik van gangbare aanvalstools identificeren en dienovereenkomstig reageren.
  2. Detectie van actieve kwaadaardige gedragingen: Door de analyse van het gedrag op het eindpunt kan AAP vroegtijdig tekenen van een lopende aanval herkennen en passende verdedigingsmaatregelen activeren.

Bron: Sophos KB - Adaptive Attack Protection

In dergelijke situaties worden tijdelijke beperkingen geactiveerd, die in het dagelijks leven weliswaar hinderlijk zijn, maar in geval van een aanval noodzakelijk om de verspreiding van de bedreiging te voorkomen.

Voordelen van de Adaptive Attack Protection API

1. Automatische activering

De AAP is standaard in alle Sophos Central Endpoint producten inbegrepen en hoeft niet handmatig te worden geactiveerd. Zodra een potentiële aanval wordt gedetecteerd, worden automatisch de juiste stappen ondernomen.

2. Uitgebreide bescherming bij aanvallen

Wanneer AAP een “hands-on-keyboard”-aanvaller detecteert, worden verhoogde beschermingsmechanismen geactiveerd. Daarbij worden ook acties geblokkeerd die in het dagelijks leven onschadelijk zijn, maar in een aanvalssituatie gevaarlijk zijn. Dit geeft de verdedigers meer tijd om de aanval te neutraliseren.

3. Uitgebreide API-functionaliteiten

Door de uitbreidingen van de Endpoint API is het mogelijk om Adaptive Attack Protection handmatig te activeren of te deactiveren. Dit is vooral nuttig wanneer verdachte activiteiten worden waargenomen, maar een volledige isolatie van het apparaat aanzienlijke operationele storingen zou kunnen veroorzaken.

4. Verhoogde zichtbaarheid en controle

Beheerders worden geïnformeerd over nieuwe gebeurtenissen en waarschuwingen zodra AAP op een apparaat actief wordt. Dit maakt proactieve monitoring en snelle respons op bedreigingen mogelijk.

Sophos Adaptive Attack Protection (AAP) - Overzicht

Integratie in de beveiligingsstrategie

De Adaptive Attack Protection API biedt IT-beheerders de mogelijkheid om hun beveiligingsmaatregelen flexibel en afhankelijk van de situatie aan te passen. Hier zijn enkele aanbevolen toepassingsscenario’s:

1. Geautomatiseerde reactie op bedreigingen

Door de automatische activering van AAP-functionaliteiten kunnen IT-teams reageren op bedreigingen zonder afhankelijk te zijn van handmatige interventies. Dit verkort de tijd tot tegenmaatregelen en minimaliseert het risico van een succesvolle aanval.

2. Gerichte activering tijdens onderzoeken

Bij het onderzoeken van verdachte activiteiten kan AAP handmatig worden geactiveerd om extra verdedigingsmaatregelen te nemen zonder het apparaat volledig van het netwerk te isoleren. Zo kan potentiële schade worden geminimaliseerd terwijl onderzoeken doorgaan.

3. Langdurige activering voor kritieke eindpunten

Voor bijzonder kritieke eindpunten of tijdens een aanhoudende dreigingssituatie kan AAP via de API gedurende langere tijd actief blijven. Dit biedt extra beveiliging en beschermt gevoelige systemen tegen mogelijke aanvallen.

Demo van Adaptive Attack Protection

Deze demo-video toont hoe de AAP van Sophos in realtime reageert op een actieve aanval. De aanvaller probeert verschillende gangbare methoden om het systeem te compromitteren, waaronder het uitvoeren van kwaadaardige PowerShell-scripts, het downloaden van verdachte bestanden en het aanmaken van nieuwe gebruikersaccounts. Bekijk hoe Sophos Endpoint automatisch verhoogde beschermingsmaatregelen activeert om deze bedreigingen te blokkeren en uw IT-omgeving te beschermen.

Demo: Sophos Adaptive Attack Protection (AAP)

FAQ

Moet AAP handmatig worden geactiveerd?

Nee, het is in alle Sophos Endpoint-licenties standaard geactiveerd en hoeft niet handmatig te worden geconfigureerd.

Hoe lang blijft AAP actief?

AAP blijft actief zolang verdachte activiteiten worden gedetecteerd. De duur kan ook handmatig worden verlengd.

Kan AAP op servers worden gebruikt?

Ja, Adaptive Attack Protection is zowel op endpoints als op servers beschikbaar.

Beïnvloedt AAP de systeemprestaties?

De impact op de systeemprestaties is minimaal en alleen relevant tijdens de activering van AAP.
David

David

David is verantwoordelijk voor content, structuur en digitale implementatie bij Avanet. Zijn focus ligt op het helder, precies en zoekvriendelijk uitwerken van complexe technische onderwerpen.