Naar de inhoud
Avanet
Sophos Central Update – Enhanced Protection voor servers en meer

Sophos Central Update – Enhanced Protection voor servers en meer

3. MAART 2020

In de afgelopen twee maanden heeft Sophos verschillende vernieuwingen voor het Central‑platform uitgebracht, die in dit artikel beknopt worden samengevat. We beginnen met het naderende einde van de ondersteuning voor Windows 7 en Windows Server 2008 R2.

Naderend einde van ondersteuning voor Windows 7 en Windows Server 2008 R2

Voor Windows 7 en Windows Server 2008 R2 heeft Microsoft de ondersteuning op 14 januari 2020 definitief beëindigd. Als gevolg daarvan zal Sophos deze twee besturingssystemen alleen nog beperkt ondersteunen. De standaardondersteuning eindigt officieel op 31 december 2021.

Windows 7

  • Einde van de standaardondersteuning: 31 december 2021
  • Einde van de verlengde ondersteuning: 31 maart 2025

Windows Server 2008 R2

  • Einde van de standaardondersteuning: 31 december 2021
  • Einde van de verlengde ondersteuning: 31 maart 2025

Info: de ondersteuning voor Windows Server 2008 eindigt op 31 juli 2020.

Verlengde ondersteuning aanschaffen

Voor omgevingen waarin 31 december 2021 niet voldoende tijd biedt om systemen te migreren, biedt Sophos een verlengde ondersteuning. Met een extra licentie wordt de ondersteuning voor de volgende producten verlengd tot 31 maart 2025:

  • Intercept X Advanced/Intercept X Advanced with EDR
  • Intercept X Advanced for Server/Intercept X Advanced for Server with EDR
  • Central Endpoint Protection/Central Server Protection
  • Endpoint Protection Standard/Endpoint Protection Advanced
  • Server Protection for Virtualization, Windows en Linux/Server Protection Enterprise

Wie interesse heeft in verlengde ondersteuning kan eenvoudig contact opnemen via het contactformulier – vervolgens wordt een passend aanbod opgesteld.

Sophos Intercept X Enhanced Protection (beta) nu ook voor servers beschikbaar

In oktober 2019 is Sophos een bètaprogramma gestart voor Intercept X Enhanced Protection. Het doel is Intercept X verder uit te breiden en extra functies te bieden om actuele malware tegen te houden. Ransomware‑aanvallen nemen ook in 2020 niet af – namen als EMOTET duiken overal op. Daarom werkt Sophos er hard aan om de Intercept X‑technologie continu te versterken.

In de eerste versie omvatte Intercept X Enhanced Protection al de twee functies Anti‑Malware Scanning Interface (AMSI) en Intrusion Prevention System (IPS).

In december 2019 zijn daar verdere kernmechanismen voor de bescherming van Windows‑systemen bij gekomen, die nu ook beschikbaar zijn voor Windows Server vanaf versie 2008 R2:

Bescherming tegen Encrypting File System‑aanvallen (EFS Guard)

Sinds Windows 2000 heeft Microsoft een functie met de naam EFS (Encrypting File System) in het besturingssysteem geïntegreerd. Deze mag niet worden verward met BitLocker, dat een volledige schijf versleutelt; EFS wordt gebruikt om specifieke bestanden en mappen te versleutelen.

Aanvallers hebben manieren gevonden om deze functie te misbruiken en bestanden rechtstreeks via de API’s van de ingebouwde versleutelfunctie (EFS) te versleutelen. Het “voordeel” voor de aanvallers: er hoeft geen extra malware te worden gedownload. Met EFS Guard kan Intercept X nu gericht tegen dit type aanvallen beschermen.

Bescherming tegen Encrypting File System‑aanvallen (EFS Guard)

Dynamische bescherming tegen shellcode

De ontwikkelaars van nieuwe malware gebruiken steeds vaker zogenaamde “stagers”. Dit zijn kleine, ogenschijnlijk onschuldige programma’s die de eigenlijke kwaadaardige code in het tijdelijke geheugen laden en daar uitvoeren. Klassieke anti‑malwareoplossingen herkennen dit patroon maar moeilijk. Door gedragsanalyse kan de dynamische bescherming tegen shellcode precies deze techniek tegengaan. Zodra gedrag wordt gedetecteerd dat lijkt op dat van een stager, grijpt de detectie in en wordt de toepassing gestopt.

Dynamische bescherming tegen shellcode

CTF is een kwetsbaarheid in een Windows‑component die al sinds Windows XP bestaat. Deze maakt het mogelijk dat niet‑geautoriseerde aanvallers willekeurige Windows‑processen kunnen aansturen – inclusief applicaties die in een sandbox draaien. Om te voorkomen dat het CTF‑protocol wordt misbruikt, heeft het Sophos Threat Mitigation‑team de functie CTF Guard ontwikkeld en in het Threat Protection‑beleid geïntegreerd.

CTF Protocol Caller valideren (CTF Guard)

De functie ApiSetGuard voorkomt dat applicaties kwaadaardige DLL’s laden die zich voordoen als ApiSet‑stub‑DLL’s. ApiSet‑stub‑DLL’s helpen applicaties compatibel te blijven met nieuwere Windows‑versies. Aanvallers kunnen gemanipuleerde ApiSet‑stub‑DLL’s op een systeem plaatsen om functies te wijzigen – bijvoorbeeld om de Sophos‑manipulatiebeveiliging te omzeilen en de Sophos‑client te beëindigen.

Sideloading van onveilige modules voorkomen (ApiSetGuard)

DKIM‑ondertekening van e‑mails

Wie Sophos Central Email gebruikt om inkomende en uitgaande e‑mail te scannen, kan berichten nu met een DKIM‑handtekening voorzien. Voor de configuratie gaat men naar de “Instellingen” van Central Email en kiest het menu “Domeininstellingen/status”. Klikt men op een domein waarvoor ook het uitgaande verkeer wordt gecontroleerd, dan verschijnt onder het overzicht de optie om een nieuwe DKIM‑sleutel aan te maken. Vervolgens wordt een korte handleiding met alle benodigde gegevens voor de configuratie van het DKIM‑record weergegeven.

Sophos Central Email Gateway – DKIM‑ondertekening van e‑mails

Aanpasbaar e‑mailadres voor Phish Threat‑training

Sophos Central Phish Threat helpt medewerkers bewust te maken van phishing‑e‑mails. Tot nu toe zagen de automatische trainings‑ en registratie‑e‑mails er echter niet altijd betrouwbaar uit wanneer ze werden verzonden vanaf “Sophos training@staysafe.sophos.com”. Menigeen zal zich hebben afgevraagd of het wel verstandig was om op de link te klikken. 😅

Sophos heeft hierop gereageerd en maakt het nu mogelijk om voor simulatie-e-mails, herinneringsmails en registratie‑e‑mails die naar eindgebruikers worden verstuurd een eigen domein te configureren.

Hiervoor gaat men naar de “Instellingen” van Phish Threat en opent men de sectie “Aanmeldings‑ en herinneringsmails voor training”. Daar kan een aangepast e‑mailadres worden geactiveerd en geverifieerd. In tests kwamen zowel de verificatie‑e‑mail als de daaropvolgende testmail in eerste instantie in de map met ongewenste e‑mail terecht. 🙄 De configuratie geldt per Central‑account en kan niet per campagne verschillend worden ingesteld.

Aanpasbaar e‑mailadres voor Phish Threat‑training
David

David

David is verantwoordelijk voor content, structuur en digitale implementatie bij Avanet. Zijn focus ligt op het helder, precies en zoekvriendelijk uitwerken van complexe technische onderwerpen.