Przejdz do tresci
Avanet
Aktywna Reakcja na Zagrożenia dla przełączników i punktów dostępowych Sophos

Aktywna Reakcja na Zagrożenia dla przełączników i punktów dostępowych Sophos

24. CZERWCA 2024

Dzięki nowej funkcji Active Threat Response, Sophos rozszerza możliwości punktów dostępowych Sophos (tylko seria AP6) i przełączników Sophos. Funkcja ta umożliwia automatyczną reakcję na zagrożenia w czasie rzeczywistym, szczególnie w połączeniu z Sophos MDR, Sophos XDR lub rozwiązaniami innych firm. Niedawno Sophos Firewall otrzymał nowe funkcje ochronne wraz z aktualizacją do wersji 20, a teraz przełączniki i punkty dostępowe Sophos również korzystają z tej ulepszonej obrony przed zagrożeniami.

Działanie Aktywnej Reakcji na Zagrożenia

Sophos oferuje już na punktach końcowych skuteczne środki ochrony przed ruchami lateralnymi atakujących. Ruchy lateralne odnoszą się do rozprzestrzeniania się atakującego w sieci po skompromitowaniu początkowego punktu dostępowego. Atakujący próbuje wówczas przenosić się z jednego urządzenia na drugie, aby ukraść wrażliwe dane lub zainfekować kolejne systemy.

Jednakże, nie każde urządzenie w sieci jest wyposażone w Sophos Endpoint, i to właśnie te niechronione urządzenia są często celem ataków. Tutaj wkracza Network Detection and Response (NDR). NDR nieustannie monitoruje ruch sieciowy i analizuje pakiety danych pod kątem anomalii, które mogą wskazywać na podejrzaną aktywność. Umożliwia to wykrywanie zagrożeń, zanim zdążą wyrządzić poważne szkody.

Punkty dostępowe i przełączniki są często pierwszymi punktami styku w komunikacji sieciowej urządzeń końcowych. Dzięki temu stanowią idealną platformę do szybkiego wykrywania i reagowania na zagrożenia. Dzięki Active Threat Response skompromitowane systemy mogą być izolowane w czasie rzeczywistym za pomocą kanałów zagrożeń, które są sterowane za pomocą interfejsu API. Zapobiega to bocznym ruchom atakujących w sieci i umożliwia ukierunkowane działania zaradcze.

Kanały zagrożeń i izolacja

Kanały zagrożeń pochodzą z zaufanych źródeł (Sophos lub dostawców zewnętrznych) i obejmują adresy MAC skompromitowanych urządzeń. Informacje te są przekazywane do wszystkich punktów dostępowych AP6 i przełączników Sophos w sieci, które są zarządzane w tym samym koncie Sophos Central. Po zidentyfikowaniu skompromitowanego urządzenia jest ono natychmiast izolowane i traci dostęp do sieci. Zapobiega to dalszemu rozprzestrzenianiu się atakujących i zapewnia cenny czas na działania zaradcze i procesy oczyszczania.

Aktywna Reakcja na Zagrożenia - Atak sieciowy
Aktywna Reakcja na Zagrożenia - Przykład ataku sieciowego

Zalety ekosystemu Sophos

Active Threat Response rozszerza unikalną funkcjonalność ekosystemu Sophos o kilka kluczowych korzyści:

  1. Izolacja hostów: Urządzenia przewodowe i bezprzewodowe, w tym hosty zarządzane (klienty i serwery z Sophos Endpoint) oraz urządzenia niezarządzane (takie jak NAS).
  2. Zapobieganie ruchom lateralnym: Natychmiastowa izolacja skompromitowanych systemów zapobiega dalszemu rozprzestrzenianiu się atakujących w sieci, co zapewnia więcej czasu na usuwanie incydentów.
  3. Wykorzystanie kanałów zagrożeń: Kanały zagrożeń z wielu zaufanych źródeł (Sophos lub dostawców zewnętrznych) są wykorzystywane do zapewnienia kompleksowego i aktualnego wykrywania zagrożeń.

Dostępność i licencje

Active Threat Response jest teraz dostępna poprzez Sophos Central dla Sophos Wireless (tylko seria AP6) i Sophos Switch. Do korzystania wymagana jest ważna subskrypcja wsparcia dla każdego punktu dostępowego AP6 lub przełącznika.

Integracja z Sophos Firewall

Chociaż Sophos Firewall nie jest warunkiem koniecznym do korzystania z Active Threat Response, połączenie z Sophos Wireless, Sophos Switch i Sophos Firewall zapewnia kompleksową ochronę na wszystkich poziomach sieci. Ta kombinacja umożliwia różne środki reagowania i rozszerzone automatyzacje, które umożliwiają szybsze usuwanie incydentów bezpieczeństwa.

Przegląd i ocena

Przełączniki

Po ponad dwuletnim oczekiwaniu Sophos wreszcie wprowadza funkcję Active Threat Response, która naprawdę wyróżnia przełączniki Sophos na tle innych. Dotychczas przełączniki Sophos niewiele różniły się od tych innych producentów, poza zarządzaniem przez Sophos Central i to nadal z ograniczonym zakresem funkcji.

Niemniej jednak Active Threat Response stanowi znaczący postęp w obronie przed zagrożeniami. Dzięki integracji z Sophos MDR, Sophos XDR i rozwiązaniami innych firm, zapewniona jest szybka i skuteczna reakcja na zagrożenia. Umożliwia to nie tylko lepszą ochronę, ale także efektywniejsze zarządzanie incydentami bezpieczeństwa i zachowanie integralności sieci.

Punkty dostępowe

Punkty dostępowe Sophos AP6 są na rynku dopiero od sześciu miesięcy, ale technologicznie są już nieaktualne z Wi-Fi 6. Ponadto w Sophos Central, kontrolerze dla punktów dostępowych, nadal brakuje funkcji, które były dostępne w starszych modelach APX i które mają zostać zaimplementowane dopiero pod koniec roku.

Ponadto różni klienci zgłaszają problemy z punktami dostępowymi, szczególnie w zakresie zasięgu. Dopiero wprowadzenie Active Threat Response wnosi znaczącą nową funkcjonalność.

Pozostaje jednak pytanie, czy to wystarczy, aby konkurować z szeroką ofertą innych producentów.

Podsumowując, przełączniki i punkty dostępowe Sophos stały się cenniejsze dzięki wprowadzeniu Active Threat Response. Niemniej jednak, decyzja o inwestowaniu w sprzęt sieciowy Sophos zależy w dużej mierze od specyficznych wymagań i istniejącej infrastruktury IT.

FAQ

Dla jakich produktów dostępna jest Aktywna Reakcja na Zagrożenia?

Active Threat Response jest teraz dostępna poprzez Sophos Central dla Sophos Wireless (tylko seria AP6) i Sophos Switch.

Czy do korzystania z Aktywnej Reakcji na Zagrożenia wymagana jest specjalna licencja lub subskrypcja?

Tak, do korzystania z Active Threat Response wymagana jest ważna subskrypcja wsparcia dla każdego punktu dostępowego AP6 lub przełącznika.

Jakie urządzenia obsługują Active Threat Response?

Obsługiwane są punkty dostępowe Sophos AP6 i wszystkie przełączniki Sophos.

Czym jest Sophos Active Threat Response?

Active Threat Response to nowa funkcja Sophos, która umożliwia automatyczną reakcję na zagrożenia w czasie rzeczywistym poprzez izolowanie skompromitowanych systemów. Jest dostępna dla punktów dostępowych Sophos Wireless (tylko seria AP6) i przełączników Sophos.

Czy Aktywna Reakcja na Zagrożenia może być używana bez Sophos Firewall?

Tak, Active Threat Response może być używana również bez Sophos Firewall. Jednak połączenie z Sophos Firewall zapewnia bardziej kompleksową ochronę na wszystkich poziomach sieci.

Dlaczego niechronione urządzenia w sieci stanowią zagrożenie?

Niechronione urządzenia, które nie mają zainstalowanej ochrony punktów końcowych Sophos, są bardziej podatne na ataki i mogą służyć jako punkt wejścia dla atakujących, aby rozprzestrzeniać się w sieci.

Jak działa izolacja hostów?

Izolacja hostów jest realizowana przez Active Threat Response w połączeniu z Sophos Central. Po zidentyfikowaniu skompromitowanego urządzenia, jego adres MAC jest przekazywany za pośrednictwem interfejsu API do wszystkich zarządzanych punktów dostępowych AP6 i przełączników Sophos w sieci. Urządzenia te, zarówno przewodowe, jak i bezprzewodowe, zarządzane (z ochroną punktów końcowych Sophos) lub niezarządzane (takie jak NAS), są natychmiast izolowane i tracą dostęp do sieci. Zapobiega to dalszemu rozprzestrzenianiu się atakujących.

Czy potrzebuję MDR i XDR do Aktywnej Reakcji na Zagrożenia?

Nie, do korzystania z Active Threat Response nie są konieczne Sophos MDR i XDR. Jednak informacje o zagrożeniach z Sophos MDR i XDR, a także z innych rozwiązań, mogą być wprowadzane do systemu, aby umożliwić skuteczniejsze wykrywanie i reagowanie na zagrożenia.
Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.