Przejdz do tresci
Avanet
Active Threat Response dla Sophos Switches i Access Points

Active Threat Response dla Sophos Switches i Access Points

Dzięki nowej funkcji Active Threat Response Sophos rozszerza możliwości Sophos Access Points (tylko AP6 Series) oraz Sophos Switches. Funkcja ta umożliwia automatyczną reakcję na zagrożenia w czasie rzeczywistym, szczególnie w połączeniu z Sophos MDR, Sophos XDR lub rozwiązaniami innych firm. Niedawno Sophos Firewall wraz z aktualizacją do wersji 20 otrzymał nowe funkcje ochronne, a teraz z ulepszonej obrony przed zagrożeniami korzystają również Sophos Switches i Access Points.

Jak działa Active Threat Response

Na endpointach Sophos oferuje już skuteczny mechanizm ochrony przed lateral movement atakujących. Lateral movement oznacza rozprzestrzenianie się atakującego wewnątrz sieci po skompromitowaniu pierwszego punktu dostępu. Atakujący próbuje wtedy przechodzić z jednego urządzenia na kolejne, aby wykraść wrażliwe dane lub zainfekować dalsze systemy.

Nie każde urządzenie w sieci ma jednak Sophos Endpoint, a właśnie te niechronione urządzenia często stają się celem ataków. Tutaj wkracza Network Detection and Response (NDR). NDR stale monitoruje ruch sieciowy i analizuje pakiety danych pod kątem anomalii, które mogą wskazywać na podejrzaną aktywność. Umożliwia to wykrywanie zagrożeń, zanim wyrządzą poważne szkody.

Access Points i Switches są często pierwszymi punktami styku w komunikacji sieciowej urządzeń końcowych. Dzięki temu stanowią idealną platformę do szybkiego wykrywania zagrożeń i reagowania na nie. Dzięki Active Threat Response skompromitowane systemy mogą być izolowane w czasie rzeczywistym za pomocą Threat Feeds sterowanych przez API. Zapobiega to lateral movement atakujących w sieci i umożliwia ukierunkowane działania zaradcze.

  • Sophos Knowledge Base - Active Threat Response Switches
  • Sophos Knowledge Base - Active Threat Response Access Points

Threat Feeds i izolacja

Threat Feeds pochodzą z zaufanych źródeł (Sophos lub dostawców zewnętrznych) i zawierają adresy MAC skompromitowanych urządzeń. Informacje te są przekazywane do wszystkich AP6 Access Points i Sophos Switches w sieci, zarządzanych w tym samym koncie Sophos Central. Gdy skompromitowane urządzenie zostanie zidentyfikowane, jest natychmiast izolowane i traci dostęp do sieci. Zapobiega to dalszemu rozprzestrzenianiu się atakujących i daje cenny czas na działania zaradcze oraz oczyszczenie środowiska.

Active Threat Response - atak sieciowy
Active Threat Response - przykład ataku sieciowego

Korzyści ekosystemu Sophos

Active Threat Response rozszerza unikalną funkcjonalność ekosystemu Sophos o kilka kluczowych korzyści:

  1. Izolacja hostów: Urządzenia przewodowe i bezprzewodowe, w tym hosty zarządzane (klienci i serwery z Sophos Endpoint) oraz urządzenia niezarządzane (takie jak drukarki).
  2. Zapobieganie lateral movement: Natychmiastowa izolacja skompromitowanych systemów zapobiega dalszemu rozprzestrzenianiu się atakujących w sieci, co daje więcej czasu na usuwanie skutków incydentów.
  3. Wykorzystanie Threat Feeds: Threat Feeds z wielu zaufanych źródeł są wykorzystywane, aby zapewnić kompleksowe i aktualne wykrywanie zagrożeń.

Dostępność i licencje

Active Threat Response jest już dostępne przez Sophos Central dla Sophos Wireless (tylko AP6 Series) i Sophos Switch. Do korzystania wymagana jest ważna Support Subscription na każdy AP6 Access Point lub Switch.

Integracja z Sophos Firewall

Chociaż Sophos Firewall nie jest warunkiem koniecznym do korzystania z Active Threat Response, połączenie Sophos Wireless, Sophos Switch i Sophos Firewall zapewnia kompleksową ochronę na wszystkich warstwach sieci. Taka kombinacja umożliwia różne działania reakcyjne i rozszerzone automatyzacje, które pozwalają szybciej usuwać skutki incydentów bezpieczeństwa.

Przegląd i ocena

Przełączniki

Po ponad dwóch latach oczekiwania Sophos wreszcie wprowadza wraz z Active Threat Response funkcję, która naprawdę wyróżnia Sophos Switches na tle innych rozwiązań. Dotychczas Sophos Switches niewiele różniły się od przełączników innych producentów, poza zarządzaniem przez Sophos Central, i to nadal z ograniczonym zakresem funkcji.

Mimo to Active Threat Response stanowi znaczący postęp w obronie przed zagrożeniami. Integracja z Sophos MDR, Sophos XDR i rozwiązaniami innych firm zapewnia szybką i skuteczną reakcję na zagrożenia. Umożliwia to nie tylko lepszą ochronę, lecz także efektywniejsze zarządzanie incydentami bezpieczeństwa i zachowanie integralności sieci.

Punkty dostępowe

Sophos AP6 Access Points są na rynku dopiero od sześciu miesięcy, ale technologicznie, z Wi-Fi 6, nie są już najnowszym standardem. Ponadto w Sophos Central, kontrolerze dla Access Points, nadal brakuje funkcji dostępnych wcześniej w starszych modelach APX, które mają zostać zaimplementowane dopiero pod koniec roku.

Ponadto różni klienci zgłaszają problemy z Access Points, szczególnie w zakresie zasięgu. Dopiero wprowadzenie Active Threat Response wnosi ponownie istotną nową funkcjonalność.

Pozostaje jednak pytanie, czy to wystarczy, aby konkurować z szeroką ofertą innych producentów.

Podsumowując, Sophos Switches i Access Points stały się bardziej wartościowe dzięki wprowadzeniu Active Threat Response. Decyzja o inwestycji w sprzęt sieciowy Sophos nadal zależy jednak w dużej mierze od konkretnych wymagań i istniejącej infrastruktury IT.

FAQ

Dla jakich produktów dostępne jest Active Threat Response?

Active Threat Response jest już dostępne przez Sophos Central dla Sophos Wireless (tylko AP6 Series) i Sophos Switch.

Czy do korzystania z Active Threat Response wymagana jest specjalna licencja lub subskrypcja?

Tak, do korzystania z Active Threat Response wymagana jest ważna Support Subscription dla każdego AP6 Access Point lub Switch.

Jakie urządzenia obsługują Active Threat Response?

Obsługiwane są Sophos AP6 Access Points i wszystkie Sophos Switches.

Czym jest Sophos Active Threat Response?

Active Threat Response to nowa funkcja Sophos, która umożliwia automatyczną reakcję na zagrożenia w czasie rzeczywistym poprzez izolowanie skompromitowanych systemów. Jest dostępna dla Sophos Wireless Access Points (tylko AP6 Series) i Sophos Switches.

Czy Active Threat Response może być używane bez Sophos Firewall?

Tak, Active Threat Response może być używane również bez Sophos Firewall. Jednak połączenie z Sophos Firewall zapewnia bardziej kompleksową ochronę na wszystkich warstwach sieci.

Dlaczego niechronione urządzenia w sieci stanowią zagrożenie?

Niechronione urządzenia, które nie mają zainstalowanej Sophos Endpoint Protection, są bardziej podatne na ataki i mogą służyć jako punkt wejścia dla atakujących, aby rozprzestrzeniać się w sieci.

Jak działa izolacja hostów?

Izolacja hostów jest realizowana przez Active Threat Response w połączeniu z Sophos Central. Po zidentyfikowaniu skompromitowanego urządzenia jego adres MAC jest przekazywany przez API do wszystkich zarządzanych AP6 Access Points i Sophos Switches w sieci. Skompromitowany host, niezależnie od tego, czy jest przewodowy czy bezprzewodowy, zarządzany (z Sophos Endpoint Protection) czy niezarządzany (np. NAS), jest natychmiast izolowany i traci dostęp do sieci. Zapobiega to dalszemu rozprzestrzenianiu się atakujących.

Czy potrzebuję MDR i XDR do Active Threat Response?

Nie, do korzystania z Active Threat Response Sophos MDR i XDR nie są bezwzględnie wymagane. Informacje o zagrożeniach z Sophos MDR i XDR, a także z innych rozwiązań, mogą jednak być przekazywane do systemu, aby umożliwić skuteczniejsze wykrywanie zagrożeń i reagowanie na nie.
Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.