Przejdz do tresci
Avanet
Sophos Adaptive Attack Protection API

Sophos Adaptive Attack Protection API

Krajobraz zagrożeń stale się zmienia, a administratorzy IT muszą chronić sieci i endpointy przed coraz bardziej wyrafinowanymi atakami. Szczególnie innowacyjnym rozwiązaniem, które w tym pomaga, jest Adaptive Attack Protection API firmy Sophos. Technologia ta działa jak dynamiczny mechanizm ochronny: po wykryciu ataku automatycznie uruchamia dodatkowe zabezpieczenia. W tym wpisie wyjaśniamy, jak działa Adaptive Attack Protection API, jakie daje korzyści i jak administratorzy IT mogą włączyć ją do swojej strategii bezpieczeństwa.

Czym jest Adaptive Attack Protection API?

Adaptive Attack Protection (AAP) to automatyczny mechanizm ochrony, który po wykryciu aktywnego ataku na endpoint uruchamia dodatkowe środki bezpieczeństwa. Dzieje się to bez ręcznej interwencji i pozwala administratorom skutecznie blokować atakujących oraz zyskać czas na dalsze działania obronne.

Jak to działa

Sophos Central Policy - Adaptive Attack Protection
Sophos Central Policy - Adaptive Attack Protection

Adaptive Attack Protection wykrywa podejrzane działania za pomocą dwóch głównych metod:

  1. Wykrywanie narzędzi ataku: AAP może identyfikować użycie typowych narzędzi ataku i odpowiednio reagować.
  2. Wykrywanie aktywnych złośliwych zachowań: Analizując zachowanie endpointu, AAP może wcześnie rozpoznać oznaki trwającego ataku i uruchomić odpowiednie środki obronne.

Źródło: Sophos KB - Adaptive Attack Protection

W takich sytuacjach uruchamiane są tymczasowe ograniczenia. W codziennej pracy mogą być uciążliwe, ale podczas ataku są potrzebne, aby zapobiec rozprzestrzenianiu się zagrożenia.

Zalety Adaptive Attack Protection API

1. Automatyczna aktywacja

AAP jest standardowo dostępna we wszystkich produktach Sophos Central Endpoint i nie wymaga ręcznej aktywacji. Po wykryciu potencjalnego ataku system automatycznie podejmuje odpowiednie działania.

2. Rozszerzona ochrona przed atakami

Gdy AAP wykryje atak typu „hands-on-keyboard”, uruchamiane są wzmocnione mechanizmy ochrony. Blokowane są również działania, które w normalnej pracy bywają nieszkodliwe, ale w sytuacji ataku mogą być niebezpieczne. Daje to zespołom obrony więcej czasu na neutralizację incydentu.

3. Rozszerzone funkcjonalności API

Dzięki rozszerzeniom Endpoint API można ręcznie włączać lub wyłączać Adaptive Attack Protection. Jest to szczególnie przydatne, gdy widać podejrzane działania, ale pełna izolacja urządzenia mogłaby spowodować istotne zakłócenia operacyjne.

4. Zwiększona widoczność i kontrola

Administratorzy otrzymują informacje o nowych zdarzeniach i alertach, gdy tylko AAP zostanie aktywowana na urządzeniu. Umożliwia to proaktywne monitorowanie i szybką reakcję na zagrożenia.

Sophos Adaptive Attack Protection (AAP) - Przegląd

Integracja ze strategią bezpieczeństwa

Adaptive Attack Protection API daje administratorom IT możliwość elastycznego dostosowywania środków bezpieczeństwa do konkretnej sytuacji. Oto kilka zalecanych scenariuszy użycia:

1. Zautomatyzowana reakcja na zagrożenia

Dzięki automatycznemu uruchamianiu funkcji AAP zespoły IT mogą reagować na zagrożenia bez ręcznej interwencji. Skraca to czas do podjęcia działań obronnych i minimalizuje ryzyko skutecznego ataku.

2. Ukierunkowana aktywacja podczas analizy incydentu

Podczas badania podejrzanych działań AAP można aktywować ręcznie, aby zastosować dodatkowe środki obronne bez całkowitego izolowania urządzenia od sieci. Pozwala to ograniczyć potencjalne szkody, a jednocześnie kontynuować analizę.

3. Długoterminowa aktywacja dla krytycznych endpointów

W przypadku szczególnie krytycznych endpointów albo utrzymującego się zagrożenia AAP może pozostać aktywna przez dłuższy czas za pośrednictwem API. Zapewnia to dodatkowy poziom bezpieczeństwa i chroni wrażliwe systemy przed możliwymi atakami.

Demo Adaptive Attack Protection

Ten film demonstracyjny pokazuje, jak AAP firmy Sophos reaguje w czasie rzeczywistym na aktywny atak. Atakujący próbuje kilku typowych metod kompromitacji systemu, w tym uruchamiania złośliwych skryptów PowerShell, pobierania podejrzanych plików i tworzenia nowych kont użytkowników. Zobacz, jak Sophos Endpoint automatycznie uruchamia wzmocnione mechanizmy ochrony, aby blokować te zagrożenia i zabezpieczać środowisko IT.

Demo: Sophos Adaptive Attack Protection (AAP)

FAQ

Czy AAP musi być aktywowana ręcznie?

Nie, jest ona domyślnie aktywna we wszystkich licencjach Sophos Endpoint i nie wymaga ręcznej konfiguracji.

Jak długo AAP pozostaje aktywna?

AAP pozostaje aktywna tak długo, jak wykrywane są podejrzane działania. Czas trwania można również przedłużyć ręcznie.

Czy AAP może być używana na serwerach?

Tak, Adaptive Attack Protection jest dostępna zarówno na endpointach, jak i na serwerach.

Czy AAP wpływa na wydajność systemu?

Wpływ na wydajność systemu jest minimalny i istotny tylko podczas aktywacji AAP.
David

David

David odpowiada w Avanet za tresc, strukture i wdrozenie cyfrowe. Koncentruje sie na jasnym, precyzyjnym i przyjaznym dla wyszukiwarek opracowywaniu zlozonych tematow technicznych.