Sophos Central Update – Enhanced Protection dla serwerów i nie tylko

W ciągu ostatnich dwóch miesięcy Sophos wprowadził kilka nowości na platformie Central, które krótko podsumowano w tym artykule. Na początku omawiane jest zbliżające się zakończenie wsparcia dla Windows 7 i Windows Server 2008 R2.

Zbliżający się koniec wsparcia dla Windows 7 i Windows Server 2008 R2

Dla systemów Windows 7 i Windows Server 2008 R2 firma Microsoft definitywnie zakończyła wsparcie 14 stycznia 2020 r. W konsekwencji Sophos będzie oferować dla tych dwóch systemów operacyjnych jedynie ograniczone wsparcie. Standardowe wsparcie oficjalnie kończy się 31 grudnia 2021 r.

Windows 7

• Koniec wsparcia standardowego: 31 grudnia 2021 r.
• Koniec wsparcia przedłużonego: 31 marca 2025 r.

Windows Server 2008 R2

• Koniec wsparcia standardowego: 31 grudnia 2021 r.
• Koniec wsparcia przedłużonego: 31 marca 2025 r.

Informacja: wsparcie dla Windows Server 2008 kończy się 31 lipca 2020 r.

Zakup przedłużonego wsparcia

W środowiskach, w których data 31 grudnia 2021 r. nie wystarcza na wymianę wszystkich systemów, Sophos oferuje przedłużone wsparcie. Dzięki dodatkowej licencji wsparcie dla następujących produktów zostaje wydłużone do 31 marca 2025 r.:

• Intercept X Advanced/Intercept X Advanced with EDR
• Intercept X Advanced for Server/Intercept X Advanced for Server with EDR
• Central Endpoint Protection/Central Server Protection
• Endpoint Protection Standard/Endpoint Protection Advanced
• Server Protection for Virtualization, Windows i Linux/Server Protection Enterprise

Osoby zainteresowane przedłużonym wsparciem mogą wygodnie skontaktować się za pomocą formularza kontaktowego – następnie zostanie przygotowana odpowiednia oferta.

Sophos Intercept X Enhanced Protection (beta) teraz także dla serwerów

W październiku 2019 r. Sophos uruchomił program beta dla Intercept X Enhanced Protection. Celem jest dalsze rozwijanie Intercept X i udostępnienie dodatkowych funkcji do obrony przed współczesnym malware. Ataki ransomware nie ustają również w 2020 r. – nazwy takie jak EMOTET pojawiają się bardzo często. W związku z tym Sophos intensywnie pracuje nad ciągłym wzmacnianiem technologii Intercept X.

W pierwszej wersji Intercept X Enhanced Protection obejmował już dwie funkcje: Anti-Malware Scanning Interface (AMSI) i Intrusion Prevention System (IPS).

W grudniu 2019 r. dodano kolejne kluczowe mechanizmy ochrony systemów Windows, które są teraz dostępne również dla Windows Server od wersji 2008 R2:

Ochrona przed atakami na Encrypting File System (EFS Guard)

Od wersji Windows 2000 firma Microsoft integruje w systemie operacyjnym funkcję o nazwie EFS (Encrypting File System). Nie należy mylić jej z BitLockerem, który szyfruje cały dysk; EFS służy do szyfrowania wybranych plików i folderów.

Atakujący znaleźli sposoby na nadużywanie tej funkcji i szyfrowanie plików bezpośrednio poprzez interfejsy API wbudowanej funkcji szyfrowania (EFS). „Zaletą” dla atakujących jest to, że nie trzeba pobierać dodatkowego złośliwego oprogramowania. Dzięki EFS Guard Intercept X może teraz chronić właśnie przed tego typu atakami.

Dynamiczna ochrona przed shellcode

Twórcy nowego malware coraz częściej korzystają z tzw. „stagerów”. Są to niewielkie, pozornie nieszkodliwe programy, które ładują właściwy złośliwy kod do pamięci tymczasowej i tam go uruchamiają. Klasyczne rozwiązania anty-malware mają trudności z rozpoznaniem takiego wzorca. Analiza zachowania umożliwia dynamicznej ochronie przed shellcode skuteczne przeciwdziałanie właśnie tej technice. Gdy tylko zostanie wykryte zachowanie typowe dla stagera, mechanizm wykrywania reaguje i zatrzymuje aplikację.

CTF to podatność w komponencie Windows, obecna już od Windows XP. Umożliwia nieautoryzowanym atakującym sterowanie dowolnymi procesami Windows – także aplikacjami uruchamianymi w sandboxie. Aby uniemożliwić dalsze wykorzystywanie protokołu CTF, zespół Sophos Threat Mitigation opracował funkcję CTF Guard i zintegrował ją z zasadami ochrony przed zagrożeniami.

Funkcja ApiSetGuard zapobiega ładowaniu przez aplikacje złośliwych bibliotek DLL podszywających się pod ApiSet stub DLL. ApiSet stub DLL pomagają aplikacjom zachować kompatybilność z nowszymi wersjami Windows. Atakujący mogą umieszczać na systemie zmodyfikowane ApiSet stub DLL, aby zmieniać działanie funkcji – na przykład w celu obejścia ochrony przed manipulacją Sophos i zakończenia działania klienta Sophos.

Podpis DKIM wiadomości email

Osoby korzystające z Sophos Central Email do skanowania przychodzącej i wychodzącej poczty mogą teraz podpisywać wiadomości przy użyciu DKIM. Aby skonfigurować tę funkcję, należy przejść do „Ustawień” w Central Email i wybrać menu „Ustawienia/stanu domeny”. Po kliknięciu domeny, dla której skanowany jest także ruch wychodzący, pod podsumowaniem pojawi się opcja utworzenia nowego klucza DKIM. Następnie wyświetlana jest krótka instrukcja z wszystkimi informacjami potrzebnymi do skonfigurowania rekordu DKIM.

Konfigurowalny adres email dla szkoleń Phish Threat

Sophos Central Phish Threat służy do zwiększania świadomości pracowników na temat wiadomości phishingowych. Do tej pory jednak automatyczne wiadomości szkoleniowe i rejestracyjne nie zawsze wyglądały wiarygodnie, gdy pochodziły z adresu „Sophos training@staysafe.sophos.com”. Wiele osób mogło się zastanawiać, czy rzeczywiście powinno się klikać taki link. 😅

Sophos zareagował i umożliwił obecnie skonfigurowanie własnej domeny dla wiadomości o wykryciu, wiadomości przypominających oraz wiadomości rejestracyjnych wysyłanych do użytkowników końcowych.

W tym celu należy przejść do „Ustawień” Phish Threat i sekcji „Wiadomości rejestracyjne i przypominające o szkoleniu”. Tam można aktywować i zweryfikować niestandardowy adres email. W testach zarówno wiadomość weryfikacyjna, jak i kolejna wiadomość testowa trafiały początkowo do folderu spamu. 🙄 Konfiguracja dotyczy każdego konta Central z osobna i nie może być różnie ustawiana dla poszczególnych kampanii.