Saltar para o conteudo
Avanet
Resposta Ativa a Ameaças para Switches e Access Points Sophos

Resposta Ativa a Ameaças para Switches e Access Points Sophos

24. JUNHO 2024

Com a nova funcionalidade Active Threat Response, a Sophos expande as capacidades dos Access Points Sophos (apenas série AP6) e dos Switches Sophos. Esta funcionalidade permite uma resposta automática a ameaças em tempo real, especialmente em combinação com Sophos MDR, Sophos XDR ou soluções de terceiros. Recentemente, o Sophos Firewall recebeu novas funcionalidades de proteção com a atualização para a Versão 20, e agora os Switches e Access Points Sophos também beneficiam desta defesa melhorada contra ameaças.

Funcionamento da Resposta Ativa a Ameaças

A Sophos já oferece nos terminais uma medida de proteção eficaz contra movimentos laterais de atacantes. Movimentos laterais referem-se à propagação de um atacante dentro de uma rede, após ter comprometido um ponto de entrada inicial. O atacante tenta, assim, mover-se de um dispositivo para outro para roubar dados sensíveis ou infetar outros sistemas.

No entanto, nem todos os dispositivos da rede estão equipados com o Sophos Endpoint, e precisamente estes dispositivos desprotegidos são frequentemente o alvo de ataques. É aqui que entra em jogo o Network Detection and Response (NDR). O NDR monitoriza continuamente o tráfego da rede e analisa pacotes de dados em busca de anomalias que possam indicar atividade suspeita. Isto permite a deteção de ameaças antes que possam causar danos graves.

Os Access Points e Switches são frequentemente os primeiros pontos de contacto na comunicação de rede dos dispositivos finais. Assim, oferecem uma plataforma ideal para detetar e responder rapidamente às ameaças. Com o Active Threat Response, sistemas comprometidos podem ser isolados em tempo real utilizando feeds de ameaças controlados através de uma API. Isso impede o movimento lateral dos atacantes na rede e permite contramedidas direcionadas.

Feeds de Ameaças e Isolamento

Os feeds de ameaças são provenientes de fontes confiáveis (Sophos ou fornecedores de terceiros) e incluem os endereços MAC dos dispositivos comprometidos. Estas informações são reencaminhadas para todos os Access Points AP6 e Switches Sophos na rede que são geridos na mesma conta Sophos Central. Assim que um dispositivo comprometido é identificado, é imediatamente isolado e perde o acesso à rede. Isso impede que os atacantes se espalhem ainda mais e proporciona um tempo valioso para contramedidas e processos de limpeza.

Resposta Ativa a Ameaças - Ataque de Rede
Resposta Ativa a Ameaças - Exemplo de Ataque de Rede

Vantagens do Ecossistema Sophos

O Active Threat Response estende a funcionalidade única do ecossistema Sophos com várias vantagens cruciais:

  1. Isolamento de Hosts: Dispositivos com e sem fios, incluindo hosts geridos (clientes e servidores com Sophos Endpoint) e dispositivos não geridos (como um NAS).
  2. Prevenção de Movimentos Laterais: O isolamento imediato de sistemas comprometidos impede que os atacantes se espalhem ainda mais dentro da rede, proporcionando mais tempo para a limpeza de incidentes.
  3. Uso de Feeds de Ameaças: Feeds de ameaças de múltiplas fontes confiáveis (Sophos ou fornecedores de terceiros) são usados para garantir uma deteção completa e atualizada de ameaças.

Disponibilidade e Licenças

O Active Threat Response está agora disponível via Sophos Central para Sophos Wireless (apenas série AP6) e Sophos Switch. Para a utilização é necessária uma subscrição de suporte válida para cada Access Point AP6 ou Switch.

Integração com Sophos Firewall

Embora um Sophos Firewall não seja um pré-requisito para usar o Active Threat Response, a combinação com Sophos Wireless, Sophos Switch e Sophos Firewall oferece uma proteção abrangente em todas as camadas da rede. Essa combinação permite várias medidas de resposta e automações estendidas que permitem uma limpeza mais rápida de incidentes de segurança.

Visão Geral e Avaliação

Switches

Após um período de espera de mais de dois anos, a Sophos finalmente lança uma função com o Active Threat Response que realmente distingue os Switches Sophos de outros. Até agora, os Switches Sophos dificilmente se diferenciavam dos de outros fabricantes, para além da gestão via Sophos Central e, mesmo assim, com um conjunto de funcionalidades reduzido.

No entanto, o Active Threat Response representa um avanço significativo na defesa contra ameaças. Através da integração com Sophos MDR, Sophos XDR e soluções de terceiros, é assegurada uma resposta rápida e eficaz às ameaças. Isso não só permite uma melhor proteção, mas também uma gestão mais eficiente de incidentes de segurança e a preservação da integridade da rede.

Access Points

Os Access Points Sophos AP6 estão no mercado há apenas seis meses, mas tecnologicamente já não estão atualizados com o Wi-Fi 6. Além disso, no Sophos Central, o controlador para os Access Points, ainda faltam funções que estavam disponíveis nos modelos APX mais antigos e que só deverão ser implementadas no final do ano.

Além disso, vários clientes relatam problemas com os Access Points, particularmente em relação ao alcance. Apenas a introdução do Active Threat Response traz novamente uma nova funcionalidade significativa.

Resta, no entanto, saber se isso é suficiente para competir com as vastas ofertas de outros fabricantes.

Em resumo, os Switches e Access Points Sophos tornaram-se mais valiosos com a introdução do Active Threat Response. No entanto, a decisão de investir em hardware de rede Sophos depende fortemente dos requisitos específicos e da infraestrutura de TI existente.

FAQ

Para que produtos está disponível o Active Threat Response?

O Active Threat Response está agora disponível via Sophos Central para Sophos Wireless (apenas série AP6) e Sophos Switch.

É necessária uma licença ou subscrição especial para usar o Active Threat Response?

Sim, para a utilização do Active Threat Response é necessária uma subscrição de suporte válida para cada Access Point AP6 ou Switch.

Que dispositivos suportam o Active Threat Response?

Os Access Points Sophos AP6 e todos os Switches Sophos são suportados.

O que é o Sophos Active Threat Response?

O Active Threat Response é uma nova funcionalidade da Sophos que permite uma resposta automática a ameaças em tempo real, isolando sistemas comprometidos. Está disponível para os Access Points Sem Fios da Sophos (apenas série AP6) e Switches da Sophos.

O Active Threat Response pode ser usado sem o Sophos Firewall?

Sim, o Active Threat Response também pode ser usado sem o Sophos Firewall. No entanto, a combinação com o Sophos Firewall oferece uma proteção mais abrangente em todas as camadas da rede.

Porque é que os dispositivos desprotegidos na rede são um risco?

Os dispositivos desprotegidos que não têm o Sophos Endpoint Protection instalado são mais vulneráveis a ataques e podem servir como ponto de entrada para os atacantes se espalharem pela rede.

Como funciona o isolamento de hosts?

O isolamento de hosts é efetuado pelo Active Threat Response em combinação com o Sophos Central. Quando um dispositivo comprometido é identificado, o seu endereço MAC é reencaminhado via API para todos os Access Points AP6 e Switches Sophos geridos na rede. Estes dispositivos, sejam com fios ou sem fios, geridos (com Sophos Endpoint Protection) ou não geridos (como um NAS), são imediatamente isolados e perdem o acesso à rede. Isso impede que os atacantes se espalhem ainda mais.

Preciso de MDR e XDR para o Active Threat Response?

Não, para a utilização do Active Threat Response, o Sophos MDR e o XDR não são estritamente necessários. No entanto, informações sobre ameaças do Sophos MDR e XDR, bem como de outras soluções, podem ser introduzidas no sistema para permitir uma deteção e resposta mais eficazes a ameaças.
Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.