Saltar para o conteudo
Avanet
Active Threat Response para Sophos Switches e Access Points

Active Threat Response para Sophos Switches e Access Points

Com a nova função Active Threat Response, a Sophos expande as capacidades dos Sophos Access Points (apenas série AP6) e dos Sophos Switches. Esta função permite uma resposta automática a ameaças em tempo real, especialmente em combinação com Sophos MDR, Sophos XDR ou soluções de terceiros. Recentemente, o Sophos Firewall recebeu novas funções de proteção com a atualização para a Versão 20, e agora os Sophos Switches e Access Points também beneficiam desta defesa melhorada contra ameaças.

Como funciona o Active Threat Response

Nos endpoints, a Sophos já oferece uma medida de proteção eficaz contra movimentos laterais de atacantes. Movimentos laterais referem-se à propagação de um atacante dentro de uma rede depois de comprometer um primeiro ponto de acesso. O atacante tenta deslocar-se de um dispositivo para outro para roubar dados sensíveis ou infetar outros sistemas.

No entanto, nem todos os dispositivos da rede estão equipados com o Sophos Endpoint, e precisamente estes dispositivos desprotegidos são frequentemente o alvo de ataques. É aqui que entra em jogo o Network Detection and Response (NDR). O NDR monitoriza continuamente o tráfego da rede e analisa pacotes de dados em busca de anomalias que possam indicar atividade suspeita. Isto permite a deteção de ameaças antes que possam causar danos graves.

Access Points e Switches são frequentemente os primeiros pontos de contacto na comunicação de rede dos dispositivos finais. Por isso, oferecem uma plataforma ideal para detetar ameaças rapidamente e reagir a elas. Com o Active Threat Response, sistemas comprometidos podem ser isolados em tempo real com a ajuda de Threat Feeds controlados através de uma API. Isto impede o movimento lateral dos atacantes na rede e permite contramedidas direcionadas.

  • Sophos Knowledge Base - Active Threat Response Switches
  • Sophos Knowledge Base - Active Threat Response Access Points

Threat Feeds e isolamento

Os Threat Feeds são obtidos a partir de fontes fiáveis (Sophos ou fornecedores terceiros) e incluem os endereços MAC dos dispositivos comprometidos. Estas informações são encaminhadas para todos os AP6 Access Points e Sophos Switches na rede que são geridos na mesma conta Sophos Central. Assim que um dispositivo comprometido é identificado, é imediatamente isolado e perde o acesso à rede. Isto impede que os atacantes se propaguem ainda mais e ganha tempo valioso para contramedidas e processos de limpeza.

Active Threat Response - Network Attack
Active Threat Response - Network Attack Example

Vantagens do ecossistema Sophos

O Active Threat Response estende a funcionalidade única do ecossistema Sophos com várias vantagens cruciais:

  1. Isolamento de hosts: Dispositivos com e sem fios, incluindo hosts geridos (clientes e servidores com Sophos Endpoint) e dispositivos não geridos (como impressoras).
  2. Prevenção de movimentos laterais: O isolamento imediato de sistemas comprometidos impede que os atacantes continuem a propagar-se dentro da rede, oferecendo mais tempo para a limpeza de incidentes.
  3. Utilização de Threat Feeds: Threat Feeds de várias fontes fiáveis são usados para garantir uma deteção de ameaças abrangente e atualizada.

Disponibilidade e licenças

O Active Threat Response está disponível desde já através do Sophos Central para Sophos Wireless (apenas série AP6) e Sophos Switch. Para a utilização, é necessária uma subscrição de suporte válida para cada AP6 Access Point ou Switch.

Integração com Sophos Firewall

Embora uma Sophos Firewall não seja pré-requisito para usar o Active Threat Response, a combinação de Sophos Wireless, Sophos Switch e Sophos Firewall oferece proteção abrangente em todas as camadas da rede. Esta combinação permite diferentes medidas de resposta e automações avançadas, que possibilitam uma limpeza mais rápida de incidentes de segurança.

Visão geral e avaliação

Switches

Após uma espera de mais de dois anos, a Sophos traz finalmente, com o Active Threat Response, uma função que realmente diferencia os Sophos Switches de outros. Até agora, os Sophos Switches quase não se distinguiam dos de outros fabricantes, além da gestão através do Sophos Central, e mesmo aí com um conjunto de funções reduzido.

No entanto, o Active Threat Response representa um avanço significativo na defesa contra ameaças. Através da integração com Sophos MDR, Sophos XDR e soluções de terceiros, é assegurada uma resposta rápida e eficaz às ameaças. Isto permite não só uma melhor proteção, mas também gerir incidentes de segurança de forma mais eficiente e preservar a integridade da rede.

Access Points

Os Sophos AP6 Access Points estão no mercado há apenas seis meses, mas tecnologicamente, com Wi-Fi 6, já não estão no nível mais atual. Além disso, no Sophos Central, que é o controlador dos Access Points, continuam em falta funções que estavam disponíveis nos modelos APX mais antigos e que só deverão ser implementadas perto do final do ano.

Além disso, vários clientes relatam problemas com os Access Points, sobretudo no que diz respeito ao alcance. Só a introdução do Active Threat Response traz novamente uma funcionalidade nova e significativa.

Resta, no entanto, saber se isso é suficiente para competir com as vastas ofertas de outros fabricantes.

Em resumo, os Sophos Switches e Access Points tornaram-se mais valiosos com a introdução do Active Threat Response. Ainda assim, a decisão de investir em hardware de rede Sophos depende fortemente dos requisitos específicos e da infraestrutura de TI existente.

FAQ

Para que produtos está disponível o Active Threat Response?

O Active Threat Response está disponível desde já através do Sophos Central para Sophos Wireless (apenas série AP6) e Sophos Switch.

É necessária uma licença ou subscrição especial para usar o Active Threat Response?

Sim, para a utilização do Active Threat Response é necessária uma subscrição de suporte válida para cada AP6 Access Point ou Switch.

Que dispositivos suportam o Active Threat Response?

São suportados os Sophos AP6 Access Points e todos os Sophos Switches.

O que é o Sophos Active Threat Response?

O Active Threat Response é uma nova função da Sophos que permite uma resposta automática a ameaças em tempo real, isolando sistemas comprometidos. Está disponível para Sophos Wireless Access Points (apenas série AP6) e Sophos Switches.

O Active Threat Response pode ser usado sem o Sophos Firewall?

Sim, o Active Threat Response também pode ser usado sem o Sophos Firewall. No entanto, a combinação com o Sophos Firewall oferece uma proteção mais abrangente em todas as camadas da rede.

Porque é que os dispositivos desprotegidos na rede são um risco?

Os dispositivos desprotegidos que não têm o Sophos Endpoint Protection instalado são mais vulneráveis a ataques e podem servir como ponto de entrada para os atacantes se espalharem pela rede.

Como funciona o isolamento de hosts?

O isolamento de hosts é efetuado pelo Active Threat Response em combinação com o Sophos Central. Quando um dispositivo comprometido é identificado, o respetivo endereço MAC é encaminhado via API para todos os AP6 Access Points e Sophos Switches geridos na rede. Estes dispositivos, sejam com fios ou sem fios, geridos (com Sophos Endpoint Protection) ou não geridos (como um NAS), são imediatamente isolados e perdem o acesso à rede. Isto impede que os atacantes continuem a propagar-se.

Preciso de MDR e XDR para o Active Threat Response?

Não, para a utilização do Active Threat Response, o Sophos MDR e o XDR não são estritamente necessários. No entanto, informações sobre ameaças do Sophos MDR e XDR, bem como de outras soluções, podem ser introduzidas no sistema para permitir uma deteção e resposta mais eficazes a ameaças.
Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.