Saltar para o conteudo
Avanet
Sophos Adaptive Attack Protection API

Sophos Adaptive Attack Protection API

26. SETEMBRO 2024

O panorama das ameaças está em constante evolução, e os administradores de TI enfrentam o desafio de proteger as suas redes e terminais contra ataques cada vez mais sofisticados. Uma solução particularmente inovadora que ajuda nisto é a Adaptive Attack Protection API da Sophos. Esta tecnologia representa uma medida de proteção dinâmica que ativa automaticamente precauções de segurança adicionais quando um ataque é detetado. Nesta publicação do blogue, explica-se como a Adaptive Attack Protection API funciona, que benefícios oferece e como os administradores de TI podem integrá-la na sua estratégia de segurança.

O que é a Adaptive Attack Protection API?

Adaptive Attack Protection (AAP) é um mecanismo de proteção automático que ativa medidas de segurança adicionais quando ataques ativos num terminal são detetados. Isso acontece sem intervenção manual e permite que os administradores bloqueiem eficazmente os atacantes e ganhem tempo para outras contramedidas.

Funcionamento

Política Sophos Central - Adaptive Attack Protection
Política Sophos Central - Adaptive Attack Protection

A Adaptive Attack Protection deteta atividades suspeitas através de dois métodos principais:

  1. Deteção de ferramentas de ataque: O AAP pode identificar o uso de ferramentas de ataque comuns e reagir em conformidade.
  2. Deteção de comportamentos maliciosos ativos: Ao analisar o comportamento no terminal, o AAP pode identificar sinais precoces de um ataque em curso e ativar medidas defensivas apropriadas.

Fonte: Sophos KB - Adaptive Attack Protection

Nessas situações, são ativadas restrições temporárias que, embora sejam um obstáculo no dia a dia, são necessárias em caso de ataque para evitar a propagação da ameaça.

Vantagens da Adaptive Attack Protection API

1. Ativação automática

O AAP está incluído por predefinição em todos os produtos Sophos Central Endpoint e não precisa de ser ativado manualmente. Assim que um potencial ataque é detetado, os passos apropriados são automaticamente tomados.

2. Proteção melhorada contra ataques

Quando o AAP deteta um atacante “hands-on-keyboard”, são ativados mecanismos de proteção reforçados. Isso também bloqueia ações que são inofensivas no dia a dia, mas perigosas numa situação de ataque. Isso dá aos defensores mais tempo para neutralizar o ataque.

3. Funcionalidades de API expandidas

Através das extensões da API Endpoint, é possível ativar ou desativar manualmente a Adaptive Attack Protection. Isto é particularmente útil quando são observadas atividades suspeitas, mas um isolamento completo do dispositivo poderia causar interrupções operacionais significativas.

4. Maior visibilidade e controlo

Os administradores são informados sobre novos eventos e avisos assim que o AAP se torna ativo num dispositivo. Isto permite uma monitorização proativa e uma resposta rápida às ameaças.

Sophos Adaptive Attack Protection (AAP) - Visão geral

Integração na estratégia de segurança

A Adaptive Attack Protection API oferece aos administradores de TI a oportunidade de adaptar flexivelmente as suas medidas de segurança, dependendo da situação. Aqui estão alguns cenários de aplicação recomendados:

1. Resposta automatizada a ameaças

Através da ativação automática das funcionalidades AAP, as equipas de TI podem reagir a ameaças sem depender de intervenções manuais. Isso reduz o tempo para contramedidas e minimiza o risco de um ataque bem-sucedido.

2. Ativação direcionada durante investigações

Ao investigar atividades suspeitas, o AAP pode ser ativado manualmente para tomar medidas defensivas adicionais sem isolar completamente o dispositivo da rede. Isso minimiza os danos potenciais enquanto as investigações continuam.

3. Ativação a longo prazo para terminais críticos

Para terminais particularmente críticos ou durante uma situação de ameaça contínua, o AAP pode permanecer ativo através da API por um período mais longo. Isso oferece segurança adicional e protege sistemas sensíveis de potenciais ataques.

Demonstração de Adaptive Attack Protection

Este vídeo de demonstração mostra como o AAP da Sophos reage em tempo real a um ataque ativo. O atacante tenta vários métodos comuns para comprometer o sistema, incluindo a execução de scripts PowerShell maliciosos, o download de ficheiros suspeitos e a criação de novas contas de utilizador. Veja como o Sophos Endpoint ativa automaticamente medidas de proteção reforçadas para bloquear estas ameaças e proteger o seu ambiente de TI.

Demonstração: Sophos Adaptive Attack Protection (AAP)

Perguntas frequentes

O AAP precisa de ser ativado manualmente?

Não, está ativado por predefinição em todas as licenças Sophos Endpoint e não precisa de ser configurado manualmente.

Por quanto tempo o AAP permanece ativo?

O AAP permanece ativo enquanto forem detetadas atividades suspeitas. A duração também pode ser estendida manualmente.

O AAP pode ser usado em servidores?

Sim, o Adaptive Attack Protection está disponível tanto em terminais como em servidores.

O AAP afeta o desempenho do sistema?

O impacto no desempenho do sistema é mínimo e relevante apenas durante a ativação do AAP.
David

David

David e responsavel pelos conteudos, pela estrutura e pela implementacao digital na Avanet. O seu foco esta em apresentar temas tecnicos complexos de forma clara, precisa e otimizada para pesquisa.