Saltar para o conteudo
Avanet
Sophos Adaptive Attack Protection API

Sophos Adaptive Attack Protection API

O panorama das ameaças está em constante evolução, e os administradores de TI enfrentam o desafio de proteger redes e endpoints contra ataques cada vez mais sofisticados. Uma solução particularmente inovadora neste contexto é a Adaptive Attack Protection API da Sophos. Esta tecnologia funciona como uma medida de proteção dinâmica que ativa automaticamente mecanismos de segurança adicionais quando deteta um ataque. Neste artigo, explicamos como funciona a Adaptive Attack Protection API, que vantagens oferece e como os administradores de TI podem integrá-la na sua estratégia de segurança.

O que é a Adaptive Attack Protection API?

Adaptive Attack Protection (AAP) é um mecanismo de proteção automático que ativa medidas de segurança adicionais quando são detetados ataques ativos num endpoint. Isto acontece sem intervenção manual e permite aos administradores bloquear atacantes de forma eficaz e ganhar tempo para outras contramedidas.

Funcionamento

Política Sophos Central - Adaptive Attack Protection
Política Sophos Central - Adaptive Attack Protection

A Adaptive Attack Protection deteta atividades suspeitas através de dois métodos principais:

  1. Deteção de ferramentas de ataque: O AAP pode identificar o uso de ferramentas de ataque comuns e reagir em conformidade.
  2. Deteção de comportamentos maliciosos ativos: Ao analisar o comportamento no endpoint, o AAP consegue identificar sinais precoces de um ataque em curso e ativar medidas de defesa adequadas.

Fonte: Sophos KB - Adaptive Attack Protection

Nessas situações, são ativadas restrições temporárias que podem ser incómodas no funcionamento diário, mas que são necessárias durante um ataque para impedir a propagação da ameaça.

Vantagens da Adaptive Attack Protection API

1. Ativação automática

O AAP está incluído por predefinição em todos os produtos Sophos Central Endpoint e não precisa de ser ativado manualmente. Assim que um potencial ataque é detetado, são tomadas automaticamente as medidas adequadas.

2. Proteção melhorada contra ataques

Quando o AAP deteta um atacante “hands-on-keyboard”, ativa mecanismos de proteção reforçados. Também são bloqueadas ações que, no dia a dia, seriam inofensivas, mas que numa situação de ataque representam risco. Isto dá às equipas de defesa mais tempo para neutralizar o ataque.

3. Funcionalidades de API alargadas

Com as extensões da Endpoint API, é possível ativar ou desativar manualmente a Adaptive Attack Protection. Isto é particularmente útil quando são observadas atividades suspeitas, mas o isolamento completo do dispositivo poderia causar perturbações operacionais significativas.

4. Maior visibilidade e controlo

Os administradores são informados sobre novos eventos e alertas assim que o AAP fica ativo num dispositivo. Isto permite uma monitorização proativa e uma resposta rápida a ameaças.

Sophos Adaptive Attack Protection (AAP) - Visão geral

Integração na estratégia de segurança

A Adaptive Attack Protection API dá aos administradores de TI a possibilidade de ajustar as suas medidas de segurança de forma flexível e consoante a situação. Eis alguns cenários de utilização recomendados:

1. Resposta automatizada a ameaças

Com a ativação automática das funcionalidades AAP, as equipas de TI podem reagir a ameaças sem depender de intervenção manual. Isto reduz o tempo até à contramedida e minimiza o risco de um ataque bem-sucedido.

2. Ativação direcionada durante investigações

Durante a investigação de atividades suspeitas, o AAP pode ser ativado manualmente para aplicar medidas defensivas adicionais sem isolar completamente o dispositivo da rede. Assim, é possível minimizar potenciais danos enquanto a investigação continua.

3. Ativação a longo prazo para endpoints críticos

Para endpoints particularmente críticos ou durante uma situação de ameaça persistente, o AAP pode permanecer ativo através da API durante um período mais longo. Isto oferece segurança adicional e protege sistemas sensíveis contra potenciais ataques.

Demonstração de Adaptive Attack Protection

Este vídeo de demonstração mostra como o AAP da Sophos reage em tempo real a um ataque ativo. O atacante tenta vários métodos comuns para comprometer o sistema, incluindo a execução de scripts PowerShell maliciosos, o download de ficheiros suspeitos e a criação de novas contas de utilizador. Veja como o Sophos Endpoint ativa automaticamente medidas de proteção reforçadas para bloquear estas ameaças e proteger o seu ambiente de TI.

Demonstração: Sophos Adaptive Attack Protection (AAP)

Perguntas frequentes

O AAP precisa de ser ativado manualmente?

Não, está ativado por predefinição em todas as licenças Sophos Endpoint e não precisa de ser configurado manualmente.

Por quanto tempo o AAP permanece ativo?

O AAP permanece ativo enquanto forem detetadas atividades suspeitas. A duração também pode ser prolongada manualmente.

O AAP pode ser usado em servidores?

Sim, o Adaptive Attack Protection está disponível tanto em endpoints como em servidores.

O AAP afeta o desempenho do sistema?

O impacto no desempenho do sistema é mínimo e relevante apenas durante a ativação do AAP.
David

David

David e responsavel pelos conteudos, pela estrutura e pela implementacao digital na Avanet. O seu foco esta em apresentar temas tecnicos complexos de forma clara, precisa e otimizada para pesquisa.