Sophos Central Update – Enhanced Protection para servidores e muito mais

Nos últimos dois meses, a Sophos lançou várias novidades para a plataforma Central, que são aqui apresentadas de forma resumida. Começa‑se pelo fim iminente do suporte para Windows 7 e Windows Server 2008 R2.

Fim iminente do suporte para Windows 7 e Windows Server 2008 R2

A Microsoft terminou definitivamente o suporte para Windows 7 e Windows Server 2008 R2 em 14 de janeiro de 2020. Como consequência, a Sophos também passará a oferecer apenas um suporte limitado para estes dois sistemas operativos. O suporte standard termina oficialmente em 31 de dezembro de 2021.

Windows 7

• Fim do suporte standard: 31 de dezembro de 2021
• Fim do suporte alargado: 31 de março de 2025

Windows Server 2008 R2

• Fim do suporte standard: 31 de dezembro de 2021
• Fim do suporte alargado: 31 de março de 2025

Info: o suporte para Windows Server 2008 termina em 31 de julho de 2020.

Aquisição de suporte alargado

Para ambientes em que o prazo de 31 de dezembro de 2021 não seja suficiente para substituir todos os sistemas, a Sophos oferece um suporte alargado. Com uma licença adicional, o suporte para os seguintes produtos é prolongado até 31 de março de 2025:

• Intercept X Advanced/Intercept X Advanced with EDR
• Intercept X Advanced for Server/Intercept X Advanced for Server with EDR
• Central Endpoint Protection/Central Server Protection
• Endpoint Protection Standard/Endpoint Protection Advanced
• Server Protection for Virtualization, Windows e Linux/Server Protection Enterprise

Quem tiver interesse no suporte alargado pode contactar facilmente através do formulário de contacto – será então preparada uma proposta adequada.

Sophos Intercept X Enhanced Protection (beta) agora também para servidores

Em outubro de 2019, a Sophos lançou um programa beta para Intercept X Enhanced Protection. O objetivo é ampliar ainda mais o Intercept X e disponibilizar funcionalidades adicionais para combater o malware atual. Os ataques de ransomware continuam frequentes em 2020 – nomes como EMOTET estão em todo o lado. Por isso, a Sophos trabalha intensamente para reforçar continuamente a tecnologia Intercept X.

Na primeira versão, Intercept X Enhanced Protection já incluía as duas funcionalidades Anti‑Malware Scanning Interface (AMSI) e Intrusion Prevention System (IPS).

Em dezembro de 2019 foram adicionados outros mecanismos de proteção essenciais para sistemas Windows, que agora também estão disponíveis para Windows Server a partir da versão 2008 R2:

Proteção contra ataques de Encrypting File System (EFS Guard)

Desde o Windows 2000, a Microsoft integrou no sistema operativo uma funcionalidade chamada EFS (Encrypting File System). Não deve ser confundida com o BitLocker, que permite cifrar um disco completo; o EFS é utilizado para cifrar ficheiros e pastas específicos.

Os atacantes encontraram formas de abusar desta funcionalidade e cifrar ficheiros diretamente através das APIs da função de cifragem nativa (EFS). A “vantagem” para os atacantes: não é necessário descarregar malware adicional. Com EFS Guard, o Intercept X pode agora proteger especificamente contra este tipo de ataques.

Proteção dinâmica contra shellcode

Os criadores de novo malware recorrem cada vez mais aos chamados “stagers”. São pequenos programas aparentemente inofensivos que carregam o verdadeiro código malicioso na memória temporária e o executam ali. As soluções anti‑malware clássicas têm dificuldade em reconhecer este padrão. A análise comportamental permite que a proteção dinâmica contra shellcode combata precisamente esta técnica. Assim que é detetado um comportamento semelhante ao de um stager, o mecanismo de deteção intervém e interrompe a aplicação.

CTF é uma vulnerabilidade num componente do Windows que existe desde o Windows XP. Ela permite que atacantes não autorizados controlem processos Windows arbitrários – incluindo aplicações executadas numa sandbox. Para evitar que o protocolo CTF continue a ser explorado, a equipa Sophos Threat Mitigation desenvolveu a funcionalidade CTF Guard e integrou‑a na política de proteção contra ameaças.

A funcionalidade ApiSetGuard impede que as aplicações carreguem DLL maliciosas que se fazem passar por ApiSet stub DLLs. Estas ajudam as aplicações a manterem‑se compatíveis com versões mais recentes do Windows. Os atacantes podem colocar ApiSet stub DLLs manipuladas num sistema para alterar o comportamento das funções – por exemplo, para contornar a proteção contra adulteração da Sophos e terminar o cliente Sophos.

Assinatura DKIM de emails

Quem utiliza o Sophos Central Email para analisar o tráfego de entrada e saída pode agora assinar mensagens com DKIM. Para configurar a funcionalidade, acede‑se a “Definições” no Central Email e seleciona‑se o menu “Definições/estado de domínio”. Ao clicar num domínio para o qual o tráfego de saída também é analisado, é apresentada, abaixo do resumo, a opção para criar uma nova chave DKIM. Em seguida é mostrado um pequeno guia com todas as informações necessárias para configurar o registo DKIM.

Endereço de email personalizável para formações Phish Threat

O Sophos Central Phish Threat ajuda a sensibilizar as equipas para emails de phishing. Até agora, no entanto, os emails automatizados de formação e de registo nem sempre pareciam fiáveis quando eram enviados de “Sophos training@staysafe.sophos.com”. Muitas pessoas provavelmente se perguntaram se deviam mesmo clicar na ligação. 😅

A Sophos reagiu e agora permite definir um domínio próprio para as mensagens de “apanhado”, emails de lembrete e emails de registo enviados aos utilizadores finais.

Para isso, acede‑se às “Definições” do Phish Threat e à secção “Emails de registo e de lembrete de formação”. Aí é possível ativar e verificar um endereço de email personalizado. Nos testes, tanto o email de verificação como o email de teste seguinte foram inicialmente parar à pasta de spam. 🙄 A configuração é aplicada por conta Central e não pode ser definida de forma diferente por campanha.