Hoppa till innehållet
Avanet
Active Threat Response för Sophos Switches och Access Points

Active Threat Response för Sophos Switches och Access Points

Med den nya funktionen Active Threat Response utökar Sophos möjligheterna i Sophos Access Points (endast AP6-serien) och Sophos Switches. Funktionen möjliggör en automatisk reaktion på hot i realtid, särskilt i kombination med Sophos MDR, Sophos XDR eller tredjepartslösningar. Nyligen fick Sophos Firewall nya skyddsfunktioner med uppdateringen till Version 20, och nu drar även Sophos Switches och Access Points nytta av detta förbättrade hotförsvar.

Hur Active Threat Response fungerar

Sophos erbjuder redan på endpoints ett effektivt skydd mot angripares laterala rörelser. Laterala rörelser innebär att en angripare sprider sig inom ett nätverk efter att ha komprometterat en första ingångspunkt. Angriparen försöker då ta sig från en enhet till nästa för att stjäla känsliga data eller infektera ytterligare system.

Men alla enheter i nätverket är inte utrustade med Sophos Endpoint, och just dessa oskyddade enheter är ofta mål för attacker. Det är här Network Detection and Response (NDR) kommer in. NDR övervakar kontinuerligt nätverkstrafiken och analyserar datapaket efter anomalier som kan tyda på misstänkt aktivitet. Det gör det möjligt att upptäcka hot innan de kan orsaka allvarlig skada.

Access Points och Switches är ofta de första kontaktpunkterna i nätverkskommunikationen för slutenheter. Därför är de en idealisk plattform för att snabbt upptäcka hot och reagera på dem. Med Active Threat Response kan komprometterade system isoleras i realtid med hjälp av Threat Feeds som styrs via ett API. Det förhindrar angriparnas laterala rörelser i nätverket och möjliggör riktade motåtgärder.

  • Sophos Knowledge Base - Active Threat Response Switches
  • Sophos Knowledge Base - Active Threat Response Access Points

Hotflöden och isolering

Threat Feeds hämtas från betrodda källor (Sophos eller tredjepartsleverantörer) och innehåller MAC-adresserna för de komprometterade enheterna. Informationen vidarebefordras till alla AP6 Access Points och Sophos Switches i nätverket som hanteras i samma Sophos Central-konto. Så snart en komprometterad enhet identifieras isoleras den omedelbart och förlorar åtkomsten till nätverket. Det hindrar angripare från att sprida sig vidare och ger värdefull tid för motåtgärder och sanering.

Active Threat Response - Network Attack
Active Threat Response - Network Attack Example

Fördelar med Sophos-ekosystemet

Active Threat Response utökar den unika funktionaliteten i Sophos-ekosystemet med flera avgörande fördelar:

  1. Isolering av hosts: Trådbundna och trådlösa enheter, inklusive hanterade hosts (klienter och servrar med Sophos Endpoint) och ohanterade enheter (som skrivare).
  2. Förhindrande av laterala rörelser: Genom omedelbar isolering av komprometterade system förhindras angripare från att sprida sig vidare inom nätverket, vilket ger mer tid för incidenthantering.
  3. Användning av Threat Feeds: Threat Feeds från flera betrodda källor används för att säkerställa en omfattande och aktuell hotdetektering.

Tillgänglighet och licenser

Active Threat Response är nu tillgängligt via Sophos Central för Sophos Wireless (endast AP6-serien) och Sophos Switch. För användning krävs en giltig Support Subscription för varje AP6 Access Point respektive Switch.

Integration med Sophos Firewall

Även om en Sophos Firewall inte är en förutsättning för att använda Active Threat Response ger kombinationen med Sophos Wireless, Sophos Switch och Sophos Firewall ett omfattande skydd på alla nätverksnivåer. Kombinationen möjliggör olika reaktionsåtgärder och utökade automatiseringar som gör att säkerhetsincidenter kan saneras snabbare.

Översikt och bedömning

Switches

Efter en väntetid på över två år lanserar Sophos med Active Threat Response äntligen en funktion som verkligen får Sophos Switches att sticka ut. Hittills har Sophos Switches knappt skiljt sig från andra tillverkares switchar, bortsett från hanteringen via Sophos Central, och fortfarande med ett begränsat funktionsutbud.

Active Threat Response är ändå ett betydande framsteg inom hotförsvar. Genom integrationen med Sophos MDR, Sophos XDR och tredjepartslösningar säkerställs en snabb och effektiv reaktion på hot. Det ger inte bara bättre skydd, utan gör det också möjligt att hantera säkerhetsincidenter mer effektivt och bevara nätverksintegriteten.

Access Points

Sophos AP6 Access Points har bara funnits på marknaden i sex månader, men tekniskt sett är de med Wi-Fi 6 redan inte längre helt aktuella. Dessutom saknas det fortfarande funktioner i Sophos Central, controllern för Access Points, som fanns tillgängliga för de äldre APX-modellerna och som först ska implementeras mot slutet av året.

Dessutom rapporterar flera kunder problem med Access Points, särskilt när det gäller räckvidden. Först med införandet av Active Threat Response kommer åter en betydande ny funktion in i bilden.

Det återstår dock att se om detta är tillräckligt för att kunna konkurrera med andra tillverkares omfattande utbud.

Sammanfattningsvis kan man säga att Sophos Switches och Access Points har blivit mer värdefulla genom införandet av Active Threat Response. Ändå beror beslutet om man bör investera i Sophos-nätverkshårdvara starkt på de specifika kraven och den befintliga IT-infrastrukturen.

FAQ

För vilka produkter finns Active Threat Response tillgängligt?

Active Threat Response är nu tillgängligt via Sophos Central för Sophos Wireless (endast AP6-serien) och Sophos Switch.

Behövs en särskild licens eller subscription för att kunna använda Active Threat Response?

Ja, för att använda Active Threat Response krävs en giltig Support Subscription för varje AP6 Access Point respektive Switch.

Vilka enheter stöder Active Threat Response?

Sophos AP6 Access Points och alla Sophos Switches stöds.

Vad är Sophos Active Threat Response?

Active Threat Response är en ny funktion från Sophos som möjliggör en automatisk reaktion på hot i realtid genom att isolera komprometterade system. Den är tillgänglig för Sophos Wireless Access Points (endast AP6-serien) och Sophos Switches.

Kan Active Threat Response användas utan Sophos Firewall?

Ja, Active Threat Response kan även användas utan Sophos Firewall. Kombinationen med Sophos Firewall erbjuder dock ett mer omfattande skydd på alla nätverkslager.

Varför utgör oskyddade enheter i nätverket en risk?

Oskyddade enheter som inte har Sophos Endpoint Protection installerat är mer sårbara för attacker och kan fungera som en ingångspunkt för angripare som vill sprida sig i nätverket.

Hur fungerar isoleringen av hosts?

Isoleringen av hosts sker genom Active Threat Response i kombination med Sophos Central. När en komprometterad enhet identifieras vidarebefordras dess MAC-adress via ett API till alla hanterade AP6 Access Points och Sophos Switches i nätverket. Dessa enheter, oavsett om de är trådbundna eller trådlösa, hanterade (med Sophos Endpoint Protection) eller ohanterade (som en NAS), isoleras omedelbart och förlorar nätverksåtkomsten. Det förhindrar angripare från att sprida sig vidare.

Behöver jag MDR och XDR för Active Threat Response?

Nej, Sophos MDR och XDR är inte absolut nödvändiga för att använda Active Threat Response. Däremot kan hotinformation från Sophos MDR och XDR samt andra lösningar matas in i systemet för att möjliggöra effektivare hotdetektering och respons.
Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.