Hoppa till innehållet
Avanet
Aktiv hotrespons för Sophos switchar och accesspunkter

Aktiv hotrespons för Sophos switchar och accesspunkter

24. JUNI 2024

Med den nya funktionen Active Threat Response utökar Sophos kapaciteten hos Sophos Access Point (endast AP6-serien) och Sophos Switchar. Denna funktion möjliggör en automatisk realtidsrespons på hot, särskilt i kombination med Sophos MDR, Sophos XDR eller tredjepartslösningar. Nyligen fick Sophos Firewall nya skyddsfunktioner med uppdateringen till Version 20, och nu drar även Sophos switchar och accesspunkter nytta av detta förbättrade hotförsvar.

Hur Active Threat Response fungerar

Sophos erbjuder redan på slutpunkter ett effektivt skydd mot laterala rörelser från angripare. Laterala rörelser avser att en angripare sprider sig inom ett nätverk efter att ha komprometterat en initial ingångspunkt. Angriparen försöker då flytta sig från en enhet till en annan för att stjäla känslig data eller infektera ytterligare system.

Dock är inte varje enhet i nätverket utrustad med Sophos Endpoint, och just dessa oskyddade enheter är ofta målet för attacker. Det är här Network Detection and Response (NDR) kommer in i bilden. NDR övervakar kontinuerligt nätverkstrafiken och analyserar datapaket för anomalier som kan indikera misstänkt aktivitet. Detta möjliggör upptäckt av hot innan de kan orsaka allvarlig skada.

Accesspunkter och switchar är ofta de första kontaktpunkterna i nätverkskommunikationen för slutenheter. Detta gör dem till en ideal plattform för att snabbt upptäcka och reagera på hot. Med Active Threat Response kan komprometterade system isoleras i realtid med hjälp av hotflöden som styrs via ett API. Detta förhindrar den laterala rörelsen av angripare i nätverket och möjliggör riktade motåtgärder.

Hotflöden och isolering

Hotflöden hämtas från betrodda källor (Sophos eller tredjepartsleverantörer) och inkluderar MAC-adresserna för de komprometterade enheterna. Denna information vidarebefordras till alla AP6 Accesspunkter och Sophos Switchar i nätverket som hanteras i samma Sophos Central-konto. Så snart en komprometterad enhet identifieras, isoleras den omedelbart och förlorar nätverksåtkomsten. Detta förhindrar angripare från att sprida sig ytterligare och ger värdefull tid för motåtgärder och saneringsprocesser.

Aktiv hotrespons - Nätverksattack
Aktiv hotrespons - Nätverksattackexempel

Fördelar med Sophos Ekosystem

Active Threat Response utökar den unika funktionaliteten i Sophos ekosystem med flera avgörande fördelar:

  1. Värdisolering: Trådbundna och trådlösa enheter, inklusive hanterade värdar (klienter och servrar med Sophos Endpoint) och ohanterade enheter (som en NAS).
  2. Förhindrande av lateral rörelse: Genom omedelbar isolering av komprometterade system förhindras angripare från att sprida sig ytterligare inom nätverket, vilket ger mer tid för incidentåtgärder.
  3. Användning av hotflöden: Hotflöden från flera betrodda källor (Sophos eller tredjepartsleverantörer) används för att säkerställa en omfattande och aktuell hotdetektering.

Tillgänglighet och Licenser

Active Threat Response är nu tillgängligt via Sophos Central för Sophos Wireless (endast AP6-serien) och Sophos Switch. För att använda krävs en giltig supportprenumeration för varje AP6 Access Point eller Switch.

Integration med Sophos Firewall

Även om en Sophos Firewall inte är en förutsättning för att använda Active Threat Response, ger kombinationen med Sophos Wireless, Sophos Switch och Sophos Firewall ett omfattande skydd över alla nätverkslager. Denna kombination möjliggör olika svarsåtgärder och utökade automatiseringar som möjliggör snabbare sanering av säkerhetsincidenter.

Översikt och bedömning

Switchar

Efter en väntetid på över två år introducerar Sophos äntligen en funktion med Active Threat Response som verkligen utmärker Sophos switchar från andra. Hittills har Sophos switchar knappt skiljt sig från andra tillverkares, bortsett från hanteringen via Sophos Central och detta fortfarande med ett begränsat funktionsutbud.

Icke desto mindre representerar Active Threat Response ett betydande framsteg inom hotförsvar. Genom integration med Sophos MDR, Sophos XDR och tredjepartslösningar säkerställs en snabb och effektiv respons på hot. Detta möjliggör inte bara bättre skydd utan också mer effektiv hantering av säkerhetsincidenter och bevarande av nätverksintegriteten.

Accesspunkter

Sophos AP6 Access Points har bara funnits på marknaden i sex månader, men tekniskt sett är de redan inte uppdaterade med Wi-Fi 6. Dessutom saknar Sophos Central, styrenheten för accesspunkterna, fortfarande funktioner som fanns tillgängliga på äldre APX-modeller och som endast förväntas implementeras mot slutet av året.

Dessutom rapporterar olika kunder problem med accesspunkterna, särskilt vad gäller räckvidden. Först införandet av Active Threat Response för med sig en betydande ny funktionalitet.

Det återstår dock att se om detta är tillräckligt för att kunna konkurrera med andra tillverkares omfattande utbud.

Sammanfattningsvis kan man säga att Sophos switchar och accesspunkter har blivit mer värdefulla i och med införandet av Active Threat Response. Ändå beror beslutet om man ska investera i Sophos nätverkshårdvara starkt på de specifika kraven och den befintliga IT-infrastrukturen.

FAQ

För vilka produkter finns Active Threat Response tillgängligt?

Active Threat Response är nu tillgängligt via Sophos Central för Sophos Wireless (endast AP6-serien) och Sophos Switch.

Behövs en speciell licens eller prenumeration för att kunna använda Active Threat Response?

Ja, för att använda Active Threat Response krävs en giltig supportprenumeration för varje AP6 Access Point eller Switch.

Vilka enheter stöder Active Threat Response?

Sophos AP6 Access Points och alla Sophos Switchar stöds.

Vad är Sophos Active Threat Response?

Active Threat Response är en ny funktion från Sophos som möjliggör en automatisk realtidsrespons på hot genom att isolera komprometterade system. Den är tillgänglig för Sophos trådlösa accesspunkter (endast AP6-serien) och Sophos switchar.

Kan Active Threat Response användas utan Sophos Firewall?

Ja, Active Threat Response kan även användas utan Sophos Firewall. Kombinationen med Sophos Firewall erbjuder dock ett mer omfattande skydd på alla nätverkslager.

Varför utgör oskyddade enheter i nätverket en risk?

Oskyddade enheter som inte har Sophos Endpoint Protection installerat är mer sårbara för attacker och kan fungera som en inkörsport för angripare att sprida sig i nätverket.

Hur fungerar isoleringen av värdar?

Isoleringen av värdar utförs av Active Threat Response i kombination med Sophos Central. När en komprometterad enhet identifieras, vidarebefordras dess MAC-adress via ett API till alla hanterade AP6 Access Points och Sophos Switchar i nätverket. Dessa enheter, oavsett om de är trådbundna eller trådlösa, hanterade (med Sophos Endpoint Protection) eller ohanterade (som en NAS), isoleras omedelbart och förlorar nätverksåtkomsten. Detta förhindrar angripare från att sprida sig ytterligare.

Behöver jag MDR och XDR för Active Threat Response?

Nej, för att använda Active Threat Response är Sophos MDR och XDR inte strikt nödvändiga. Dock kan hotinformation från Sophos MDR och XDR samt andra lösningar matas in i systemet för att möjliggöra effektivare hotdetektering och respons.
Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.