Sophos Central Update – Enhanced Protection för servrar med mera

Under de senaste två månaderna har Sophos lanserat flera nyheter för Central‑plattformen, vilka kort sammanfattas i det här inlägget. Vi börjar med det förestående slutet på supporten för Windows 7 och Windows Server 2008 R2.

Snart slut på support för Windows 7 och Windows Server 2008 R2

För Windows 7 och Windows Server 2008 R2 avslutade Microsoft supporten definitivt den 14 januari 2020. Som följd kommer Sophos också endast att erbjuda begränsat stöd för dessa två operativsystem. Standardsupporten upphör officiellt den 31 december 2021.

Windows 7

• Slut på standardsupport: 31 december 2021
• Slut på utökad support: 31 mars 2025

Windows Server 2008 R2

• Slut på standardsupport: 31 december 2021
• Slut på utökad support: 31 mars 2025

Info: supporten för Windows Server 2008 upphör den 31 juli 2020.

Köpa utökad support

För miljöer där tidsfristen 31 december 2021 inte räcker för att ersätta alla system erbjuder Sophos en utökad support. Med en extra licens förlängs stödet för följande produkter till 31 mars 2025:

• Intercept X Advanced/Intercept X Advanced with EDR
• Intercept X Advanced for Server/Intercept X Advanced for Server with EDR
• Central Endpoint Protection/Central Server Protection
• Endpoint Protection Standard/Endpoint Protection Advanced
• Server Protection for Virtualization, Windows och Linux/Server Protection Enterprise

Den som är intresserad av utökad support kan enkelt kontakta oss via kontaktformuläret – därefter tas ett passande erbjudande fram.

Sophos Intercept X Enhanced Protection (beta) nu även för servrar

I oktober 2019 startade Sophos ett betaprogram för Intercept X Enhanced Protection. Målet är att vidareutveckla Intercept X och erbjuda ytterligare funktioner för att stoppa modern malware. Ransomware‑attacker fortsätter även 2020 – namn som EMOTET syns överallt. Sophos arbetar därför intensivt med att kontinuerligt stärka Intercept X‑tekniken.

I den första versionen omfattade Intercept X Enhanced Protection redan två funktioner: Anti‑Malware Scanning Interface (AMSI) och Intrusion Prevention System (IPS).

I december 2019 tillkom fler centrala skyddsmekanismer för Windows‑system, som nu också finns tillgängliga för Windows Server från version 2008 R2:

Skydd mot Encrypting File System‑attacker (EFS Guard)

Sedan Windows 2000 har Microsoft integrerat en funktion med namnet EFS (Encrypting File System) i operativsystemet. Den ska inte förväxlas med BitLocker, som krypterar en hel disk; EFS används för att kryptera enskilda filer och mappar.

Angripare har hittat sätt att missbruka den här funktionen och kryptera filer direkt via API:erna i den inbyggda krypteringsfunktionen (EFS). För angripare innebär detta “fördelar”, eftersom ingen extra skadeprogramvara behöver hämtas. Med EFS Guard kan Intercept X nu skydda specifikt mot den här typen av attacker.

Dynamiskt skydd mot shellcode

Utvecklare av ny malware använder allt oftare så kallade “stagers”. Det är små, till synes ofarliga program som laddar in den egentliga skadliga koden i det temporära minnet och kör den där. Klassiska anti‑malwarelösningar har svårt att upptäcka detta mönster. Med beteendeanalys kan det dynamiska skyddet mot shellcode motverka just den här tekniken. Så snart ett beteende som liknar en stager identifieras, ingriper upptäcktsmekanismen och stoppar applikationen.

CTF är en sårbarhet i en Windows‑komponent som funnits sedan Windows XP. Den gör det möjligt för obehöriga angripare att styra godtyckliga Windows‑processer – även applikationer som körs i en sandbox. För att förhindra att CTF‑protokollet utnyttjas vidare har Sophos Threat Mitigation‑teamet utvecklat funktionen CTF Guard och integrerat den i policyn för skydd mot hot.

Funktionen ApiSetGuard förhindrar att applikationer laddar skadliga DLL‑filer som utger sig för att vara ApiSet‑stub‑DLL:er. ApiSet‑stub‑DLL:er hjälper applikationer att förbli kompatibla med nyare versioner av Windows. Angripare kan placera manipulerade ApiSet‑stub‑DLL:er på ett system för att ändra funktioner – till exempel för att kringgå Sophos manipulationsskydd och stoppa Sophos‑klienten.

DKIM‑signering av e‑post

Den som använder Sophos Central Email för att skanna in- och utgående e‑post kan nu signera meddelanden med DKIM. För att konfigurera detta går man till ”Inställningar” i Central Email och väljer menyn ”Domäninställningar/status”. När man klickar på en domän där även utgående trafik inspekteras visas under sammanfattningen ett alternativ för att skapa en ny DKIM‑nyckel. Därefter visas en kort vägledning med all information som behövs för att konfigurera DKIM‑posten.

Anpassningsbar e‑postadress för Phish Threat‑utbildningar

Sophos Central Phish Threat är utformat för att öka medvetenheten om phishingmejl bland medarbetare. Hittills har de automatiska utbildnings‑ och registreringsmejlen dock inte alltid sett helt trovärdiga ut när de skickats från ”Sophos training@staysafe.sophos.com”. Många har säkert funderat på om de verkligen ska klicka på länken. 😅

Sophos har agerat och gör det nu möjligt att definiera en egen domän för ”du‑blev‑lurad‑mejl”, påminnelsemejl och registreringsmejl som skickas till slutanvändare.

För detta går man till ”Inställningar” i Phish Threat och öppnar avsnittet ”Registrerings‑ och påminnelsemejl för utbildning”. Där kan man aktivera och verifiera en anpassad e‑postadress. I tester hamnade både verifieringsmejlet och det efterföljande testmejlet initialt i skräppostmappen. 🙄 Konfigurationen gäller per Central‑konto och kan inte ställas in olika för enskilda kampanjer.