Breaking News: Apresentando a resposta ativa a ameaças para Sophos Switch / Sophos Wireless (AP6)

por SN Informáticaem Sophos Switch, Sophos Wirelesson Postado em

O Active Threat Response já está disponível para todos os clientes Sophos AP6 Series e Switch.

Com o Active Threat Response, a Sophos esta introduzindo novas funcionalidades para os produtos de camada de acesso à rede, Sophos Switch e Sophos Wireless (somente Série AP6).

As redes corporativas tornaram-se mais difíceis de controlar, com uma ampla gama de dispositivos gerenciados e não gerenciados, com e sem fio, conectados. Já não é suficiente monitorar apenas o status dos dispositivos gerenciados; quando necessário, você deve ser capaz de bloquear a conectividade de hosts não gerenciados potencialmente suspeitos, como dispositivos IoT, que podem ser alvo de botnets.

De acordo com o relatório inaugural MSP Perspectives 2024 realizado em nome da Sophos, os Provedores de Serviços Gerenciados (MSPs) consideram redes sem fio inseguras e a escassez de habilidades / conhecimentos em segurança cibernética como os maiores riscos percebidos de segurança cibernética que enfrentam hoje.

A Active Threat Response e a abordagem de plataforma única ajudam a resolver essas duas preocupações, tornando o gerenciamento de segurança mais eficiente e estendendo a segurança de redes com e sem fio além dos limites que os produtos de infraestrutura de rede podem ver.

Detecção de dispositivos não autorizados

O conceito de detecção de dispositivos não autorizados é bem conhecido no mundo sem fio, no entanto, na maioria das soluções, isso tende a andar de mãos dadas com a detecção de AP não autorizado, com um dispositivo não autorizado geralmente definido como um dispositivo conectado a um AP não autorizado. A detecção de dispositivos não autorizados pode estar sujeita a falsos positivos e é necessário cuidado ao usar a automação para evitar interrupções. A Active Threat Response é diferente; pontos de acesso e switches ingerem informações de ameaças verificadas e direcionadas de fontes separadas e confiáveis.

Como funciona

 Um feed de ameaças acionado por API contendo os endereços MAC de hosts potencialmente comprometidos pode ser enviado para qualquer conta do Sophos Central. Uma vez acionado, o feed de ameaças é propagado automaticamente pela rede para atualizar todos os switches Sophos e pontos de acesso AP6.

Eles respondem isolando os dispositivos comprometidos, cortando efetivamente a comunicação entre eles. Embora a filtragem baseada em MAC não possa impedir a falsificação de MAC, ela economiza um tempo precioso para correção e evita o movimento lateral, que geralmente é o objetivo principal quando dispositivos não gerenciados são direcionados.

A fonte do feed de ameaças pode ser qualquer uma das diversas soluções da Sophos; Sophos MDRSophos XDR ou Sophos NDR. Além disso, a API pública disponibiliza esse recurso para clientes com soluções de segurança de terceiros.

Benefícios

  • Isola hosts com e sem fio, gerenciados e não gerenciados
  • Impede o movimento lateral e ganha tempo para remediação
  • As detecções podem ter origem em múltiplas fontes (Sophos ou soluções de terceiros)

A Active Threat Response para Sophos Switch e Sophos Wireless difere da funcionalidade oferecida pelo Sophos Firewall. O firewall fornece diferentes ações de resposta e automação, parcialmente baseadas na funcionalidade de segurança sincronizada em combinação com endpoints gerenciados pelo Sophos.

O uso combinado do Active Threat Response no Sophos Switch, Sophos Wireless e Sophos Firewall garante a melhor proteção em todas as camadas da rede.

Fortalecendo a história do ecossistema Sophos

O Active Threat Response adiciona uma dimensão nova e única à história do ecossistema Sophos. Demonstra ainda os benefícios da consolidação da segurança com um único fornecedor e da utilização de uma única plataforma de gestão, melhorando a postura de segurança dos nossos clientes e fortalecendo a posição dos nossos parceiros de canal para vender e suportar uma gama mais ampla de soluções e serviços.

Pré-requisitos e ativação

Para usar o Active Threat Response, a conta Sophos Central onde ele está ativado deve ter uma assinatura de suporte válida para cada ponto de acesso AP6 e / ou switch Sophos. Os clientes podem ativar esse recurso para Sophos Wireless e Sophos Switch individualmente.

Para receber feeds de ameaças, o cliente também deve possuir uma solução / serviço suportado pela Sophos ou uma solução de terceiros capaz de fornecer informações sobre ameaças usando a API pública.

A estrutura da API

Nesta versão inicial, seria necessário algum conhecimento de APIs para clientes que gerenciam suas próprias soluções Sophos. A API é usada para ingerir dados de feed de ameaças e também fornece os meios para gerenciar e atualizar a lista de hosts isolados. Em versões futuras, planejamos adicionar mais opções de gerenciamento e configuração no Sophos Central, tornando esse recurso acessível a administradores de rede de todos os níveis de habilidade.

Disponibilidade

O Active Threat Response já está disponível para todos os clientes Sophos AP6 Series e Switch que gerenciam seus dispositivos no Sophos Central (e possuem uma assinatura de suporte válida).

Para obter mais informações sobre o Active Threat Response, consulte nosso website em Sophos.com/Wireless ou Sophos.com/Switch

do original em https://news.sophos.com/en-us/2024/06/05/introducing-active-threat-response-for-sophos-switch-sophos-wireless-ap6/