Active Threat Response pour les commutateurs et points d’accès Sophos
Avec la nouvelle fonction Active Threat Response, Sophos étend les capacités des Access Points Sophos (AP6 Series uniquement) et des Sophos Switch. Cette fonctionnalité permet une réponse automatique aux menaces en temps réel, en particulier lorsqu’elle est associée à Sophos MDR, Sophos XDR ou à des solutions tierces. Récemment, Sophos Firewall a été mis à jour avec la version 20, et les commutateurs et points d’accès Sophos bénéficient désormais de cette protection renforcée contre les menaces.
Thèmes
Fonctionnement d’Active Threat Response
Sur les systèmes d’extrémité, Sophos offre déjà une protection efficace contre les mouvements latéraux des attaquants. Les mouvements latéraux font référence à la propagation d’un attaquant au sein d’un réseau après avoir compromis un premier point d’accès. L’attaquant tente alors de se déplacer d’un appareil à l’autre pour voler des données sensibles ou infecter d’autres systèmes.
Cependant, tous les appareils du réseau ne sont pas équipés de Sophos Endpoint et ce sont précisément ces appareils non protégés qui sont souvent la cible d’attaques. C’est là qu’intervient la détection et la réponse réseau (NDR). NDR surveille en permanence le trafic réseau et analyse les paquets de données à la recherche d’anomalies qui pourraient indiquer une activité suspecte. Cela permet de détecter les menaces avant qu’elles ne causent de graves dommages.
Les points d’accès et les commutateurs sont souvent les premiers points de contact dans la communication réseau des terminaux. Ils constituent ainsi une plate-forme idéale pour identifier rapidement les menaces et y répondre. Active Threat Response permet d’isoler en temps réel les systèmes compromis à l’aide de flux de menaces contrôlés par une API. Cela empêche les attaquants de se déplacer latéralement dans le réseau et permet des contre-mesures ciblées.
- Base de connaissances Sophos – Commutateurs Active Threat Response
- Base de connaissances Sophos – Active Threat Response Access Points
Flux de menaces et isolation
Les flux de menaces sont obtenus auprès de sources fiables (Sophos ou tiers) et incluent les adresses MAC des appareils compromis. Ces informations sont transmises à tous les points d’accès AP6 et à tous les commutateurs Sophos du réseau qui sont gérés par le même compte Sophos Central. Dès qu’un appareil compromis est identifié, il est immédiatement isolé et perd l’accès au réseau. Cela empêche les attaquants de se propager davantage et offre un temps précieux pour les contre-mesures et les processus de nettoyage.
Avantages de l’écosystème Sophos
Active Threat Response ajoute plusieurs avantages décisifs aux fonctionnalités uniques de l’écosystème Sophos :
- Isolation des hôtes : périphériques câblés et sans fil, y compris les hôtes administrés (clients et serveurs avec Sophos Endpoint) et les périphériques non administrés (comme les imprimantes).
- Prévention des mouvements latéraux : L’isolation immédiate des systèmes compromis empêche les attaquants de se propager davantage au sein du réseau, ce qui laisse plus de temps pour le nettoyage des incidents.
- Utilisation des flux de menaces : les flux de menaces provenant de plusieurs sources fiables sont utilisés pour garantir une détection complète et actualisée des menaces.
Disponibilité et licences
Active Threat Response est désormais disponible via Sophos Central pour Sophos Wireless (AP6 Series uniquement) et Sophos Switch. L’utilisation requiert un abonnement de support valide pour chaque point d’accès ou commutateur AP6.
Intégration avec Sophos Firewall
Bien qu’un pare-feu Sophos ne soit pas une condition préalable à l’utilisation d’Active Threat Response, la combinaison de Sophos Wireless, Sophos Switch et Sophos Firewall assure une protection complète à tous les niveaux du réseau. Cette combinaison permet de mettre en place différentes mesures de réaction et des automatisations avancées qui permettent de nettoyer plus rapidement les incidents de sécurité.
Aperçu et évaluation
Switches
Après plus de deux ans d’attente, Sophos apporte enfin Active Threat Response, une fonctionnalité qui différencie vraiment les Sophos Switch des autres. Jusqu’à présent, les commutateurs Sophos Switch ne différaient guère de ceux des autres fabricants, si ce n’est qu’ils étaient administrés par Sophos Central et que leurs fonctionnalités étaient toujours réduites.
Active Threat Response représente néanmoins une avancée significative dans la lutte contre les menaces. L’intégration avec Sophos MDR, Sophos XDR et des solutions tierces garantit une réponse rapide et efficace aux menaces. Cela permet non seulement d’améliorer la protection, mais aussi de gérer plus efficacement les incidents de sécurité et de préserver l’intégrité du réseau.
Access Points
Les Access Points Sophos AP6 ne sont sur le marché que depuis six mois, mais leur technologie n’est déjà plus à jour avec le Wi-Fi 6. En outre, Sophos Central, le contrôleur des points d’accès, ne dispose toujours pas de fonctionnalités qui étaient disponibles sur les anciens modèles APX et qui ne seront pas implémentées avant la fin de l’année.
En outre, plusieurs clients ont signalé des problèmes avec les Access Points, notamment en ce qui concerne la portée. Ce n’est qu’avec l’introduction d’Active Threat Response qu’une nouvelle fonctionnalité significative entre en jeu.
Il reste toutefois à voir si cela suffira à concurrencer les offres étendues des autres fabricants.
En résumé, l’introduction d’Active Threat Response a donné de la valeur aux commutateurs et aux Access Points Sophos. Néanmoins, la décision d’investir dans du matériel réseau Sophos dépend fortement de vos besoins spécifiques et de votre infrastructure informatique existante.
FAQ
Pour quels produits Active Threat Response est-il disponible ?
Active Threat Response est désormais disponible via Sophos Central pour Sophos Wireless (AP6 Series uniquement) et Sophos Switch.
A-t-on besoin d’une licence ou d’un abonnement spécifique pour utiliser Active Threat Response ?
Oui, l’utilisation d’Active Threat Response requiert un abonnement de support valide pour chaque point d’accès ou commutateur AP6.
Quels sont les appareils qui prennent en charge Active Threat Response ?
Les Access Points Sophos AP6 et tous les Sophos Switch sont pris en charge.
Qu’est-ce que Sophos Active Threat Response ?
Active Threat Response est une nouvelle fonctionnalité de Sophos qui permet de répondre automatiquement aux menaces en temps réel en isolant les systèmes compromis. Elle est disponible pour les points d’accès sans fil Sophos (série AP6 uniquement) et les commutateurs Sophos.
Active Threat Response peut-il être utilisé sans Sophos Firewall ?
Oui, Active Threat Response peut être utilisé sans Sophos Firewall. Cependant, la combinaison avec Sophos Firewall offre une protection plus complète à tous les niveaux du réseau.
Pourquoi les appareils non protégés sur le réseau représentent-ils un risque ?
Les appareils non protégés qui n’ont pas installé Sophos Endpoint Protection sont plus vulnérables aux attaques et peuvent servir de point d’entrée aux attaquants pour se propager sur le réseau.
Comment fonctionne l’isolation des hôtes ?
L’isolation des hôtes est assurée par Active Threat Response en combinaison avec Sophos Central. Lorsqu’un périphérique compromis est identifié, son adresse MAC est transmise via une API à tous les points d’accès AP6 et Sophos Switch gérés. Ces appareils, qu’ils soient câblés ou sans fil, gérés (avec Sophos Endpoint Protection) ou non (comme un NAS), sont immédiatement isolés et perdent l’accès au réseau. Cela permet d’éviter que les attaquants ne se propagent davantage.
Ai-je besoin de MDR et de XDR pour Active Threat Response ?
Non, il n’est pas obligatoire d’avoir Sophos MDR et XDR pour utiliser Active Threat Response. Cependant, les informations sur les menaces provenant de Sophos MDR et XDR, ainsi que d’autres solutions, peuvent être injectées dans le système afin de permettre une détection et une réponse plus efficaces aux menaces.
