Active Threat Response per switch e punti di accesso Sophos
Con la nuova funzione Active Threat Response, Sophos amplia le capacità degli Access Points (solo della serie AP6) e degli Switch Sophos. Questa funzione consente di rispondere automaticamente alle minacce in tempo reale, soprattutto in combinazione con Sophos MDR, Sophos XDR o con soluzioni di terze parti. Sophos Firewall è stato recentemente aggiornato alla versione 20 con nuove funzionalità di protezione e ora anche gli switch e gli Access Points di Sophos beneficiano di questa migliore difesa dalle minacce.
Argomenti
Come funziona l’Active Threat Response
Sophos offre già una protezione efficace contro i movimenti laterali degli aggressori sugli endpoint. Il movimento laterale si riferisce alla propagazione di un attaccante all’interno di una rete dopo aver compromesso un punto di accesso iniziale. L’attaccante tenta di spostarsi da un dispositivo all’altro per rubare dati sensibili o infettare altri sistemi.
Tuttavia, non tutti i dispositivi della rete sono dotati di Sophos Endpoint e sono proprio questi dispositivi non protetti a essere spesso oggetto di attacchi. È qui che entra in gioco il Network Detection and Response (NDR). L’NDR monitora continuamente il traffico di rete e analizza i pacchetti di dati alla ricerca di anomalie che potrebbero indicare attività sospette. In questo modo è possibile riconoscere le minacce prima che possano causare gravi danni.
Access Points e switch sono spesso i primi punti di contatto nella comunicazione di rete dei dispositivi finali. Questo li rende una piattaforma ideale per riconoscere e rispondere rapidamente alle minacce. Con Active Threat Response, i sistemi compromessi possono essere isolati in tempo reale grazie a feed di minacce controllati tramite API. In questo modo si evita il movimento laterale degli attaccanti nella rete e si possono adottare contromisure mirate.
- Conoscenza di base di Sophos – Switch Active Threat Response
- Conoscenza di base di Sophos – Active Threat Response Access Points
Alimentazione e isolamento delle minacce
I feed delle minacce sono ottenuti da fonti affidabili (Sophos o fornitori terzi) e contengono gli indirizzi MAC dei dispositivi compromessi. Queste informazioni vengono inoltrate a tutti gli Access Points AP6 e ai Sophos Switch della rete gestiti dallo stesso account di Sophos Central. Non appena un dispositivo compromesso viene identificato, viene immediatamente isolato e perde l’accesso alla rete. Questo impedisce agli aggressori di diffondersi ulteriormente e fornisce tempo prezioso per le contromisure e i processi di pulizia.
I vantaggi dell’ecosistema Sophos
Active Threat Response estende le funzionalità uniche dell’ecosistema Sophos con diversi vantaggi chiave:
- Isolamento degli host: dispositivi cablati e wireless, compresi gli host gestiti (client e server con Sophos Endpoint) e i dispositivi non gestiti (come le stampanti).
- Prevenire gli spostamenti laterali: L’isolamento immediato dei sistemi compromessi impedisce agli aggressori di diffondersi ulteriormente all’interno della rete, garantendo più tempo per la bonifica degli incidenti.
- Utilizzo di feed di minacce: i feed di minacce provenienti da più fonti affidabili vengono utilizzati per garantire un rilevamento delle minacce completo e aggiornato.
Disponibilità e licenze
Active Threat Response è ora disponibile tramite Sophos Central per Sophos Wireless (solo serie AP6) e Sophos Switch. Per l’utilizzo è necessario un abbonamento di supporto valido per ogni access point o switch AP6.
Integrazione con Sophos Firewall
Anche se un firewall Sophos non è un prerequisito per l’utilizzo di Active Threat Response, la combinazione con Sophos Wireless, Sophos Switch e Sophos Firewall offre una protezione completa a tutti i livelli della rete. Questa combinazione consente di adottare diverse misure di risposta e un’automazione avanzata, che permettono di risolvere più rapidamente gli incidenti di sicurezza.
Panoramica e valutazione
Switches
Dopo un’attesa di oltre due anni, Sophos sta finalmente introducendo l’Active Threat Response, una funzione che distingue davvero Sophos Switch dagli altri. Finora gli switch Sophos non si sono differenziati molto da quelli di altri produttori, a parte la gestione tramite Sophos Central, che ha ancora una gamma ridotta di funzioni.
L’Active Threat Response rappresenta comunque un progresso significativo nella difesa dalle minacce. L’integrazione con Sophos MDR, Sophos XDR e le soluzioni di terze parti garantisce una risposta rapida ed efficace alle minacce. Questo non solo garantisce una migliore protezione, ma permette anche di gestire in modo più efficiente gli incidenti di sicurezza e di mantenere l’integrità della rete.
Access Points
Gli Access Point Sophos AP6 sono sul mercato da soli sei mesi, ma sono già tecnologicamente superati dal Wi-Fi 6. Inoltre, Sophos Central, il controller per gli Access Points, manca ancora delle funzioni disponibili sui vecchi modelli APX e sarà implementato solo verso la fine dell’anno.
Inoltre, diversi clienti segnalano problemi con gli Access Points, in particolare per quanto riguarda la portata. Solo l’introduzione dell’Active Threat Response riporta in gioco nuove e significative funzionalità.
Tuttavia, resta da vedere se sarà sufficiente per competere con le ampie gamme offerte da altri produttori.
In sintesi, gli switch e gli access point Sophos sono diventati più preziosi con l’introduzione dell’Active Threat Response. Tuttavia, la decisione di investire o meno nell’hardware di rete Sophos dipende molto dai requisiti specifici e dall’infrastruttura IT esistente.
FAQ
Per quali prodotti è disponibile Active Threat Response?
Active Threat Response è ora disponibile tramite Sophos Central per Sophos Wireless (solo serie AP6) e Sophos Switch.
Ho bisogno di una licenza o di un abbonamento speciale per poter utilizzare Active Threat Response?
Sì, per utilizzare Active Threat Response è necessario un abbonamento di assistenza valido per ogni Access Points o switch AP6.
Quali dispositivi supportano l’Active Threat Response?
Sono supportati gli access point Sophos AP6 e tutti i Sophos Switch.
Cos’è l’Active Threat Response di Sophos?
Active Threat Response è una nuova funzione di Sophos che consente di rispondere automaticamente alle minacce in tempo reale isolando i sistemi compromessi. È disponibile per gli Access Points wireless di Sophos (solo per la serie AP6) e per i Sophos Switch.
Active Threat Response può essere utilizzato senza Sophos Firewall?
Sì, Active Threat Response può essere utilizzato anche senza Sophos Firewall. Tuttavia, la combinazione con Sophos Firewall offre una protezione più completa a tutti i livelli della rete.
Perché i dispositivi non protetti nella rete sono un rischio?
I dispositivi non protetti che non hanno installato Sophos Endpoint Protection sono più vulnerabili agli attacchi e possono rappresentare un punto di ingresso per gli aggressori per diffondersi nella rete.
Come funziona l’isolamento dell’ospite?
Gli host vengono isolati da Active Threat Response in combinazione con Sophos Central. Quando viene identificato un dispositivo compromesso, il suo indirizzo MAC viene inoltrato tramite un’API a tutti gli access point AP6 gestiti e agli switch Sophos. Questi dispositivi, siano essi cablati o wireless, gestiti (con Sophos Endpoint Protection) o non gestiti (come un NAS), vengono immediatamente isolati e perdono l’accesso alla rete. Questo impedisce agli aggressori di diffondersi ulteriormente.
Ho bisogno di MDR e XDR per l’Active Threat Response?
No, Sophos MDR e XDR non sono obbligatori per l’utilizzo di Active Threat Response. Tuttavia, le informazioni sulle minacce provenienti da Sophos MDR e XDR e da altre soluzioni possono essere inserite nel sistema per consentire un rilevamento e una risposta più efficaci alle minacce.
