Con Active Threat Response, presentamos una nueva funcionalidad para nuestros productos de acceso a la red: Sophos Switch y Sophos Wireless (solo la serie AP6).
Las redes corporativas se han vuelto más difíciles de controlar, con una amplia gama de dispositivos gestionados y no gestionados, cableados e inalámbricos, que se conectan. Ya no basta con supervisar solo el estado de los dispositivos gestionados; cuando surja la necesidad, tienes que ser capaz de bloquear la conectividad de hosts no gestionados potencialmente sospechosos, como los dispositivos IoT, que podrían ser el objetivo de botnets.
Según el informe inaugural MSP Perspectives 2024, realizado en nombre de Sophos, los Proveedores de Servicios Gestionados (MSP) consideran que las redes inalámbricas inseguras y la escasez de conocimientos y experiencia en ciberseguridad son los mayores riesgos de ciberseguridad a los que se enfrentan hoy en día.
Active Threat Response y nuestro enfoque de plataforma única ayudan a abordar ambas preocupaciones, haciendo que la gestión de la seguridad sea más eficiente y ampliando la seguridad de las redes cableadas e inalámbricas más allá de lo que pueden ver los productos de infraestructura de red.
Detección de dispositivos no autorizados
El concepto de detección de dispositivos no autorizados es bien conocido en el mundo inalámbrico, pero en la mayoría de las soluciones suele ir de la mano de la detección de AP no autorizados y un dispositivo no autorizado suele definirse como un dispositivo conectado a un AP no autorizado. La detección de dispositivos deshonestos puede ser propensa a falsos positivos y se requiere precaución al utilizar la automatización para evitar interrupciones. Active Threat Response es diferente; los puntos de acceso y los switches ingieren información específica y verificada sobre amenazas procedente de fuentes independientes y fiables.
Cómo funciona
Se puede enviar a cualquier cuenta de Sophos Central un feed de amenazas activado por API que contenga las direcciones MAC de hosts potencialmente comprometidos. Una vez activado, el feed de amenazas se propaga automáticamente por la red para actualizar todos los switches de Sophos y los puntos de acceso AP6.
Estos responden aislando los dispositivos comprometidos, cortándoles efectivamente la comunicación. Aunque el filtrado basado en MAC no puede evitar la suplantación de MAC, permite ganar un tiempo precioso para la reparación e impide el movimiento lateral, que suele ser el objetivo principal cuando se ataca a dispositivos no gestionados.
La fuente de la amenaza puede ser cualquiera de las soluciones de Sophos: Sophos MDR, Sophos XDR o Sophos NDR. Además, nuestra API pública abre esta función a clientes con soluciones de seguridad de terceros.
Ventajas
-
Aísla hosts cableados e inalámbricos, gestionados y no gestionados
-
Evita el movimiento lateral y te da tiempo para solucionarlo
-
Las detecciones pueden proceder de varias fuentes (Sophos o soluciones de terceros)
Active Threat Response para Sophos Switch y Sophos Wireless difiere de la funcionalidad ofrecida con Sophos Firewall. El firewall ofrece acciones de respuesta y automatización diferentes, basadas parcialmente en la funcionalidad de seguridad sincronizada en combinación con endpoints gestionados por Sophos.
El uso combinado de Active Threat Response en Sophos Switch, Sophos Wireless y Sophos Firewall garantiza la mejor protección en todas las capas de la red.
Fortalecimiento del ecosistema de Sophos
Active Threat Response añade una dimensión nueva y única al ecosistema de Sophos. Demuestra aún más las ventajas de consolidar la seguridad con un único proveedor y utilizar una única plataforma de gestión, mejorando la postura de seguridad de nuestros clientes y reforzando la posición de nuestros partners de canal para vender y dar soporte a una gama más amplia de soluciones y servicios.
Requisitos previos y activación
Para utilizar Active Threat Response, la cuenta de Sophos Central en la que se active debe tener una suscripción de soporte válida para cada punto de acceso AP6 o conmutador de Sophos. Los clientes pueden activar esta función para Sophos Wireless y Sophos Switch individualmente.
Para recibir feeds de amenazas, el cliente también debe poseer una solución/servicio de Sophos compatible o una solución de terceros capaz de proporcionar información sobre amenazas mediante la API pública.
El marco de la API
En esta versión inicial, los clientes que gestionen sus propias soluciones de Sophos necesitarán ciertos conocimientos de API. La API se utiliza para ingerir datos de amenazas y también proporciona los medios para gestionar y actualizar la lista de hosts aislados. En futuras versiones, tenemos previsto añadir más opciones de gestión y configuración en Sophos Central, para que esta función sea accesible a administradores de red de todos los niveles.
Disponibilidad
Active Threat Response ya está disponible para todos los clientes de Sophos AP6 Series y Switch que gestionen sus dispositivos en Sophos Central (y tengan una suscripción de soporte válida).
Para más información sobre Active Threat Response, consulta nuestra página web en Sophos.com/Wireless o Sophos.com/Switch.
Dejar un comentario