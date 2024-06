Con Active Threat Response, stiamo introducendo nuove funzionalità nei nostri prodotti per il network access layer, Sophos Switch e Sophos Wireless (solo serie AP6).

Le reti aziendali sono diventate più difficili da controllare, dal momento che vi si connette un’ampia gamma di dispositivi gestiti e non gestiti, cablati e wireless. Non è più sufficiente monitorare solo lo stato dei dispositivi gestiti; quando se ne presenta la necessità, è necessario essere in grado di bloccare la connettività di host non gestiti potenzialmente sospetti, come i dispositivi IoT, che potrebbero essere l’obiettivo di botnet.

Secondo il primo rapporto Il punto di vista dei Partner MSP 2024 condotto per conto di Sophos, i Managed Service Provider (MSP) considerano le reti wireless insicure e la carenza di competenze/esperienze in materia di cybersecurity come i maggiori rischi percepiti oggi.

Active Threat Response e il nostro approccio su un’unica piattaforma contribuiscono a risolvere entrambi i problemi, rendendo più efficiente la gestione della protezione ed estendendo la sicurezza delle reti cablate e wireless al di là di ciò che i prodotti per l’infrastruttura di rete possono vedere.

Rilevamento di un dispositivo rogue

Il concetto di rilevamento dei dispositivi rogue è ben noto nel mondo wireless, tuttavia, nella maggior parte delle soluzioni, tende ad andare di pari passo con il rilevamento degli AP rogue, intendendo per dispositivo rogue un device connesso a un AP rogue. Il rilevamento dei dispositivi rogue può essere soggetto a falsi positivi e l’uso dell’automazione richiede cautela per evitare interruzioni. La risposta attiva alle minacce è diversa: gli access point e gli switch ricevono informazioni mirate e verificate sulle minacce da fonti separate e fidate.

Come funziona

È possibile inviare a qualsiasi account di Sophos Central un feed di minacce attivato da API contenente gli indirizzi MAC degli host potenzialmente compromessi. Una volta attivato, il feed delle minacce viene automaticamente diffuso attraverso la rete per aggiornare tutti gli switch Sophos e gli access point AP6.

Questi rispondono isolando i dispositivi compromessi, interrompendo di fatto le comunicazioni. Sebbene il filtraggio basato sul MAC non sia in grado di impedire lo spoofing, fa guadagnare tempo prezioso per la bonifica e impedisce il movimento laterale, che è spesso l’obiettivo principale quando vengono presi di mira device non gestiti.

La fonte del feed delle minacce può essere una qualsiasi delle soluzioni Sophos: Sophos MDR, Sophos XDR o Sophos NDR. Inoltre, la nostra API pubblica apre questa funzione ai clienti con soluzioni di sicurezza di terze parti.

Vantaggi

Isola gli host cablati e wireless, gestiti e non gestiti

Impedisce i movimenti laterali e guadagna tempo per la bonifica

I rilevamenti possono provenire da più fonti (Sophos o soluzioni di terze parti)

Active Threat Response per Sophos Switch e Sophos Wireless differisce dalla funzionalità offerta da Sophos Firewall. Quest’ultimo fornisce azioni di risposta e automazione diverse, in parte basate su funzionalità di sicurezza sincronizzate in combinazione con gli endpoint gestiti da Sophos.

L’uso combinato di Active Threat Response su Sophos Switch, Sophos Wireless e Sophos Firewall garantisce la migliore protezione a ogni livello di rete.

Rafforzare la strategia dell’ecosistema Sophos

Active Threat Response aggiunge una nuova dimensione unica alla strategia dell’ecosistema Sophos. Dimostra ulteriori vantaggi derivanti dal consolidamento della sicurezza con un unico fornitore e dall’utilizzo di un’unica piattaforma di gestione, migliorando la sicurezza dei nostri clienti e rafforzando la posizione dei nostri partner di canale nella vendita e nel supporto di una più ampia gamma di soluzioni e servizi.

Prerequisiti e attivazione

Per utilizzare Active Threat Response, l’account Sophos Central in cui viene attivato deve disporre di una sottoscrizione di supporto valida per ogni access point AP6 e/o switch Sophos. I clienti possono attivare questa funzione per Sophos Wireless e Sophos Switch individualmente.

Per ricevere i feed delle minacce, il cliente deve anche possedere una soluzione/servizio Sophos supportato o una soluzione di terze parti in grado di fornire informazioni sulle stesse utilizzando l’API pubblica.

Il framework API

In questa versione iniziale, ai clienti che gestiscono le proprie soluzioni Sophos è richiesta una certa conoscenza delle API. L’API viene utilizzata per integrare i dati del feed delle minacce e fornisce anche i mezzi per gestire e aggiornare l’elenco degli host isolati. Nelle prossime release, prevediamo di aggiungere ulteriori opzioni di gestione e configurazione in Sophos Central, rendendo questa funzionalità accessibile agli amministratori di rete di qualsiasi livello di competenza.

Disponibilità

Active Threat Response è disponibile da subito per tutti i clienti di Sophos AP6 Series e Switch che gestiscono i propri dispositivi in Sophos Central (e che dispongono di una sottoscrizione di supporto valida).

Per ulteriori informazioni su Active Threat Response, consultate il nostro sito web all’indirizzo Sophos.com/Wireless o Sophos.com/Switch.