Active Threat Response für Sophos Switch/Sophos Wireless (AP6)

ProdukteAP6Sophos SwitchSophos Wireless

Mit Active Threat Response führen wir spannende neue Funktionen für unsere Network-Access-Layer-Produkte Sophos Switch und Sophos Wireless (nur AP6-Serie) ein.

05.06.2024 Von

Unternehmensnetzwerke lassen sich immer schwerer kontrollieren, da eine Vielzahl von verwalteten und nicht verwalteten, kabelgebundenen und WLAN-Geräten angeschlossen sind. Es reicht nicht mehr aus, nur den Status verwalteter Geräte zu überwachen. Im Bedarfsfall müssen Sie bzw. Ihre Kunden in der Lage sein, die Verbindung zu potenziell verdächtigen, nicht verwalteten Hosts wie IoT-Geräten zu blockieren, die das Ziel von Botnets sein könnten.

Wie aus dem ersten von Sophos in Auftrag gegebenen Report zu den Perspektiven für MSPs 2024 hervorgeht, betrachten Managed Service Provider (MSPs) unsichere WLANs sowie Kompetenzlücken und fehlendes Fachpersonal im Bereich Cybersecurity derzeit als die größten Cybersecurity-Risiken. Active Threat Response und unsere zentrale Plattform minimieren diese Risiken dank effizienterem Security Management und der Erweiterung der Sicherheit von kabelgebundenen und WLAN-Netzwerken über die Grenzen von Netzwerkinfrastruktur-Produkten hinaus.

So funktioniert‘s:
Ein API-ausgelöster Bedrohungsfeed mit den MAC-Adressen potenziell gefährdeter Hosts kann an jedes Sophos-Central-Konto gesendet werden. Ausgelöste Bedrohungsfeeds werden automatisch an das gesamte Netzwerk übertragen und alle Sophos Switches und AP6 Access Points werden aktualisiert. Die Access Points isolieren dann die kompromittierten Geräte und unterbrechen die Kommunikation mit diesen. Die MAC-basierte Filterung kann MAC Spoofing zwar nicht verhindern, verschafft jedoch wertvolle Zeit für die Bereinigung. Zudem verhindert sie laterale Bewegungen, die oft das Hauptziel von Angriffen nicht verwalteter Geräte sind.

Die Quelle des Bedrohungsfeeds kann eine der folgenden Sophos-Lösungen sein: Sophos MDR, Sophos XDR oder Sophos NDR. Darüber hinaus steht diese Funktion über unsere öffentliche API auch Kunden mit Sicherheitslösungen von Drittanbietern zur Verfügung.

Leistungen

  • Isoliert kabelgebundene und WLAN-, verwaltete und nicht verwaltete Hosts
  • Verhindert laterale Bewegungen und verschafft Zeit für die Bereinigung
  • Erkennungen können von mehreren Quellen ausgehen (Sophos oder Lösungen von Drittanbietern)

Die Funktionalität von Active Threat Response für Sophos Switch und Sophos Wireless unterscheidet sich leicht von der Sophos Firewall. Die Firewall bietet verschiedene Reaktionsmaßnahmen und Automatisierungen, die teilweise auf Synchronized-Security-Funktionen in Kombination mit von Sophos verwalteten Endpoints basieren. Der kombinierte Einsatz von Active Threat Response auf Sophos Switch, Sophos Wireless und der Sophos Firewall gewährleistet den besten Schutz auf jeder Netzwerkebene.

Stärkung des Sophos-Ökosystems
Active Threat Response verleiht der Positionierung des Sophos-Ökosystems Nachdruck und Schlagkraft. Active Threat Response untermauert die Vorteile der Sicherheitskonsolidierung bei einem einzigen Anbieter über eine zentrale Management-Plattform. So optimieren Sie nicht nur die Security Posture Ihrer Kunden, sondern stärken auch Ihre Position beim Verkauf und Support einer breiteren Palette von Lösungen und Services.

Erkennung nicht autorisierter Geräte
Viele Lösungen umfassen eine Erkennung nicht autorisierter Geräte – in der Regel in Verbindung mit der Erkennung nicht autorisierter Access Points (APs). Nicht autorisierte Geräte werden dabei häufig als Geräte definiert, die mit einem nicht autorisierten AP verbunden sind. Die Erkennung nicht autorisierter Geräte führt nicht selten zu False Positives. Zudem kann es bei der Automatisierung zu Unterbrechungen kommen. Active Threat Response ist anders: Access Points und Switches erfassen gezielte, verifizierte Bedrohungsinformationen aus separaten, vertrauenswürdigen Quellen auf.

Voraussetzungen und Aktivierung
Für die Nutzung von Active Threat Response muss das Sophos-Central-Konto, in dem die Funktion aktiviert wird, über eine gültige Support Subscription für jeden Access Point der AP6-Serie und/oder Sophos Switch verfügen. Ihre Kunden können die Funktion für Sophos Wireless und Sophos Switch einzeln aktivieren.

Um Bedrohungsfeeds zu erhalten, benötigt Ihr Kunde zudem eine unterstützte Sophos-Lösung/einen unterstützten Sophos-Service oder eine Drittanbieter-Lösung, die/der Bedrohungsinformationen über die öffentliche API bereitstellen kann.

Das API-Framework
In dieser ersten Version benötigen Kunden, die ihre eigenen Sophos-Lösungen verwalten, Kenntnisse über APIs. Über die API werden Bedrohungsfeed-Daten erfasst. Außerdem lässt sich damit die Liste der isolierten Hosts verwalten und aktualisieren. Weitere Management- und Konfigurationsoptionen in Sophos Central sind für zukünftige Versionen geplant, um die Funktion auch für weniger spezialisierte Netzwerkadministratoren zugänglich zu machen.

Verfügbarkeit
Active Threat Response ist ab sofort für alle AP6-Serien- und Switch-Kunden verfügbar, die ihre Geräte in Sophos Central verwalten (und über eine gültige Support Subscription verfügen). Die Versionsinfo finden Sie auf den Community-Seiten zu Sophos Switch und Sophos Wireless.

Weitere Informationen zur Active Threat Response entnehmen Sie bitte den aktualisierten Datenblättern in der Asset Library im Partner-Portal. Auch Ihr Sophos-Ansprechpartner hilft Ihnen gerne weiter.

Informationen zum Autor

Director Product Marketing, Network Security