Les réseaux d’entreprise sont devenus plus difficiles à contrôler, avec la connexion d’un large éventail d’appareils gérés et non gérés, câblés et sans fil. Il ne suffit plus de surveiller uniquement l’état de sécurité des appareils gérés ; lorsque le besoin s’en fait sentir, vous devez être en mesure de bloquer la connectivité des hôtes non gérés potentiellement suspects, tels que les appareils IoT, qui pourraient être la cible de botnets.
Selon le rapport MSP Perspectives 2024 réalisé pour le compte de Sophos, les MSP (Managed Service Providers) considèrent les réseaux sans fil (wireless) non sécurisés et la pénurie de compétences/expertise en matière de cybersécurité comme les plus grands risques de sécurité auxquels ils sont confrontés aujourd’hui. La réponse active aux menaces ainsi que notre approche à plateforme unique contribuent à répondre à ces deux préoccupations : une gestion plus efficace de la sécurité et l’extension de la sécurité des réseaux câblés et sans fil au-delà de ce que les produits d’infrastructure réseau sont capables de voir.
Comment ces nouvelles capacités fonctionnent-elles ?
Un flux de menaces déclenché par API contenant les adresses MAC des hôtes potentiellement compromis peut être envoyé à n’importe quel compte Sophos Central. Une fois déclenché, le flux de menaces se propage automatiquement sur le réseau pour mettre à jour tous les Sophos Switch et points d’accès AP6. Ils répondent en isolant les appareils compromis, coupant ainsi efficacement la communication au niveau de ces derniers. Bien que le filtrage basé sur le MAC ne puisse pas empêcher une potentielle usurpation au niveau de ce dernier, il permet de gagner un temps précieux en matière de remédiation et empêche les mouvements latéraux, qui constituent souvent l’objectif principal lorsque des appareils non gérés sont ciblés.
La source du flux de menaces peut provenir de l’une des nombreuses solutions Sophos : Sophos MDR, Sophos XDR ou Sophos NDR. De plus, notre API publique offre cette fonctionnalité aux clients disposant de solutions de sécurité tierces.
Avantages
- Isolement des hôtes câblés et sans-fil/wireless, gérés et non gérés
- Blocage des mouvements latéraux, en vous permettant ainsi de gagner du temps pour la remédiation
- Des détections qui peuvent provenir de multiples sources différentes (Sophos ou solutions tierces)
La réponse active aux menaces (Active Threat Response) pour Sophos Switch et Sophos Wireless diffère de la fonctionnalité offerte avec Sophos Firewall. Le pare-feu propose différentes actions de réponse et options d’automatisation, basées en partie sur des fonctionnalités de sécurité synchronisées en combinaison avec les systèmes endpoint gérés par Sophos. L’utilisation combinée de la réponse active aux menaces sur Sophos Switch, Sophos Wireless et Sophos Firewall garantit une protection optimale au niveau de chaque couche du réseau.
Une évolution de l’écosystème Sophos renforcée
La réponse active aux menaces (Active Threat Response) ajoute une dimension nouvelle et unique à l’évolution de l’écosystème Sophos. Cette approche montre clairement les avantages de la consolidation de la sécurité avec un seul éditeur et de l’utilisation d’une plateforme de gestion unique. Elle permet également d’améliorer la posture de sécurité de nos clients et de renforcer la position de nos partenaires channel en leur permettant de vendre et de prendre en charge une gamme plus large de solutions et de services.
Détection des appareils malveillants
Le concept de détection des périphériques malveillants est bien connu dans l’univers wireless (sans fil). Toutefois, dans la plupart des solutions, il tend à aller de pair avec la détection des points d’accès (AP) malveillants, un périphérique malveillant étant souvent défini comme un périphérique connecté à un point d’accès (AP) suspect. La détection des appareils malveillants peut être sujette à des faux positifs et la prudence est donc de mise lors de l’utilisation de l’automatisation pour éviter toute interruption. La réponse active aux menaces (Active Threat Response) fonctionne différemment : les points d’accès et les Switch ingèrent des informations sur les menaces ciblées et vérifiées, provenant de sources distinctes et fiables.
Prérequis et activation
Pour utiliser la réponse active aux menaces (Active Threat Response), le compte Sophos Central sur lequel il est activé doit disposer d’un abonnement support valide pour chaque point d’accès AP6 et/ou Sophos Switch. Les clients peuvent activer cette fonctionnalité individuellement pour Sophos Wireless et Sophos Switch.
Pour recevoir des flux de menaces, le client doit également posséder une solution/un service Sophos pris en charge ou une solution tierce capable de fournir des informations sur les menaces à l’aide de l’API publique.
Le framework API
Dans cette version initiale, une certaine connaissance en matière d’API est nécessaire pour les clients qui gèrent leurs propres solutions Sophos. L’API est utilisée pour ingérer les données du flux de menaces et fournit également les moyens de gérer et de mettre à jour la liste d’hôtes isolés. Dans les prochaines versions, nous prévoyons d’ajouter d’autres options de gestion et de configuration dans Sophos Central, rendant ainsi cette fonctionnalité accessible aux administrateurs réseau, quel que soit leur niveau de compétence.
Disponibilité
La réponse active aux menaces est désormais disponible pour tous les clients de la série Sophos AP6 et de Sophos Switch qui gèrent leurs appareils dans Sophos Central (et disposent d’un abonnement support valide). Les notes de publication sont disponibles sur les forums de la communauté Sophos Switch et Sophos Wireless.
Pour plus d’informations sur la réponse active aux menaces (Active Threat Response), veuillez consulter les fiches techniques actualisées sur la Bibliothèque de ressources du Portail Partenaires ou contacter votre représentant ou distributeur Sophos local.ative or distributor.