企業ネットワークには、管理されているデバイス、管理されていないデバイス、有線や無線のデバイスなどが接続しており、管理が難しくなっています。管理対象デバイスの状態のみを監視するだけでは脅威を十分に防ぐことはできません。ボットネットの標的になることもある IoT デバイスなど、必要性が生じた場合には、管理されていないホストの接続をブロックしなければならないケースもあります。
ソフォスの委託により実施された第 1 回目の 「MSP ビジネスの展望 2024 年版」 レポートによると、マネージドサービスプロバイダー (MSP) は、安全でないワイヤレスネットワークとサイバーセキュリティのスキルや専門知識の不足を、現在直面している最大のサイバーセキュリティリスクだと考えています。Active Threat Response とソフォスのシングルプラットフォームのアプローチは、セキュリティ管理をより効率化し、ネットワークインフラストラクチャ製品が管理できる領域以外にも、有線および無線ネットワークのセキュリティを拡張することで、これらの両方の懸念を解消します。
仕組み
侵害された可能性のあるホストの MAC アドレスなど、API によってトリガーされる脅威フィードが Sophos Central アカウントに送信されます。一度トリガーされると、脅威フィードは自動的にネットワーク全体に配信され、すべての Sophos Switch と AP6 アクセスポイントが更新されます。Sophos Switch と AP6 アクセスポイントは、侵害されたデバイスを隔離し、通信を遮断してこれらの脅威の拡散を防止します。MAC ベースのフィルタリングでは MAC スプーフィングを防ぐことはできませんが、修復のための貴重な時間を稼ぎ、管理されていないデバイスが標的となる場合の主な目的であるラテラルムーブメントを防止します。
Sophos MDR、Sophos XDR、Sophos NDR などのソフォスのソリューションから脅威フィードが送信されます。さらに、ソフォスはこの API 公開しており、サードパーティのセキュリティソリューションを利用している顧客もこの機能を利用できるようにしています。
メリット
- 有線/無線、管理対象ホスト、非管理対象ホストの隔離
- ラテラルムーブメントを防止し、修復のための時間を確保
- 複数のソース (ソフォスまたはサードパーティのソリューション) で検出された脅威情報を利用
Sophos Switch と Sophos Wireless の Active Threat Response は、 Sophos Firewall で提供される機能とは異なっています。ファイアウォールは、ソフォスが管理するエンドポイントとの Synchronized Security 機能に基づいて、さまざまな対応アクションを自動化します。Sophos Switch、Sophos Wireless、および Sophos Firewall を Active Threat Response と組み合わせて使用することで、すべてのネットワークレイヤーで最高の保護を実現できます。
ソフォスのセキュリティエコシステムの強化
Active Threat Response によって、ソフォスのセキュリティエコシステムに新たな独自の機能が追加され強化されます。これは、1 社のベンダーにセキュリティを統合し、単一の管理プラットフォームを使用する利点を明確に証明するものであり、顧客のセキュリティ体制を改善し、さらに広範なソリューションとサービスを販売して支援していくことが可能になります。
不正なデバイスの検出
不正なデバイスを検出するという概念は、ワイヤレス環境では広く知られていますが、多くのソリューションでは、不正なデバイスは不正な AP に接続されたデバイスと定義されており、不正な AP の検出と密接に関わっています。不正なデバイスを検出するときには誤検出が発生する可能性があり、混乱を避けるために自動化するときには注意が必要です。Active Threat Response では異なるアプローチを採用しており、アクセスポイントやスイッチは、対象となる検証済みの脅威情報を、信頼できるさまざまなソースから取り込んで対応します。
前提条件と有効化
Active Threat Response を使用するには、Active Threat Response を有効にする Sophos Central アカウントで、各 AP6 アクセスポイントまたは Sophos Switch の有効なサポートサブスクリプションを契約している必要があります。顧客は、Sophos Wireless と Sophos Switch で個別にこの機能を有効にできます。
脅威フィードを受け取るには、脅威フィードを提供するソフォスのソリューションやサービス、またはパブリック API を使用して脅威情報を提供できるサードパーティのソリューションを所有している必要があります。
API フレームワーク
Active Threat Response の最初のリリースでは、ソフォスソリューションを自社で管理している顧客は、API に関する一定レベルの知識が必要となります。API は脅威フィードのデータを取り込むために使用され、隔離対象のホストリストを管理および更新するためにも使用されます。今後のリリースでは、Sophos Central に管理と設定オプションをさらに追加し、あらゆるスキルレベルのネットワーク管理者がこの機能を利用できるようにする予定です。
提供開始の時期
Active Threat Response は、Sophos Central でデバイスを管理しており、Sophos AP6 シリーズおよび Sophos Switch を利用されているすべての顧客 (有効なサポートサブスクリプションを契約している必要があります) が利用できます。リリースノートは、Sophos Switch および Sophos Wireless のコミュニティサイトから入手できます。
Active Threat Response の詳細については、 パートナーポータルのアセットライブラリで最新のデータシートを参照してください。また、パートナーの地域のソフォスの担当者またはディストリビューターにお問い合わせください。