Je hebt virusscanners en je hebt virusscanners. In de basis doen deze allemaal hetzelfde, namelijk je devices beveiligen tegen schadelijke software. Grote antivirus makers zoals Eset, McAfee etc. doen dit erg goed maar Sophos biedt een stuk meer dan de “traditionele” beveiliging !
O.a. Eset, waar ik veel mee gewerkt heb, heeft bijvoorbeeld de beschikking over een Remote Administrator. Hiermee kun je centraal de status bekijken van je geregistreerde Endpoints.
Van hieruit kun je ook nieuwe Endpoints uitrollen, bestaande updaten, policies wijzigen etc.
Dat werkt erg prettig tot er een Endpoint geïnfecteerd raakt. Zo lang schadelijke software gedetecteerd wordt, is het probleem nog te overzien, maar wanneer dit niet gedetecteerd wordt of te laat, heb je een heel ander probleem omdat de rest van je netwerk bloot staat aan verspreiding !
Sophos Synchronized Security
Daar waar de meeste virusscanners stoppen, gaat Sophos verder !
Sophos biedt de “Synchronized Security” mogelijkheid aan welke er voor zorgt dat infecties beperkt blijven tot slechts de Endpoint waarop deze actief is.
Met Synchronized Security heb je een Sophos XG Firewall nodig en Sophos Endpoint Protection.
Deze werken door Synchronized Security nauw samen zodat bedreigingen tijdig worden geëlimineerd en verspreiding stopt.
Hoe werkt Synchronized Security ?
Wanneer je een XG Firewall en Endpoint Protection hebt uitgerold, kan alles beheerd worden via de Sophos Cloud oplossing Sophos Central Management.
Endpoint Protection Clients sturen dan een Heartbeat signaal waaruit de status van de Endpoint opgemaakt kan worden. De XG Firewall controleert dit en zal reageren op deze statussen.
Wanneer alles in orde is, is de status groen en kan de Endpoint client normaal aan het werk.
Als er een bedreiging wordt gedetecteerd veranderd de status naar geel.
Geeft de Endpoint Client geen heartbeat meer af, dan veranderd de status naar rood.
Synchronized Security zorgt er dus voor dat alle Endpoints en firewalls etc. met elkaar praten en daarmee 1 gesynchroniseerd geheel vormen !
Via policies kun je op de XG firewall aangeven wat deze moet doen in geval van infectie.
Standaard gebeurd er bij groen niets, bij geel heeft Sophos een infectie gedetecteerd en tegengehouden waarmee het probleem opgelost is. Na opschonen zal de status ook weer groen worden.
Wanneer de status rood wordt is er dus een infectie gaande of iets zorgt ervoor dat Sophos Endpoint Protection niet meer zijn heartbeat kan zenden. Sophos heeft dan helaas de infectie niet op tijd kunnen detecteren maar heeft aan de hand van het monitoren van het gedrag van lopende processen kunnen detecteren dat er iets niet in de haak is.
De status veranderd dan naar rood en de XG Firewall pikt dit signaal op.
Vervolgens zal de XG Firewall de betreffende Endpoint op het netwerk isoleren zodat het zich niet kan verspreiden.
Dat isoleren gaat op 2 manieren:
- De Endpoint zelf wordt van het netwerk afgezonderd (hiervoor moet de Endpoint natuurlijk wel bereikbaar zijn wat soms niet het geval is, daarvoor is de tweede manier geïmplementeerd)
- Andere Endpoints wordt verteld om AL het verkeer afkomstig van het MAC adres van de geïnfecteerde Endpoint te negeren. Hierdoor wordt automatisch verspreiding van virussen etc. gestopt.
Door isolering blijft de schade beperkt tot 1 geïnfecteerde Endpoint.
Via alarmering krijgt de beheerder een bericht dat er een infectie plaats heeft gevonden zodat de beheerder het betreffende Endpoint kan onderzoeken en opschonen.
Dankzij Sophos InterceptX Thread Analysis kan de beheerder exact zien waar de infectie gestart is, welke bestanden het betreft, welke processen lopen en waar de infectie huisgehouden heeft. Op deze manier kan de beheerder heel snel en gericht gepaste actie ondernemen en de boel opschonen.
Als dit klaar is zal de status weer naar groen gaan en wordt de isolering opgeheven zodat de Endpoint weer normaal verder kan.
Het geheel XG Firewall + Endpoint Protection + InterceptX Advanced with EDP zorgt er voor dat je endpoints, servers, netwerk optimaal beveiligd zijn.
Synchronized Security kan ook heel erg bijdragen bij het identificeren van alle apps op het netwerk !
Gemiddeld gezien wordt 45% van al het verkeer dat door een firewall gaat niet geïdentificeerd. Van die 45% netwerk verkeer weet je dus niet welke applicatie dit veroorzaakt en wordt door de meeste firewalls bijvoorbeeld onder de noemer “Generic HTTPS” geplaatst. Als je uit moet zoeken welke applicatie twijfelachtige data heeft verstuurd, heb je hier natuurlijk niet veel aan.
Sophos Endpoint Protection praat met de Sophos XG Firewall welke applicatie welk verkeer genereerd.
Hierdoor kan Sophos XG Firewall 100% van het netwerkverkeer identificeren zodat je als beheerder exact weet wie, wat, waar en wanneer !
Links: wat de gemiddelde firewall aan apps ziet, rechts wat de Sophos XG Firewall ziet
Over EDP (Endpoint Detection and Response zegt Sophos het volgende :
Verschillend van andere EDR oplossingen welke bouwen op professionele analysten om vragen aan te stellen en het interpreteren van data, wordt Intercept X Advanced with EDR gestuurd door machine learning en uitgebreid met de threat intelligence van SophosLabs. Op het moment dat een onderzoek is afgerond, hoeven de analysten enkel en alleen nog maar op een knop te drukken.
Sophos InterceptX met EDR vangt een bedreiging op waarna die op het dashboard wordt getoond.
Daarna wordt deze bedreiging geanalyseerd en gecheckt op alle mogelijke dreigingen.
De analyse gebeurd op basis van AI. Machine Learning seint de meest verdachte zaken die nader onderzocht dienen te worden. Wanneer de dreiging dan gevonden is, kan deze dan ook opgeruimd worden.
Zo eenvoudig kan het zijn !
Meer informatie ? Check de Sophos website om meer over de producten ervan te weten te komen !