Hola a tod@s,
Soy Eric Ros, Head of Cyber Security en Encora, en anteriores artículos hemos hablado las distintas soluciones que ofrece Sophos para protección empresarial. Hoy veremos en detalle cómo las diferentes soluciones de Sophos pueden llegar a trabajar en conjunto, estableciendo una comunicación directa entre ellas y ofreciendo así una protección avanzada de ciberseguridad, con el objetivo de proteger al máximo posible el entorno empresarial.
La mayoría de soluciones de ciberseguridad de la actualidad, aunque pertenezcan al mismo fabricante, trabajan por separado y de forma autónoma, sin llegar a hablar entre ellas.
Con la cantidad de ataques dirigidos que existen, las soluciones deben estar alineadas y sincronizadas para llegar a ofrecer una protección avanzada de ciberseguridad.
¿Qué es la seguridad sincronizada?
El principio de la seguridad sincronizada es sencillo: compartir la información e inteligencia en tiempo real entre todas las soluciones de endpoint, servidor, firewall de red y cloud con el objetivo de lograr una protección completa.
Para lograr esta comunicación, las distintas soluciones utilizan un canal seguro llamado Sophos Security Heartbeat, mediante el cual cada solución comunicará al resto las anomalías detectadas, ofreciendo así una protección mucho más eficiente, orientada también a ataques dirigidos y complejos.
¿Cómo lograr una protección avanzada en ciberseguridad y una sincronización óptima?
Para obtener una protección completa y dotar de seguridad sincronizada al entorno, es necesario al menos disponer de:
- Sophos Firewall OS como protección perimetral.
- Sophos Endpoint Protection como protección endpoint.
Si además disponemos de alguna otra solución de Sophos Central, como puede ser Wireless, Email, Mobile o Sophos Phish Threat, incrementaremos el alcance de las acciones derivadas de cualquier amenaza.
¿Qué comunicación y acciones pueden llevar a cabo?
A continuación detallamos algunas de las acciones más destacadas que pueden llevar a cabo las soluciones de Sophos automáticamente mediante el Security Heartbeat:
Como se puede observar en la tabla anterior, las distintas soluciones de Sophos intercambian información, en tiempo real, para llegar a aislar automáticamente endpoints cuyo tráfico haya pasado antes por el firewall perimetral y presentara algún tipo de amenaza.
También, gracias a los agentes Intercept X (Endpoint/Server) instalados en los equipos, se pueden identificar todas las Apps correctamente, se pueden lanzar tareas de escaneado completo en un equipo de usuario si su buzón ha sido comprometido, etc.
En cuanto a la interacción de usuarios con el correo (Sophos Email) en caso que algún usuario esté categorizado como usuario en riesgo por haber visitado alguna URL fraudulenta, se puede generar una campaña de concienciación automática para ofrecer formación al usuario en cuestión.
¿Cómo puedo configurar la seguridad sincronizada?
Bien, llegados a este punto, en el caso que dispongamos de dos o más soluciones Sophos Central que permitan interacción entre ellas, simplemente tenemos que activar la parte correspondiente a la seguridad sincronizada.
A continuación se muestra dónde configurar el Security Heratbeat para cada solución.
Endpoint / Server Protection
En la sección “Settings -> Administration -> Registered Firewall Appliances” podremos visualizar qué Firewalls hay activados para sincronizar el security heartbeat:
Email Gateway
En la sección “Settings -> General -> Synchronized Security” podremos habilitar el checkbox para activar automáticamente el escaneado de equipos donde se encuentre SPAM o Virus en su correo saliente:
Firewall Appliances
En la administración de cualquier Firewall XG administrado en Sophos Central, podremos acceder a “Protect -> Rules and Policies” para editar cualquier política.
En la sección “Security Features” de cualquier regla, podremos desplegar “Configure Synchronized Security Heartbeat” para habilitar el nivel de Hearbeat mínimo permitido para dispositivos origen y destino:
Cualquier tráfico de dispositivo que no cumpla los requisitos mínimos permitidos, no será permitido en la regla correspondiente.
Conclusión
En base a nuestra experiencia en distintos entornos y multitud de soluciones Sophos configuradas, recomendamos optar por la implementación de seguridad sincronizada siempre que sea posible. Nos va a proporcionar una protección avanzada en ciberseguridad.
Además, la granularidad que ofrece Sophos Central permite ir añadiendo productos de forma modular según las necesidades de cada momento, aportando una adaptabilidad muy buena a cualquier tipo de entorno, ya sea pequeño o más grande.
¡Un saludo y hasta el próximo post!