Panoramica di Sophos Endpoint Agent

Sophos offre potenti funzionalità di riduzione della superficie di attacco, prevenzione, rilevamento e risposta alle minacce, tutto con un agent agile, dall’impatto inferiore sui sistemi rispetto a quello di gran parte delle applicazioni aziendali più utilizzate. Molte soluzioni di altri vendor non riescono neppure ad avvicinarsi alla stessa profondità e ampiezza di analisi, in quanto si concentrano sul limitare le dimensioni dell’agent, a scapito della protezione.

Puoi davvero permetterti di rinunciare a queste funzionalità di sicurezza superiori?

Riduzione della superficie di attacco

Il blocco tempestivo delle minacce richiede meno risorse rispetto al monitoraggio e agli interventi correttivi nelle fasi più avanzate della catena di attacco. L’intercettazione del traffico di rete a livello Endpoint offre grandissimi vantaggi in termine di protezione degli utenti sia all’interno che all’esterno del perimetro di rete aziendale. Le soluzioni prive di questo spettro completo di opzioni di riduzione della superficie esposta alle minacce presentano meno probabilità di bloccare gli attacchi prima che i cybercriminali riescano a infiltrarsi nei sistemi.

Protezione Web

La Protezione web intercetta le connessioni in uscita del browser e blocca il traffico destinato a siti web dannosi o sospetti. Ferma le minacce in fase di distribuzione, impedendo il reindirizzamento degli utenti su siti web che installano malware o che fungono da base per gli attacchi di phishing.

 

Controllo web

Il Controllo web si basa sulle stesse tecnologie di intercettazione del traffico, permettendoti di bloccare l’accesso a contenuti indesiderabili o inappropriati, ad esempio siti di gioco d’azzardo o pagine destinate a un pubblico di soli adulti.

 

Reputazione dei download

La Reputazione dei download analizza i file al momento del download e sfrutta i dati globali di intelligence sulle minacce dei SophosLabs per emettere un verdetto in base alla prevalenza, alla durata e all’origine, consigliando agli utenti di bloccare i file con reputazione pessima o sconosciuta.

 

Controllo delle applicazioni

Il Controllo delle applicazioni consente di bloccare le applicazioni che potrebbero essere vulnerabili, che non sono adatte al tuo ambiente o che potrebbero prestarsi ad attività pericolose. Sophos offre categorie preimpostate per il blocco o il monitoraggio delle app, sollevandoti dall’onere di dover bloccare le applicazioni una per una, in base all’hash.

 

Controllo delle periferiche (Controllo dei dispositivi)

Il Controllo delle periferiche (Controllo dei dispositivi) permette di monitorare e bloccare l’accesso a supporti rimovibili, Bluetooth e dispositivi mobili, per impedire la connessione alla tua rete da parte di alcuni tipi di dispositivi specifici.

 

Prevenzione della perdita dei dati (Data Loss Prevention, DLP)

La Prevenzione della perdita dei dati (DLP) monitora e impone restrizioni sul trasferimento di file contenenti dati sensibili. Serve, ad esempio, a impedire che i dipendenti inviino file di natura riservata al loro indirizzo e-mail privato utilizzando client di posta elettronica basati sul web.

 

Lockdown del server

Il Lockdown del server fa in modo che solo le applicazioni attendibili e i rispettivi file siano in grado di eseguirsi e modificare altri file. Sophos tiene traccia dei software installati, ne verifica la sicurezza e permette di eseguire queste applicazioni solo quando il server è isolato (in lockdown).

 

 

Prevenzione delle minacce

Bloccando una maggiore quantità di minacce nelle fasi iniziali della catena di attacco, è possibile diminuire il numero di incidenti sui quali occorre svolgere indagini. Per ridurre l’impatto dell’agent sulle risorse, alcune soluzioni di rilevamento e risposta si limitano a raccogliere dati di telemetria per le indagini, invece di fornire una prevenzione completa. Sophos offre una selezione più ampia di opzioni di prevenzione delle minacce, con un’efficacia confermata dagli altissimi punteggi ottenuti ripetutamente in test indipendenti.

Antiransomware universale (CryptoGuard)

Guarda il video

L’Antiransomware universale (CryptoGuard) offre la più efficace protezione antiransomware disponibile nel settore. Monitora continuamente i contenuti dei file, per individuare eventuali segnali che possono indicare un tentativo di cifratura non autorizzata. Una volta identificato un processo malevolo, sia che venga eseguito a livello locale o su un dispositivo remoto compromesso, lo blocca immediatamente. L’esclusivo meccanismo proprietario di ripristino riporta i file cifrati in maniera illecita al loro stato pre-attacco, senza alcun bisogno di ricorrere al servizio Volume Shadow Copy (VSS), che viene spesso attaccato dai cybercriminali.

La maggior parte degli altri vendor non è in grado di offrire un set di strumenti di protezione altrettanto efficace contro il remote ransomware.

 

Adaptive Attack Protection

Guarda il video

L’Adaptive Attack Protection abilita automaticamente un livello di protezione più aggressivo su un endpoint, non appena viene rilevato un attacco “hands-on-keyboard”. Questa funzionalità permette di bloccare le azioni più comunemente svolte dagli hacker, come i tentativi di eseguire strumenti di amministrazione remota o l’apertura di file eseguibili di pessima reputazione.

Nessun altro vendor offre una protezione adattiva di questo livello contro gli active adversary.

 

Prevenzione antimalware con deep learning (con tecnologie di IA)

La Prevenzione antimalware con deep learning (con tecnologie di IA) analizza i file binari per prendere decisioni in base agli attributi dei file e a un ragionamento predittivo. Il deep learning è una forma avanzata di machine learning in grado di rilevare e bloccare il malware, incluse le minacce nuove e mai viste prima.

 

Live Protection

Live Protection estende ulteriormente la protezione completa disponibile sui dispositivi, integrando anche ricerche in tempo reale nei database globali di intelligence sulle minacce dei SophosLabs. Potrai così ottenere maggiore contesto per i file, prendere decisioni sulla loro natura, verificarli, eliminare i falsi positivi e determinare la reputazione dei file. I nostri studi di ricerca di “Livello 1” sulle cyberminacce offrono intelligence in tempo reale, grazie ai dati provenienti dalla nostra gamma estesa di prodotti di sicurezza e dalla nostra base di clienti globale.

Alcuni vendor, inclusi Carbon Black, CrowdStrike e SentinelOne, si basano solo su modelli di machine learning preaddestrati.

 

Analisi del comportamento

L’Analisi del comportamento monitora file, processi ed eventi di registro nel tempo, per rilevare e bloccare comportamenti e processi pericolosi. Inoltre, svolge scansioni della memoria e ispeziona i processi che si eseguono, rilevando il codice dannoso che diventa visibile solo al momento dell’esecuzione. In più, individua gli hacker che inseriscono codice malevolo nella memoria di un processo già in esecuzione per eludere il rilevamento.

 

Antiexploit

La funzionalità Antiexploit tutela l’integrità dei processi incrementando la sicurezza della memoria delle applicazioni e implementando limiti di protezione per l’esecuzione del codice in runtime. Sophos Endpoint include più di sessanta tecniche antiexploit abilitate per impostazione predefinita, non richiede né addestramento, né ottimizzazione e si estende ben oltre la sicurezza offerta dal sistema operativo nativo di Windows e dalla maggior parte delle altre soluzioni di endpoint security.

Alcuni vendor, inclusi Carbon Black, SentinelOne e Microsoft non offrono attenuazioni degli exploit estese, oppure richiedono varie operazioni di ottimizzazione manuale.

 

Lockdown delle applicazioni

Il Lockdown delle applicazioni previene l’utilizzo improprio del browser e delle applicazioni, poiché impedisce di svolgere le azioni che non sono normalmente associate a questi processi. Un esempio può essere un browser web o un’applicazione Office che cerca di avviare PowerShell.

 

Antimalware Scan Interface (AMSI)

L’Antimalware Scan Interface (AMSI) stabilisce se gli script (ad es. PowerShell o le macro di Office) sono sicuri, rilevando anche se sono stati offuscati o generati in fase di esecuzione. Inoltre, blocca gli attacchi senza file, caratterizzati dal caricamento del malware direttamente dalla memoria. Sophos offre anche un sistema proprietario di attenuazione del malware che cerca di eludere il rilevamento dell’AMSI.

 

Rilevamento del traffico malevolo

Il Rilevamento del traffico malevolo individua i dispositivi che cercano di comunicare con un server di comando e controllo (C2), intercettando il traffico che proviene da processi diversi dal browser e analizzandone la destinazione, per scoprire se si tratta di un indirizzo che presenta rischi.

 

Monitoraggio dell’integrità dei file (File Integrity Monitoring)

Il Monitoraggio dell’integrità dei file (FIM) identifica le modifiche ai file di sistema critici sui server Windows. Puoi anche definire percorsi ed esclusioni, per individuare le modifiche apportate a file, cartelle, chiavi di registro o valori di registro specifici.

 

 

Rilevamento, indagini e risposta

Più visibilità hai, più velocemente puoi agire. Sophos ti offre un database esteso e approfondito di informazioni, dalle quali puoi attingere per svolgere indagini e rispondere in maniera efficace alle attività sospette rilevate nel tuo ambiente. Le funzionalità complete di registrazione delle attività dei dispositivi nei log comportano un impatto minimo sulle risorse necessarie per l’agente, ma incrementano considerevolmente l’efficacia della risposta. All’occorrenza, puoi limitare lo spazio disponibile sul disco del dispositivo da dedicare a questa funzionalità, nonché gli orari nei quali devono essere raccolti i dati.

Sophos Data Lake

Il Sophos Data Lake integra dati completi di telemetria, raccolti da una vasta selezione di soluzioni Sophos e di terzi (non Sophos), incluse tecnologie per endpoint, dispositivi mobili, firewall, rete, e-mail e cloud. Permette di accedere a dati critici e a rilevamenti delle minacce con priorità stabilite dall’IA su più superfici di attacco.

 

Live Discover

Live Discover permette di eseguire query sui dispositivi, per svolgere indagini sulle attività. Sfrutta la tecnologia osquery per monitorare e registrare lo stato del dispositivo e gli attributi in appositi Journal degli eventi, definendo limiti specifici per diminuire l’impatto delle query sul dispositivo. È possibile eseguire query nel Sophos Data Lake per includere più dispositivi, inclusi quelli off-line.

 

Live Response

Live Response offre un terminal sicuro nella tua console di Sophos Central, che ti consente di connetterti ai dispositivi per indagare e correggere eventuali problemi di sicurezza. Puoi così eseguire comandi per bloccare processi sospetti, riavviare endpoint e server con aggiornamenti in sospeso, eliminare file e molto di più, grazie a un accesso protetto e controllato alla shell.

Alcuni vendor offrono solo un set molto limitato di comandi dalle loro console.

 

Snapshot di analisi approfondita

Snapshot di analisi approfondita. Quando il sistema rileva una minaccia, viene creato un file di snapshot dell’attività attuale sul disco del dispositivo. Puoi recuperare questi snapshot di analisi approfondita da remoto, per svolgere ulteriori indagini.

 

Isolamento dispositivi

Isolamento dispositivi è una funzionalità che permette di isolare un endpoint dalla rete, per impedire la diffusione di una minaccia oppure durante un’indagine. L’isolamento blocca il traffico TCP e UDP, impedendo al dispositivo di stabilire connessioni di rete.

 

Compatibilità con soluzioni di terze parti

Sophos Endpoint Agent è un agente unificato che include la nostra completa suite di soluzioni di sicurezza, rilevamento e risposta, con configurazioni preimpostate. Le organizzazioni possono approfittare dell’efficacia del rilevamento e della risposta di Sophos anche con i prodotti non Sophos, grazie a un’opzione “XDR Sensor” a impatto minimo, nonché a un’ampia gamma di integrazioni con prodotti di terze parti, subito pronte per l’uso.

Alcuni vendor, inclusi CrowdStrike e Microsoft, non supportano l’uso di tecnologie endpoint di terze parti.

 

Sophos EDR/XDR

Sophos offre una piattaforma unificata per le SecOps, con utilissimi strumenti che ti aiutano a rilevare, analizzare e rispondere in brevissimo tempo alle minacce su tutti i principali vettori di attacco. Scopri di più sulla potente suite di soluzioni Sophos per l’Endpoint Detection and Response (EDR) e l’Extended Detection and Response (XDR).

 

sophos-shield-lockup

Sophos offre la protezione più efficace, garantendo allo stesso tempo massimi livelli di performance e ottimizzando l’impatto dell’agente sulle risorse.

Scegliere una soluzione di endpoint security tenendo in considerazione solo le dimensioni dell’agente può esporre i tuoi sistemi alle cyberminacce. Perché correre questo rischio?