Resumen de Sophos Endpoint Agent

La protección web intercepta las conexiones salientes del navegador y bloquea el tráfico destinado a sitios web maliciosos o sospechosos. Al evitar que los usuarios sean redirigidos a sitios web que introducen malware o phishing, detiene las amenazas en la fase de distribución.

El control web utiliza la misma tecnología de interceptación del tráfico, lo que le permite bloquear el acceso a contenido no deseado o inapropiado, como sitios web para adultos y de juegos de azar.

La reputación de descargas analiza los archivos a medida que se descargan y se sirve de la información sobre amenazas global de SophosLabs para emitir un veredicto basado en la frecuencia, la antigüedad y el origen, e instar a los usuarios a bloquear los archivos con reputación baja o desconocida.

El control de aplicaciones le permite bloquear aplicaciones que puedan ser vulnerables, inapropiadas para su entorno o que puedan utilizarse con fines malintencionados. Sophos ofrece categorías predefinidas para bloquear o monitorizar aplicaciones, lo que le ahorra tener que bloquear aplicaciones individuales por hash.

El control de periféricos (dispositivos) le permite supervisar y bloquear el acceso a medios extraíbles, Bluetooth y móviles para impedir que determinados dispositivos se conecten a la red.

La prevención de pérdidas de datos (DLP) supervisa y restringe la transferencia de archivos que contienen datos sensibles. Por ejemplo, impide que los empleados envíen archivos confidenciales a casa utilizando el correo electrónico basado en la web.

Server Lockdown permite que solo las aplicaciones de confianza y sus archivos asociados se ejecuten y modifiquen otros archivos. Sophos registra el software instalado, comprueba que es seguro y solo permite que esas aplicaciones se ejecuten mientras el servidor está bloqueado.

El antirransomware universal (CryptoGuard) brinda la protección antirransomware más sólida del sector. Supervisa de manera continuada el contenido de los archivos en busca de signos de cifrado malicioso, y bloquea el proceso infractor tanto si se ejecuta localmente como en un dispositivo remoto infectado. El mecanismo de reversión patentado de Sophos devuelve los archivos cifrados a su estado original sin depender del servicio de instantáneas de volumen (VSS), objetivo frecuente de los atacantes.

La mayoría de los proveedores no ofrecen un conjunto equivalente de capas de protección contra el ransomware remoto.

La protección adaptativa contra ataques activa automáticamente una protección más agresiva en un endpoint cuando se detecta un ataque manual directo, bloqueando las acciones que suelen realizar los adversarios, como los intentos de ejecutar herramientas de administración remota o ejecutables de baja reputación.

Ningún otro proveedor ofrece una protección adaptativa similar contra los adversarios activos.

La prevención de malware con Deep Learning (basada en IA) analiza los binarios para tomar decisiones en función de los atributos de los archivos y el razonamiento predictivo. El Deep Learning es una forma avanzada de Machine Learning que detecta y bloquea el malware, incluidas las amenazas nuevas y desconocidas.

Live Protection amplía la protección integral de Sophos en el dispositivo con consultas en tiempo real a la información sobre amenazas global más reciente de SophosLabs para obtener contexto adicional de archivos, verificación de decisiones, reputación de archivos y supresión de falsos positivos. Nuestra investigación de amenazas de nivel 1 ofrece información adicional en tiempo real procedente de la amplia cartera de productos de Sophos y de su base global de clientes.

Algunos proveedores como Carbon Black, CrowdStrike y SentinelOne se basan únicamente en modelos de Machine Learning preentrenados.

El análisis de comportamientos supervisa los eventos de archivos, proceso y registro a lo largo del tiempo para detectar y detener comportamientos y procesos maliciosos. También realiza el escaneado de memoria, inspecciona los procesos en ejecución para detectar código malicioso que solo se revela durante la ejecución del proceso, y detecta a los atacantes que implantan código malicioso en la memoria de un proceso en ejecución para eludir la detección.

La tecnología antiexploits protege la integridad de los procesos endureciendo la memoria de las aplicaciones y aplicando protecciones contra la ejecución de código en tiempo de ejecución. Las más de sesenta técnicas antiexploits de Sophos Endpoint están activadas por defecto, no requieren formación ni ajustes adicionales y van mucho más allá de las protecciones que ofrecen el sistema operativo Windows nativo o la mayoría de soluciones de seguridad para endpoints.

Algunos proveedores, como Carbon Black, SentinelOne y Microsoft, carecen de mitigaciones de exploits exhaustivas o requieren ajustes manuales importantes.

El bloqueo de aplicaciones evita el uso indebido de navegadores y aplicaciones al bloquear acciones que no suelen asociarse a esos procesos. Por ejemplo, un navegador web o una aplicación de Office que intente iniciar PowerShell.

La interfaz de análisis antimalware (AMSI) determina si los scripts (por ejemplo, PowerShell o macros de Office) son seguros, incluso si están ofuscados o se generan en tiempo de ejecución, con lo que se bloquean los ataques sin archivos en los que el malware se carga directamente desde la memoria. Sophos también dispone de una mitigación exclusiva contra el malware que intenta eludir la detección AMSI.

La detección de tráfico malicioso detecta un dispositivo que intenta comunicarse con un servidor de comando y control (C2) al interceptar el tráfico de procesos ajenos al navegador y analizar si se dirige a una dirección maliciosa.

La monitorización de integridad de archivos (FIM) identifica cambios en archivos críticos del sistema en servidores Windows. También puede definir ubicaciones y exclusiones para identificar cambios en archivos, carpetas, claves del registro o valores del registro específicos.

Sophos Data Lake integra telemetría detallada de una amplia cartera de soluciones de Sophos y de terceros (ajenas a Sophos), incluidas tecnologías de endpoints, dispositivos móviles, firewalls, redes, correo electrónico y la nube. Le permite acceder a datos críticos y a detecciones de amenazas priorizadas por IA en múltiples superficies de ataque.

Live Discover le permite consultar los dispositivos para investigar su actividad. Utiliza la tecnología osquery para supervisar y registrar el estado y los atributos de los dispositivos en diarios de eventos y emplea protecciones para limitar el impacto de las consultas en el dispositivo. Puede consultar información en Sophos Data Lake para varios dispositivos, incluidos los que están desconectados.

Live Response ofrece un terminal seguro en su consola Sophos Central, que le permite conectarse a dispositivos para investigar y solucionar posibles problemas de seguridad. Ejecuta comandos para detener procesos sospechosos, reiniciar dispositivos con actualizaciones pendientes, eliminar archivos y mucho más, con acceso total, auditado y seguro al shell.

Algunos proveedores solo proporcionan un conjunto limitado de comandos a través de sus consolas.

Instantáneas forenses. Cuando se detecta una amenaza, se crea un archivo de instantánea de la actividad actual en el disco del dispositivo. Puede recuperar remotamente estas instantáneas forenses para realizar análisis adicionales.

El aislamiento de dispositivos le permite aislar un endpoint de la red para contener una amenaza o durante una investigación. El aislamiento bloquea el tráfico TCP y UDP e impide que el dispositivo establezca conexiones de red.

El agente de gestión unificada de endpoints de Sophos incluye una suite completa de funciones predefinidas de protección, detección y respuesta. Las organizaciones también pueden disfrutar de las capacidades de detección y respuesta de Sophos con una protección para endpoints ajena a Sophos mediante la opción ligera "XDR Sensor" y una serie de integraciones preconfiguradas de soluciones de terceros.

Algunos proveedores, como CrowdStrike y Microsoft, no admiten el uso de tecnología para endpoints de terceros.

Sophos ofrece una plataforma unificada de operaciones de seguridad y herramientas que le permiten detectar, investigar y responder a las amenazas en todos los vectores de ataque claves, en el menor tiempo posible. Obtenga más información sobre la suite completa de potentes funciones de detección y respuesta para endpoints (EDR) y detección y respuesta ampliadas (XDR) de Sophos.