Panoramica di Sophos Endpoint Agent

La Protezione web intercetta le connessioni in uscita del browser e blocca il traffico destinato a siti web dannosi o sospetti. Ferma le minacce in fase di distribuzione, impedendo il reindirizzamento degli utenti su siti web che installano malware o che fungono da base per gli attacchi di phishing.

Il Controllo web si basa sulle stesse tecnologie di intercettazione del traffico, permettendoti di bloccare l’accesso a contenuti indesiderabili o inappropriati, ad esempio siti di gioco d’azzardo o pagine destinate a un pubblico di soli adulti.

La Reputazione dei download analizza i file al momento del download e sfrutta i dati globali di intelligence sulle minacce dei SophosLabs per emettere un verdetto in base alla prevalenza, alla durata e all’origine, consigliando agli utenti di bloccare i file con reputazione pessima o sconosciuta.

Il Controllo delle applicazioni consente di bloccare le applicazioni che potrebbero essere vulnerabili, che non sono adatte al tuo ambiente o che potrebbero prestarsi ad attività pericolose. Sophos offre categorie preimpostate per il blocco o il monitoraggio delle app, sollevandoti dall’onere di dover bloccare le applicazioni una per una, in base all’hash.

Il Controllo delle periferiche (Controllo dei dispositivi) permette di monitorare e bloccare l’accesso a supporti rimovibili, Bluetooth e dispositivi mobili, per impedire la connessione alla tua rete da parte di alcuni tipi di dispositivi specifici.

La Prevenzione della perdita dei dati (DLP) monitora e impone restrizioni sul trasferimento di file contenenti dati sensibili. Serve, ad esempio, a impedire che i dipendenti inviino file di natura riservata al loro indirizzo e-mail privato utilizzando client di posta elettronica basati sul web.

Il Lockdown del server fa in modo che solo le applicazioni attendibili e i rispettivi file siano in grado di eseguirsi e modificare altri file. Sophos tiene traccia dei software installati, ne verifica la sicurezza e permette di eseguire queste applicazioni solo quando il server è isolato (in lockdown).

L’Antiransomware universale (CryptoGuard) offre la più efficace protezione antiransomware disponibile nel settore. Monitora continuamente i contenuti dei file, per individuare eventuali segnali che possono indicare un tentativo di cifratura non autorizzata. Una volta identificato un processo malevolo, sia che venga eseguito a livello locale o su un dispositivo remoto compromesso, lo blocca immediatamente. L’esclusivo meccanismo proprietario di ripristino riporta i file cifrati in maniera illecita al loro stato pre-attacco, senza alcun bisogno di ricorrere al servizio Volume Shadow Copy (VSS), che viene spesso attaccato dai cybercriminali.

La maggior parte degli altri vendor non è in grado di offrire un set di strumenti di protezione altrettanto efficace contro il remote ransomware.

L’Adaptive Attack Protection abilita automaticamente un livello di protezione più aggressivo su un endpoint, non appena viene rilevato un attacco “hands-on-keyboard”. Questa funzionalità permette di bloccare le azioni più comunemente svolte dagli hacker, come i tentativi di eseguire strumenti di amministrazione remota o l’apertura di file eseguibili di pessima reputazione.

Nessun altro vendor offre una protezione adattiva di questo livello contro gli active adversary.

La Prevenzione antimalware con deep learning (con tecnologie di IA) analizza i file binari per prendere decisioni in base agli attributi dei file e a un ragionamento predittivo. Il deep learning è una forma avanzata di machine learning in grado di rilevare e bloccare il malware, incluse le minacce nuove e mai viste prima.

Live Protection estende ulteriormente la protezione completa disponibile sui dispositivi, integrando anche ricerche in tempo reale nei database globali di intelligence sulle minacce dei SophosLabs. Potrai così ottenere maggiore contesto per i file, prendere decisioni sulla loro natura, verificarli, eliminare i falsi positivi e determinare la reputazione dei file. I nostri studi di ricerca di “Livello 1” sulle cyberminacce offrono intelligence in tempo reale, grazie ai dati provenienti dalla nostra gamma estesa di prodotti di sicurezza e dalla nostra base di clienti globale.

Alcuni vendor, inclusi Carbon Black, CrowdStrike e SentinelOne, si basano solo su modelli di machine learning preaddestrati.

L’Analisi del comportamento monitora file, processi ed eventi di registro nel tempo, per rilevare e bloccare comportamenti e processi pericolosi. Inoltre, svolge scansioni della memoria e ispeziona i processi che si eseguono, rilevando il codice dannoso che diventa visibile solo al momento dell’esecuzione. In più, individua gli hacker che inseriscono codice malevolo nella memoria di un processo già in esecuzione per eludere il rilevamento.

La funzionalità Antiexploit tutela l’integrità dei processi incrementando la sicurezza della memoria delle applicazioni e implementando limiti di protezione per l’esecuzione del codice in runtime. Sophos Endpoint include più di sessanta tecniche antiexploit abilitate per impostazione predefinita, non richiede né addestramento, né ottimizzazione e si estende ben oltre la sicurezza offerta dal sistema operativo nativo di Windows e dalla maggior parte delle altre soluzioni di endpoint security.

Alcuni vendor, inclusi Carbon Black, SentinelOne e Microsoft non offrono attenuazioni degli exploit estese, oppure richiedono varie operazioni di ottimizzazione manuale.

Il Lockdown delle applicazioni previene l’utilizzo improprio del browser e delle applicazioni, poiché impedisce di svolgere le azioni che non sono normalmente associate a questi processi. Un esempio può essere un browser web o un’applicazione Office che cerca di avviare PowerShell.

L’Antimalware Scan Interface (AMSI) stabilisce se gli script (ad es. PowerShell o le macro di Office) sono sicuri, rilevando anche se sono stati offuscati o generati in fase di esecuzione. Inoltre, blocca gli attacchi senza file, caratterizzati dal caricamento del malware direttamente dalla memoria. Sophos offre anche un sistema proprietario di attenuazione del malware che cerca di eludere il rilevamento dell’AMSI.

Il Rilevamento del traffico malevolo individua i dispositivi che cercano di comunicare con un server di comando e controllo (C2), intercettando il traffico che proviene da processi diversi dal browser e analizzandone la destinazione, per scoprire se si tratta di un indirizzo che presenta rischi.

Il Monitoraggio dell’integrità dei file (FIM) identifica le modifiche ai file di sistema critici sui server Windows. Puoi anche definire percorsi ed esclusioni, per individuare le modifiche apportate a file, cartelle, chiavi di registro o valori di registro specifici.

Il Sophos Data Lake integra dati completi di telemetria, raccolti da una vasta selezione di soluzioni Sophos e di terzi (non Sophos), incluse tecnologie per endpoint, dispositivi mobili, firewall, rete, e-mail e cloud. Permette di accedere a dati critici e a rilevamenti delle minacce con priorità stabilite dall’IA su più superfici di attacco.

Live Discover permette di eseguire query sui dispositivi, per svolgere indagini sulle attività. Sfrutta la tecnologia osquery per monitorare e registrare lo stato del dispositivo e gli attributi in appositi Journal degli eventi, definendo limiti specifici per diminuire l’impatto delle query sul dispositivo. È possibile eseguire query nel Sophos Data Lake per includere più dispositivi, inclusi quelli off-line.

Live Response offre un terminal sicuro nella tua console di Sophos Central, che ti consente di connetterti ai dispositivi per indagare e correggere eventuali problemi di sicurezza. Puoi così eseguire comandi per bloccare processi sospetti, riavviare endpoint e server con aggiornamenti in sospeso, eliminare file e molto di più, grazie a un accesso protetto e controllato alla shell.

Alcuni vendor offrono solo un set molto limitato di comandi dalle loro console.

Snapshot di analisi approfondita. Quando il sistema rileva una minaccia, viene creato un file di snapshot dell’attività attuale sul disco del dispositivo. Puoi recuperare questi snapshot di analisi approfondita da remoto, per svolgere ulteriori indagini.

Isolamento dispositivi è una funzionalità che permette di isolare un endpoint dalla rete, per impedire la diffusione di una minaccia oppure durante un’indagine. L’isolamento blocca il traffico TCP e UDP, impedendo al dispositivo di stabilire connessioni di rete.

Sophos Endpoint Agent è un agente unificato che include la nostra completa suite di soluzioni di sicurezza, rilevamento e risposta, con configurazioni preimpostate. Le organizzazioni possono approfittare dell’efficacia del rilevamento e della risposta di Sophos anche con i prodotti non Sophos, grazie a un’opzione “XDR Sensor” a impatto minimo, nonché a un’ampia gamma di integrazioni con prodotti di terze parti, subito pronte per l’uso.

Alcuni vendor, inclusi CrowdStrike e Microsoft, non supportano l’uso di tecnologie endpoint di terze parti.

Sophos offre una piattaforma unificata per le SecOps, con utilissimi strumenti che ti aiutano a rilevare, analizzare e rispondere in brevissimo tempo alle minacce su tutti i principali vettori di attacco. Scopri di più sulla potente suite di soluzioni Sophos per l’Endpoint Detection and Response (EDR) e l’Extended Detection and Response (XDR).