Protección de Movimientos Laterales

Cuando la seguridad sincronizada se introdujo por primera vez con Sophos XG, la configuración de Security Heartbeat en las reglas del firewall permitió que los endpoints en ROJO o AMARILLO fueran denegados o bloqueados. Esto asegura de manera efectiva que los sistemas comprometidos se puedan aislar de otras partes de la red, como otras zonas, segmentos o incluso Internet, según la configuración de la regla del firewall. De esta manera, Security Heartbeat ayuda a aislar los endpoints infectados para evitar que una amenaza se propague a otras partes de la red o se comunique a través de Internet. 

En la nueva v17.5, esta función se ha mejorado aún más con la capacidad de aislar endpoints infectados incluso de otros endpoints en el mismo dominio o segmento de red. Esto se logra de manera elegante, ya que el firewall informa automáticamente a todos los endpoints “limpios” para que ignoren el tráfico proveniente de cualquier endpoint infectado, aislándolo de manera efectiva en la red hasta que pueda limpiarse. Una vez se haya limpiado, su estado de Heartbeat de seguridad volverá a VERDE y la conectividad con otros sistemas en la red se restaurará automáticamente.

El Firewall XG se utiliza como el centro de distribución de toda la información necesaria para que el endpoint realice este aislamiento de otros equipos infectados.

La configuración de esta función está disponible en Sophos Central en Configuración global> Protección Endpoint > Rechazar conexiones de red. Esto lo llevará a la página de configuración para excluir endpoints específicos de la función de Protección de Movimiento Lateral para que no estén aislados.

Además, la detección de IPS desde los endpoints infectados, ahora puede desencadenar una condición de Heartbeat ROJO y protección de movimiento lateral, lo que mejora aún más la protección contra amenazas en la red.

Fuente: Sophos.com

Para manteneros al día sobre temas de Seguridad IT, noticias relacionadas destacadas y otras cosas, me podéis seguir en twitter.