Resumen de Sophos Endpoint Agent

Sophos ofrece potentes funciones de reducción de la superficie de ataque, prevención de amenazas y detección y respuesta, y su agente ocupa menos espacio que muchas aplicaciones empresariales habituales. Muchas soluciones de la competencia carecen de la misma profundidad y amplitud, ya que priorizan el tamaño del agente sobre la solidez de la protección.

¿Puede permitirse prescindir de estas protecciones superiores?

Reducción de la superficie de amenazas

Detener los ataques en una fase temprana consume menos recursos que monitorizarlos y subsanarlos más adelante en la cadena de ataque. Interceptar el tráfico de red en el endpoint supone potentes ventajas de protección para los usuarios, tanto dentro como fuera de la red de la empresa. Las soluciones que carecen de esta gama completa de capacidades de reducción de la superficie de amenazas tienen menos posibilidades de bloquear los ataques antes de que penetren en sus sistemas.

Protección web

La protección web intercepta las conexiones salientes del navegador y bloquea el tráfico destinado a sitios web maliciosos o sospechosos. Al evitar que los usuarios sean redirigidos a sitios web que introducen malware o phishing, detiene las amenazas en la fase de distribución.

 

Control web

El control web utiliza la misma tecnología de interceptación del tráfico, lo que le permite bloquear el acceso a contenido no deseado o inapropiado, como sitios web para adultos y de juegos de azar.

 

Reputación de descargas

La reputación de descargas analiza los archivos a medida que se descargan y se sirve de la información sobre amenazas global de SophosLabs para emitir un veredicto basado en la frecuencia, la antigüedad y el origen, e instar a los usuarios a bloquear los archivos con reputación baja o desconocida.

 

Control de aplicaciones

El control de aplicaciones le permite bloquear aplicaciones que puedan ser vulnerables, inapropiadas para su entorno o que puedan utilizarse con fines malintencionados. Sophos ofrece categorías predefinidas para bloquear o monitorizar aplicaciones, lo que le ahorra tener que bloquear aplicaciones individuales por hash.

 

Control de periféricos (dispositivos)

El control de periféricos (dispositivos) le permite supervisar y bloquear el acceso a medios extraíbles, Bluetooth y móviles para impedir que determinados dispositivos se conecten a la red.

 

Prevención de pérdidas de datos (DLP)

La prevención de pérdidas de datos (DLP) supervisa y restringe la transferencia de archivos que contienen datos sensibles. Por ejemplo, impide que los empleados envíen archivos confidenciales a casa utilizando el correo electrónico basado en la web.

 

Server Lockdown

Server Lockdown permite que solo las aplicaciones de confianza y sus archivos asociados se ejecuten y modifiquen otros archivos. Sophos registra el software instalado, comprueba que es seguro y solo permite que esas aplicaciones se ejecuten mientras el servidor está bloqueado.

 

 

Prevención de amenazas

Detener más amenazas en una fase temprana de la cadena de ataque le permite centrarse en investigar menos incidentes. Algunas soluciones de detección y respuesta se limitan a recopilar telemetría para la investigación (a expensas de ofrecer una prevención integral) para reducir el espacio ocupado por el agente. Sophos ofrece funciones de prevención de amenazas más amplias, con una eficacia validada por los mejores resultados obtenidos sistemáticamente en pruebas independientes.

Protección hermética contra el ransomware (CryptoGuard)

Vea el vídeo

La tecnología CryptoGuard de Sophos supervisa el contenido de los archivos en busca de cifrado malicioso y bloquea el proceso infractor en tiempo real, tanto si se ejecuta en el ordenador de la víctima como en un dispositivo conectado a la red vulnerado. Este enfoque universal protege sus datos tanto de ataques locales como remotos, incluidas las nuevas variantes de ransomware. Nuestro mecanismo de reversión patentado devuelve los archivos cifrados a su estado original sin depender del servicio de instantáneas de volumen (VSS), objetivo frecuente de los atacantes.

Sophos Endpoint es la solución de protección de endpoints sin intervención más sólida contra el ransomware remoto.

 

Protección adaptativa contra ataques

Vea el vídeo

La protección adaptativa contra ataques activa automáticamente una protección más agresiva en un endpoint cuando se detecta un ataque manual directo, bloqueando las acciones que suelen realizar los adversarios, como los intentos de ejecutar herramientas de administración remota o ejecutables de baja reputación.

Ningún otro proveedor ofrece una protección adaptativa similar contra los adversarios activos.

 

Prevención de malware con Deep Learning (basada en IA)

La prevención de malware con Deep Learning (basada en IA) analiza los binarios para tomar decisiones en función de los atributos de los archivos y el razonamiento predictivo. El Deep Learning es una forma avanzada de Machine Learning que detecta y bloquea el malware, incluidas las amenazas nuevas y desconocidas.

 

Live Protection

Live Protection amplía la protección integral de Sophos en el dispositivo con consultas en tiempo real a la información sobre amenazas global más reciente de SophosLabs para obtener contexto adicional de archivos, verificación de decisiones, reputación de archivos y supresión de falsos positivos. Nuestra investigación de amenazas de nivel 1 ofrece información adicional en tiempo real procedente de la amplia cartera de productos de Sophos y de su base global de clientes.

Algunos proveedores como Carbon Black, CrowdStrike y SentinelOne se basan únicamente en modelos de Machine Learning preentrenados.

 

Análisis de comportamientos

El análisis de comportamientos supervisa los eventos de archivos, proceso y registro a lo largo del tiempo para detectar y detener comportamientos y procesos maliciosos. También realiza el escaneado de memoria, inspecciona los procesos en ejecución para detectar código malicioso que solo se revela durante la ejecución del proceso, y detecta a los atacantes que implantan código malicioso en la memoria de un proceso en ejecución para eludir la detección.

 

Antiexploits

La tecnología antiexploits protege la integridad de los procesos endureciendo la memoria de las aplicaciones y aplicando protecciones contra la ejecución de código en tiempo de ejecución. Las más de sesenta técnicas antiexploits de Sophos Endpoint están activadas por defecto, no requieren formación ni ajustes adicionales y van mucho más allá de las protecciones que ofrecen el sistema operativo Windows nativo o la mayoría de soluciones de seguridad para endpoints.

Algunos proveedores, como Carbon Black, SentinelOne y Microsoft, carecen de mitigaciones de exploits exhaustivas o requieren ajustes manuales importantes.

 

Bloqueo de aplicaciones

El bloqueo de aplicaciones evita el uso indebido de navegadores y aplicaciones al bloquear acciones que no suelen asociarse a esos procesos. Por ejemplo, un navegador web o una aplicación de Office que intente iniciar PowerShell.

 

Interfaz de análisis antimalware (AMSI)

La interfaz de análisis antimalware (AMSI) determina si los scripts (por ejemplo, PowerShell o macros de Office) son seguros, incluso si están ofuscados o se generan en tiempo de ejecución, con lo que se bloquean los ataques sin archivos en los que el malware se carga directamente desde la memoria. Sophos también dispone de una mitigación exclusiva contra el malware que intenta eludir la detección AMSI.

 

Detección de tráfico malicioso

La detección de tráfico malicioso detecta un dispositivo que intenta comunicarse con un servidor de comando y control (C2) al interceptar el tráfico de procesos ajenos al navegador y analizar si se dirige a una dirección maliciosa.

 

Monitorización de integridad de archivos (FIM)

La monitorización de integridad de archivos (FIM) identifica cambios en archivos críticos del sistema en servidores Windows. También puede definir ubicaciones y exclusiones para identificar cambios en archivos, carpetas, claves del registro o valores del registro específicos.

 

 

Detección, investigación y respuesta

Cuanto más vea, más rápido podrá responder. Sophos le ofrece la amplitud y profundidad de datos necesaria para investigar y responder a actividades sospechosas en su entorno de forma eficaz. El registro exhaustivo de la actividad de los dispositivos repercute poco en el espacio ocupado por el agente, pero mucho en la eficacia de la respuesta. Si es necesario, puede limitar el espacio de disco utilizado para ello en el dispositivo y el tiempo durante el que se recopilan los datos.

Sophos Data Lake

Sophos Data Lake integra telemetría detallada de una amplia cartera de soluciones de Sophos y de terceros (ajenas a Sophos), incluidas tecnologías de endpoints, dispositivos móviles, firewalls, redes, correo electrónico y la nube. Le permite acceder a datos críticos y a detecciones de amenazas priorizadas por IA en múltiples superficies de ataque.

 

Live Discover

Live Discover le permite consultar los dispositivos para investigar su actividad. Utiliza la tecnología osquery para supervisar y registrar el estado y los atributos de los dispositivos en diarios de eventos y emplea protecciones para limitar el impacto de las consultas en el dispositivo. Puede consultar información en Sophos Data Lake para varios dispositivos, incluidos los que están desconectados.

 

Live Response

Live Response ofrece un terminal seguro en su consola Sophos Central, que le permite conectarse a dispositivos para investigar y solucionar posibles problemas de seguridad. Ejecuta comandos para detener procesos sospechosos, reiniciar dispositivos con actualizaciones pendientes, eliminar archivos y mucho más, con acceso total, auditado y seguro al shell.

Algunos proveedores solo proporcionan un conjunto limitado de comandos a través de sus consolas.

 

Instantáneas forenses

Instantáneas forenses. Cuando se detecta una amenaza, se crea un archivo de instantánea de la actividad actual en el disco del dispositivo. Puede recuperar remotamente estas instantáneas forenses para realizar análisis adicionales.

 

Aislamiento de dispositivo

El aislamiento de dispositivos le permite aislar un endpoint de la red para contener una amenaza o durante una investigación. El aislamiento bloquea el tráfico TCP y UDP e impide que el dispositivo establezca conexiones de red.

 

Compatibilidad con terceros

El agente de gestión unificada de endpoints de Sophos incluye una suite completa de funciones predefinidas de protección, detección y respuesta. Las organizaciones también pueden disfrutar de las capacidades de detección y respuesta de Sophos con una protección para endpoints ajena a Sophos mediante la opción ligera "XDR Sensor" y una serie de integraciones preconfiguradas de soluciones de terceros.

Algunos proveedores, como CrowdStrike y Microsoft, no admiten el uso de tecnología para endpoints de terceros.

 

Sophos EDR/XDR

Sophos ofrece una plataforma unificada de operaciones de seguridad y herramientas que le permiten detectar, investigar y responder a las amenazas en todos los vectores de ataque claves, en el menor tiempo posible. Obtenga más información sobre la suite completa de potentes funciones de detección y respuesta para endpoints (EDR) y detección y respuesta ampliadas (XDR) de Sophos.

 

sophos-shield-lockup

Sophos ofrece las protecciones más sólidas a la vez que garantiza el rendimiento de la solución y optimiza el espacio ocupado por el agente.

Seleccionar una solución de seguridad para endpoints solo en función del tamaño del agente podría exponerle a ciberamenazas. ¿Por qué correr el riesgo?