Managed Threat Detection – 24/7 Überwachung und Erkennung
In diesem Blogpost möchte ich euch Managed Threat Detection (MTD) für Endpoints und Server vorstellen, welches seit Ende Juli 2021 erworben werden kann. Sophos zielt mit MTD primär auf Kunden ab, die (noch) nicht bereit sind, ihre bisherige Endpoint- und Server-Lösung von einem Dritthersteller durch den Sophos-Agenten zu ersetzen. Für alle anderen Kunden, die auf ihren Computern und Servern bereits einen Sophos-Agenten installiert haben und mindestens Intercept X Essentials im Einsatz haben, ist Managed Threat Detection nicht relevant.
Die Erfolgsgeschichte von Managed Threat Response (MTR)
Gerade kürzlich vermeldete Sophos, dass Managed Threat Response (MTR) nun mehr als eine Million Geräte schützt. Die Produkte Managed Threat Response Standard und Advanced sind die zwei teuersten Varianten, um Computer und Server zu schützen, bieten aber auch die höchste Sicherheit und Erkennung. Man bekommt ein Expertenteam von Analysten, Programmierern und Bedrohungsjägern, welche rund um die Uhr (24/7) daran arbeiten, euch und eure Mitarbeiter vor Cyberattacken zu bewahren.
Paralleler Betrieb mit Drittanbietern bisher nicht möglich
„Sophos Managed Threat Response“ setzt den MTR-Client voraus, welcher nicht parallel mit den Lösungen von Drittherstellern wie Microsoft, Symantec, Kaspersky, McAfee oder anderen betrieben werden kann. Der neue Service „Managed Threat Detection“ wurde hingegen speziell für den parallelen Einsatz mit Drittanbietern entwickelt und soll somit eine weitere Zielgruppe ansprechen, um mit der Marke Sophos den Fuss in die Tür zu bekommen.
Wer jetzt aber denkt, mit Managed Threat Detection seinen Dritthersteller-Schutz behalten zu können und ohne den MTR-Client die gleichen Vorzüge zu erhalten, wie Kunden mit Managed Threat Response, liegt leider falsch.
Einschränkungen
Der Verzicht auf den leistungsstarken MTR-Client von Sophos bringt verständlicherweise ein paar Einschränkungen mit sich. Auf welche Funktionen ihr verzichten müsst, zeigt die folgende Vergleichstabelle:
Benachrichtigung als einziger Handlungsschritt
Bei Managed Threat Response Standard und Advanced kann man zwischen drei Reaktionsstufen auswählen:
- Benachrichtigung: Wenn das Sophos MTR-Team einen Bedrohungsfall oder einen Angriff erkennt, wird es darüber informieren, aber nicht selbstständig tätig werden. Man bekommt einen Bericht über die Ursache und die Erkennung mit umsetzbaren Schritten, um die Gefahr in eigener Regie zu beheben.
- Zusammenarbeit: Das Sophos MTR-Team arbeitet mit dem eigenen IT-Team oder auf Wunsch auch mit einer externen IT-Firma zusammen und reagiert auf die entsprechenden Bedrohungen.
- Autorisierung: Das MTR-Team kümmert sich komplett eigenständig um Eindämmungs- und Neutralisierungsaktionen und informiert lediglich über die ergriffenen Massnahmen.
Bei Managed Threat Detection hingegen steht nur die Reaktions-Option „Benachrichtigung“ zur Verfügung. Damit erhält man zwar über das Central Dashboard oder auch per E-Mail eine Warnmeldung, wenn eine Bedrohung durch das MTR-Team erkannt wurde, muss diese aber auf eigene Verantwortung neutralisieren und beseitigen. Sollte es sich um eine aktive Bedrohung handeln, wo jede Sekunde zählt, informiert das MTR-Team zumindest kurz per Telefon (allerdings wirklich nur bei aktiven Bedrohungen).
Sophos Rapid Response als letzte Instanz
Im Falle einer aktiven Bedrohung ist man mit Managed Threat Detection auf sich allein gestellt, um einen Angriff zu stoppen. Das MTR-Team kann hier leider nicht unterstützen, da auf den Computern und Servern nicht der hauseigene Sophos MTR-Client installiert ist. Genau an dieser Stelle müsste eigentlich die verwendete Schutzsoftware des Drittherstellers glänzen. Wenn sie dies nicht tut, gibt es immer noch die Möglichkeit, den Sophos Rapid Response Service in Anspruch zu nehmen. Dabei erhaltet ihr blitzschnelle Hilfe von einem Sophos-Experten-Team, welches auf allen Computern und Servern die vorhandene Schutzsoftware deaktiviert und den MTR-Client installiert.
Achtung! Sophos Rapid Response ist nicht Teil von Managed Threat Detection und muss zu einem Fixpreis zusätzlich erworben werden.
Abschliessende Worte
Sophos hat mit Managed Threat Detection einen Service geschaffen, der die Expertise ihres MTR-Teams auch für Kunden zugänglich macht, die ihre Netzwerksicherheit nicht auf Lösungen von Sophos aufgebaut haben. Und das ist aus strategischer Sicht absolut sinnvoll. Selbst wenn ein IT-Administrator heute die Entscheidung trifft, zukünftig das Firmennetzwerk mit Lösungen von Sophos auszustatten, kann dies nicht immer kurzfristig umgesetzt werden. Da gibt es vielleicht laufende Verträge, die einem im Weg stehen oder aktive Lizenzen, die bereits das Budget für die nächsten 3 Jahre gefressen haben.
Mit Managed Threat Detection hat Sophos genau für solche Szenarien eine Art „Add-on-Service“ geschaffen, der zur Stärkung des Sicherheitskonzepts kurzfristig in Erwägung gezogen werden kann. Die Ressourcen des MTR-Teams für die Erkennung von Bedrohungen wird dadurch noch einer viel grösseren Zielgruppe zur Verfügung gestellt, womit Sophos nur gewinnen kann. Je mehr Daten zur Analyse zur Verfügung stehen, desto besser können die Algorithmen abgestimmt werden und dabei ist es völlig egal, ob diese Daten von Kunden mit dem MTR oder dem MTD Agent beigesteuert werden.
Grundsätzlich würden wir allen Kunden, die ihre Endpoints und Server mit Sophos schützen möchten, immer zur MTR-Variante raten. Doch uns ist auch klar, dass diese Lösung nicht für jedes Budget ausgelegt ist. Orientiert euch aber trotzdem besser vom teuersten Produkt mit der höchsten Sicherheit abwärts, denn mit Sicherheitslösungen verhält es sich gleich wie mit Versicherungen – Erst, wenn der Schaden angerichtet ist, bereut man es, gespart zu haben. 😜
Für alle anderen, die aus welchen Gründen auch immer, noch nicht die ganze Infrastruktur über den Haufen werfen wollen oder können, ist Sophos Central Managed Threat Detection für Endpoints und Server mit Sicherheit eine starke Ergänzung. Es ist absolut empfehlenswert, die Netzwerkaktivitäten von einem Expertenteam überwachen zu lassen.
