Home
Sophos MTR - 24/7 Bedrohungssuche von Experten
Sophos Central

Sophos MTR - 24/7 Bedrohungssuche von Experten

David - November 27, 2019

Am 1. Oktober hat Sophos einen vielversprechenden Service eingeführt, den ich euch etwas näher vorstellen möchte. Die Rede ist von MTR oder ausgeschrieben Managed Threat Response. Dieses neue Produkt ist das Resultat der beiden Zukäufe Rook Security und DarkBytes. Rook Security ist besonders im Dienstleistungsbereich dieses Angebots vertreten, während DarkBytes mit Managed Detection and Response (MDR), seinen Teil der Technologie beigetragen hat.

Was ist Sophos Managed Threat Response (MTR)?

Sophos MTR basiert auf Intercept X Advanced mit EDR und adressiert den grossen, dicken Elefanten im Raum. 😅 Wer bereits meinen Artikel zu Endpoint Detection and Response gelesen hat, weiss, wo der Mehrwert dieses Produkts liegt. Aber viele Kunden haben schlichtweg keine Zeit, sich selbständig auf die Suche nach möglichen Bedrohungen zu begeben. Kommt noch dazu, dass es für diesen Job hochqualifiziertes und spezialisiertes Personal braucht, welches über das richtige Mass an Fachwissen verfügt. Solche Leute sind nicht nur besonders schwer zu finden, sondern haben ein wirklich hohes Gehaltsniveau. Soll dieser Dienst auf einen 24 Stunden Service ausgeweitet werden, frisst dies einen sehr grossen Teil des Kapitals für eure IT-Sicherheit. In der Regel haben hier nur sehr grosse Konzerne die Möglichkeit und auch die finanziellen Mittel, spezielle Anreize für Mitarbeiter zu schaffen.

Genau hier setzt der neue MTR-Service von Sophos an und bietet euch eine 24/7 Dienstleistung in Form eines Elite-Sicherheitsteams, welches sich um die Bedrohungserkennung in eurem Unternehmen kümmert und in heiklen Situationen sofort eingreifen kann. Das neue MTR Produkt ist also kein weiterer Menüpunkt in eurem Central Admin Dashboard, sondern bietet eine gezielte Reaktion durch Menschen. Sophos hebt besonders das eigenständige Eingreifen bei diesem Service hervor. Das MTR-Team von Sophos wird euch also bei einem Angriff nicht nur darüber informieren, sondern falls gewünscht, auch in eurem Namen die notwendigen Massnahmen ergreifen. Ihr bekommt also einen "fully-managed service".

Welche Varianten des MTR-Services gibt es?

Das neue MTR Angebot werden wir definitiv in unseren Produktkatalog aufnehmen und schon bald über unsere Webseite anbieten können. Grundsätzlich ist der Service in folgenden Varianten erhältlich:

  1. Central Intercept X Advanced mit EDR und MTR [Standard / Advanced] - Dies ist das Bundle für alle Kunden, die bisher noch keine EDR-Lizenz erworben haben. Das betrifft also Kunden mit z. B. "Intercept X Advanced" oder nur der "Endpoint Protection".
  2. Central MTR [Standard / Advanced] - Diese Variante ist für alle Kunden geeignet, die bereits "Intercept X Advanced mit EDR" im Einsatz haben und MTR als Add-On dazukaufen möchten.

Standard oder Advanced - Wo genau liegen die Unterschiede?

Wie ihr bei den oben aufgelisteten zwei Varianten bereits erkennen könnt, wird Sophos MTR in einer Standard und einer Advanced Variante angeboten. Schauen wir uns einmal an, welche Leistungen in den beiden Paketen enthalten sind:

Dienstleistungsumfang der Standard Variante

24/7 indizienbasierte Bedrohungssuche

Sobald ihr Sophos MTR lizenziert habt und den Onboarding-Prozess durchlaufen seid (dazu später noch mehr), wird euer Central Account an das automatisierte System des MTR-Teams angeschlossen. Da dieses System ständig dazulernt, kann auf bekannte Bedrohungen automatisch reagiert werden. Die indizienbasierte Bedrohungssuche kommt dann zum Zuge, wenn auf eurem System etwas erkannt wurde, was aber nicht vollständig behoben werden konnte und menschliche Fachkenntnisse erfordert. Ihr könnt euch das ein bisschen wie im "Bedrohungsanalyse-Center" in eurem Central Admin Account vorstellen. Dort seht ihr einerseits Bedrohungen, die von Intercept X Advanced bereits automatisiert aufgehalten wurden und andererseits "verdächtige Objekte", die Dank der AI (künstlichen Intelligenz) erkannt, aber nicht behoben werden konnten. In so einer Situation ist das MTR-Team auf einer Basis von 24/7 für euch da. Ein Experte schaut sich den kritischen Hinweis dann genau an und entscheidet anhand seiner Erfahrung, welchen Schweregrad diese spezielle Erkennung aufweist und was gemacht werden muss. Die Erkenntnisse und das Wissen aus diesem Vorfall werden anschliessend an das automatisierte System des MTR-Teams übertragen. Beim nächsten Mal, wenn die gleiche Erkennung in einem anderen Szenario auftritt, kann das System automatisch darauf reagieren.

Angriffserkennung

Gleichzeitig zur indizienbasierten Bedrohungssuche, legt das MTR-Team ein besonderes Augenmerk auf Angriffe, die über seriöse Prozesse, wie z. B. PowerShell ausgeführt werden. Solche Angriffe sind sehr häufig erfolgreich, da sie für Überwachungstools sehr schwierig zu erkennen sind. Das MTR-Team überwacht mithilfe selbst entwickelter Analyseverfahren diese Prozesse, um sicherzustellen, dass diese nicht für bösartige Zwecke misbraucht werden.

Aktivitätsreports

Dem MTR-Team ist Transparenz gegenüber euch als Kunden sehr wichtig. Daher bekommt ihr Aktivitätsreports, in denen euch aufgezeigt wird, was das MTR-Team in eurem Namen alles getan hat. Ihr erfahrt den aktuellen Zustand eurer Systeme, welche Erkenntnisse während des Berichtzeitraums gesammelt wurden und welche Bedrohungen abgewendet werden konnten. Über den Zeitraum, wo ihr den MTR-Service nutzt, entsteht dann ein Histogramm dieser Berichte. Mithilfe dieser Daten erstellt euch Sophos sogenannte "Scorecards", womit ihr euch zu früheren Zeiträumen vergleichen könnt. Dadurch erhaltet ihr die versprochene Transparenz und erkennt sehr schnell, ob euch der MTR-Service etwas nützt.

Security Health Check

Wie ihr anhand der oberen drei Leistungen erkennen könnt, geht es beim MTR-Service Standard um das Aufspüren von Bedrohungen und Verhindern von Angriffen. Mit dem Security Health Check wird aber auch dafür gesorgt, dass eure Sophos Central Produkte, wie Intercept X Advanced mit EDR, stets mit maximaler Performance arbeiten können. Dafür befasst sich das MTR-Team mit euren Anforderungen im Netzwerk und spricht Empfehlungen für Konfigurationsänderungen aus. Ihr könnt also sicher sein, dass die Central-Produkte perfekt auf euer Unternehmen abgestimmt werden.


Dienstleistungsumfang der Advanced Variante

Schauen wir uns an, welche zusätzlichen Leistungen euch in der Advanced Variante geboten werden:

24/7 indizienlose Bedrohungssuche

Zusätzlich zur indizienbasierten Bedrohungssuche im Standard-Paket, erhaltet ihr bei der Advanced-Variante noch die Indizienlose Bedrohungssuche. Hier liegt die Expertise komplett bei den Analysten des MTR-Teams, die besonders wichtige Geräte oder Benutzerkonten in eurem Unternehmen genaustens unter die Lupe nehmen. Dabei schauen sie sich an, wie im Netzwerk kommuniziert wird, ob verdächtige Prozesse ausgeführt werden oder sonst ein ungewöhnliches oder untypisches Verhalten festgestellt werden kann. Mit den gesammelten Daten wird versucht, die Strategie von Angreifern vorherzusagen und neue Angriffsindikatoren (IoA) zu identifizieren. Wenn ein Vorfall erkannt wird, bekommt ihr einen dedizierten Reaktionsleiter zugewiesen, der euch bei der kompletten Behebung des Problems telefonisch zur Seite steht!

Optimierte Telemetriedaten

Das Standard-Paket von MTR beinhaltet die Daten, die von Intercept X Advanced mit EDR zur Verfügung gestellt werden. Für eine verbesserte Telemetrie, geht die Advanced-Version über die reine Erkennung von Ereignissen am Endpoint hinaus und schliesst Daten von andere Central Produkte in die Bedrohungsanalyse mit ein.

Direkter Telefon-Support

Ein weiterer Vorteil der Advanced Variante ist ein direkter Zugang zum MTR-Analystenteam, welches 24/7 für euch erreichbar ist. Wenn ihr also eine Frage habt oder z. B. über einen bestimmten Bedrohungsfall sprechen möchtet, könnt ihr das Security Operations Center (SOC) direkt telefonisch kontaktieren.

Proaktive Verbesserung des Sicherheitsstatus

Im Advanced-Paket wird der Security Health Check auf die nächste Stufe gebracht. Während in der Standard-Variante generelle Empfehlungen für die Konfiguration der Central-Produkte ausgesprochen werden, berücksichtigt das MTR-Team nun auch den geschäftlichen Kontext hinter den Konfigurationseinstellungen von z. B. einer Policy. Ihr erhaltet Hilfestellung zur Behebung von Konfigurations- und Architektur-Schwachstellen, die sich negativ auf eure Sicherheit auswirken.

Asset-Erkennung

Das Sophos Fachpersonal erörtert mit euch nicht nur die kritischen Betriebsabläufe, sondern verschafft sich auch einen Überblick über genutzte Anwendungen und erkennt mögliche Angriffspunkte, die dadurch im System entstehen können. Dabei berücksichtigt das MTR-Team ein sogenanntes "Asset-Inventar", das ihnen dabei hilft zu verstehen, welche Anwendungen auf einem Endpoint ausgeführt werden und ob diese von offenen Schwachstellen betroffen sind. Daraus ergeben sich wertvolle Detail-Informationen, die speziell auf euer Unternehmen ausgerichtet sind.


Welche Level der Unterstützung werden vom Sophos MTR-Team angeboten?

Unabhängig davon, ob ihr euch für die Standard- oder Advanced-Variante entscheidet, ihr behaltet die Kontrolle darüber, wie autonom das MTR-Team arbeiten soll. Geregelt wird dies gleich zu Beginn beim sogenannten Onboarding-Prozess. Wenn ihr den Sophos MTR-Service kauft, könnt ihr aus drei Optionen auswählen, die bestimmen, welche Reaktion ihr vom MTR-Team erwartet:

  1. Benachrichtigung: Wenn das Sophos MTR-Team einen Bedrohungsfall oder einen Angriff erkannt hat, wird es euch bei diesem Level nur darüber informieren, aber nicht selbständig für euch tätig werden. Ihr bekommt aber einen ausführlichen Bericht über die Ursache und die Erkennung mit umsetzbaren Schritten, um die Gefahr selbständig zu beheben.
  2. Zusammenarbeit: Das Sophos MTR-Team arbeitet mit euren Angestellten oder auch einer externen Beraterfirma zusammen und reagiert auf die entsprechenden Bedrohungen.
  3. Autorisierung: Hier kümmert sich das MTR-Team komplett eigenständig um Eindämmungs- und Neutralisierungsaktionen und informiert euch lediglich über die ergriffenen Massnahmen.

Was unterscheidet Sophos MTR von der Konkurrenz, die ebenfalls so einen vergleichbaren Service anbieten?

Von Sophos werden mit SentinelOne und CrowdStrike gleich zwei Mitbewerber genannt, die vom Angebot her zur härtesten Konkurrenz gehören. Der MTR-Service von Sophos bietet aber einen entscheidenden Vorteil. Ein eigenständiges Handeln und das auch noch proaktiv, gab es bislang, nämlich noch nicht. Durch die oben aufgeführte Reaktionsstufe Autorisierung, müsst ihr bei Sophos nicht mehr selbständig ellenlangen Listen mit Fehler- und Bedrohungsmeldungen abarbeiten. Das alles kann nun in eurem Namen von geschulten Spezialisten von Sophos übernommen werden.

Zwar bieten auch SentinelOne und CrowdStrike einen derartigen Service an, allerdings nur für die höchste Servicebene, die sich ein kleines Unternehmen nicht leisten kann. Die höchste Autorisierungsstufe bei Sophos MTR, kann hingegen von allen Unternehmen in Anspruch genommen werden, unabhängig von der Grösse oder dem gebuchten Service Level.

Welche Systeme kann Sophos im Moment mit diesem Service bedienen?

Der Service wurde erst am 1. Oktober in Betrieb genommen. Aus diesem Grund werden aktuell nur Support für Windows Endpoint 32 und 64 Bit angeboten. Die Unterstützung für weitere Systeme, wie Windows Server, Linux und Mac OS, sollen Ende November 2019 folgen. Ein genaues Datum wurde allerdings bisher noch nicht benannt.

Des Weiteren ist der Service in der ersten Phase nur in Englisch verfügbar. Es ist aber geplant, andere Sprachen mit ins Repertoire aufzunehmen. Wann dies passiert und welche Sprachen es dann sein werden, steht allerdings noch nicht fest.

Fazit zum Sophos Managed Threat Response Service

Was ich bisher über den MTR-Service von Sophos gelesen und gehört habe, hat mich wirklich sehr überzeugt! Durch diese Dienstleistung von Sophos erhalten auch kleine und mittlere Unternehmen die Möglichkeit, sich einen umfassenden und professionellen Schutz in der IT-Sicherheit zu leisten. Die Suche nach qualifiziertem und erfahrenen Personal wird somit stark verringert und ihr könnt auf die Experten von Sophos selbst zurückgreifen.

Ebenfalls sehr gelungen finde ich die drei verschiedenen Unterstützungs-Levels, die Sophos allen Kunden beim Onboarding-Prozess zur Wahl stellt. Ihr könnt also völlig selbst entscheiden, wie viel Kontrolle ihr abgeben wollt. Absolut konkurrenzlos ist auch das Angebot des "Autorisierungs-Levels", welches auch in der Standard-Variante zur Auswahl steht! Ihr braucht also nicht das teurere Advanced-Paket zu lösen, wenn sich die Sophos-Spezialisten komplett eigenständig um die Sicherheit eures Netzwerks kümmern sollen.

Solltet ihr nun Interesse an Sophos MTR bekommen haben, dann zögert nicht uns zu kontaktieren. Wir werden die verschiedenen Varianten des MTR-Services bald auch auf unserer Webseite veröffentlichen, womit dann auch der Preis kein Geheimnis mehr sein wird. Offene Fragen klären wir auch gerne in einem persönlichen Gespräch.

Senden Sie Ihr Feedback

Teilen Sie uns Ihre Gedanken zu diesem Artikel mit, Ihre persönlichen Rückfragen sind immer willkommen und werden sehr geschätzt.

Feedback senden
Alle Informationen sind vertraulich
Newsletter

Auf unserem Blog publizieren wir regelmässig Artikel über diverse Themen rund um Sophos. Damit du keinen Artikel verpasst, kannst du dich in unseren Newsletter eintragen und bekommst einmal pro Monat eine Zusammenfassung aller Artikel der letzten 30 Tage per E-Mail zugestellt.

Knowledge Base

Du brauchst Hilfe zu einem Sophos Produkt? Dann kann dir vielleicht unsere kostenlose Knowledge Base weiterhelfen. Wir versuchen, die meisten Supportanfragen in einem Artikel zu dokumentieren, um möglichst vielen Menschen damit zu helfen.